Planen von Drittanbieter-SSL-Zertifikaten für Microsoft 365
Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.
Zum Verschlüsseln der Kommunikation zwischen Ihren Clients und der Microsoft 365-Umgebung müssen SSL-Zertifikate (Secure Socket Layer) von Drittanbietern auf Ihren Infrastrukturservern installiert sein.
Dieser Artikel ist Teil der Netzwerkplanung und Leistungsoptimierung für Microsoft 365.
Zertifikate sind für die folgenden Microsoft 365-Komponenten erforderlich:
Exchange lokal
Einmaliges Anmelden (Single Sign-On, SSO) (sowohl für die Active Directory-Verbunddienste (AD FS) -Verbundserver (AD FS) als auch für AD FS-Verbundserverproxys)
Exchange Online Dienste wie AutoErmittlung, Outlook Anywhere und Exchange-Webdienste
Exchange-Hybridserver
Zertifikate für lokale Exchange-Instanzen
Eine Übersicht darüber, wie Sie digitale Zertifikate verwenden, um die Kommunikation zwischen dem lokalen Exchange-organization und Exchange Online sicher zu gestalten, finden Sie im TechNet-Artikel Grundlegendes zu Zertifikatanforderungen.
Zertifikate für einmaliges Anmelden
Um Ihren Benutzern ein vereinfachtes einmaliges Anmelden mit robuster Sicherheit zu bieten, sind die in der folgenden Tabelle aufgeführten Zertifikate entweder auf den Verbundservern oder den Verbundserverproxys erforderlich. Die folgende Tabelle konzentriert sich auf Active Directory-Verbunddienste (AD FS) (AD FS). Außerdem finden Sie weitere Informationen zur Verwendung von Identitätsanbietern von Drittanbietern.
| Zertifikattyp | Beschreibung | Was Sie vor der Bereitstellung wissen müssen |
|---|---|---|
| SSL-Zertifikat (auch serverauthentifizierungszertifikat genannt) |
Dies ist ein SSL-Standardzertifikat, das verwendet wird, um die Kommunikation zwischen Verbundservern, Clients und Verbundserverproxycomputern zu schützen. |
AD FS erfordert ein SSL-Zertifikat. Standardmäßig verwendet AD FS das SSL-Zertifikat, das für die Standardwebsite in Internetinformationsdienste (IIS) konfiguriert ist. Der Antragstellername dieses SSL-Zertifikats wird verwendet, um den Namen des Verbunddiensts (FS) für jede instance von AD FS zu bestimmen, die Sie bereitstellen. Erwägen Sie die Auswahl eines Antragstellernamens für alle neuen Von einer Zertifizierungsstelle ausgestellten Zertifikate, die den Namen Ihres Unternehmens oder organization microsoft 365 am besten darstellen. Dieser Name muss über das Internet routingfähig sein. Vorsicht: AD FS erfordert, dass dieses SSL-Zertifikat keinen punktlosen Antragstellernamen (Kurzname) hat. Empfehlung: Da dieses Zertifikat von AD FS-Clients als vertrauenswürdig eingestuft werden muss, empfiehlt es sich, ein SSL-Zertifikat zu verwenden, das von einer öffentlichen (Drittanbieter-) Zertifizierungsstelle oder von einer Zertifizierungsstelle ausgestellt wurde, die einem öffentlich vertrauenswürdigen Stamm untergeordnet ist. z. B. VeriSign oder Thawte. |
| Tokensignaturzertifikat |
Dies ist ein X.509-Standardzertifikat, das zum sicheren Signieren aller Token verwendet wird, die vom Verbundserver ausgegeben werden und die Von Microsoft 365 akzeptiert und überprüft werden. |
Das Tokensignaturzertifikat muss einen privaten Schlüssel enthalten, der mit einem vertrauenswürdigen Stamm im FS verkettet ist. Standardmäßig erstellt AD FS ein selbstsigniertes Zertifikat. Je nach den Anforderungen Ihrer organization können Sie dieses Zertifikat jedoch mithilfe des AD FS-Verwaltungs-Snap-Ins in ein von der Zertifizierungsstelle ausgestelltes Zertifikat ändern. Vorsicht: Das Tokensignaturzertifikat ist entscheidend für die Stabilität des FS. Wenn das Zertifikat geändert wird, muss Microsoft 365 über die Änderung benachrichtigt werden. Wenn keine Benachrichtigung bereitgestellt wird, können sich Benutzer nicht bei ihren Microsoft 365-Dienstangeboten anmelden. Empfehlung: Es wird empfohlen, das selbstsignierte Tokensignaturzertifikat zu verwenden, das von AD FS generiert wird. Auf diese Weise wird dieses Zertifikat standardmäßig für Sie verwaltet. Wenn dieses Zertifikat beispielsweise abläuft, generiert AD FS ein neues selbstsigniertes Zertifikat. |
Verbundserverproxys erfordern das In der folgenden Tabelle beschriebene Zertifikat.
| Zertifikattyp | Beschreibung | Was Sie vor der Bereitstellung wissen müssen |
|---|---|---|
| SSL-Zertifikat |
Dies ist ein SSL-Standardzertifikat, das zum Schützen der Kommunikation zwischen einem Verbundserver, einem Verbundserverproxy und Internetclientcomputern verwendet wird. |
Dieses SSL-Zertifikat muss an die Standardwebsite in IIS gebunden sein, bevor Sie den Ad FS-Verbundserverproxykonfigurations-Assistenten erfolgreich ausführen können. Dieses Zertifikat muss denselben Antragstellernamen wie das SSL-Zertifikat haben, das auf dem Verbundserver im Unternehmensnetzwerk konfiguriert wurde. Empfehlung: Es wird empfohlen, das gleiche Serverauthentifizierungszertifikat zu verwenden, das auf dem Verbundserver konfiguriert ist, mit dem dieser Verbundserverproxy eine Verbindung herstellt. |
Zertifikate für autoErmittlung, Outlook Anywhere und Active Directory-Synchronisierung
Ihre externen Exchange 2013-, Exchange 2010-, Exchange 2007- und Exchange 2003-Clientzugriffsserver (CASs) erfordern ein SSL-Zertifikat eines Drittanbieters für sichere Verbindungen für die AutoErmittlung, Outlook Anywhere und Active Directory-Synchronisierungsdienste. Möglicherweise haben Sie dieses Zertifikat bereits in Ihrer lokalen Umgebung installiert.
Zertifikat für einen Exchange-Hybridserver
Ihre externen Exchange-Hybridserver oder -Server benötigen ein SSL-Zertifikat eines Drittanbieters für die sichere Konnektivität mit dem Exchange Online-Dienst. Sie müssen dieses Zertifikat von Ihrem SSL-Drittanbieter erhalten.
Microsoft 365-Zertifikatketten
In diesem Artikel werden die Zertifikate beschrieben, die Sie möglicherweise in Ihrer Infrastruktur installieren müssen. Weitere Informationen zu den auf unseren Microsoft 365-Servern installierten Zertifikaten finden Sie unter Microsoft 365-Zertifikatketten.