Planificación de los certificados SSL de terceros para Microsoft 365
Este artículo afecta tanto a Office 365 Enterprise como a Microsoft 365 Enterprise
Para cifrar las comunicaciones entre los clientes y el entorno de Microsoft 365, se deben instalar certificados SSL (Capa de sockets seguros) de terceros en los servidores de infraestructura.
Este artículo forma parte del planeamiento de la red y la optimización del rendimiento para Microsoft 365.
Los certificados son necesarios para los siguientes componentes de Microsoft 365:
Implementación local de Exchange
Inicio de sesión único (SSO) (para los servidores de federación de Servicios de federación de Active Directory (AD FS) (AD FS) y servidores proxy de servidor de federación de AD FS)
Exchange Online servicios, como detección automática, Outlook en cualquier lugar y servicios web de Exchange
Servidor híbrido de Exchange
Certificados para Exchange local
Para obtener información general sobre cómo usar certificados digitales para hacer que la comunicación entre la organización local de Exchange y Exchange Online segura, consulte el artículo de TechNet Descripción de los requisitos de certificado.
Certificados para el inicio de sesión único
Para proporcionar a los usuarios una experiencia de inicio de sesión único simplificada que incluya una seguridad sólida, los certificados que se muestran en la tabla siguiente son necesarios en los servidores de federación o en los servidores proxy del servidor de federación. La tabla siguiente se centra en Servicios de federación de Active Directory (AD FS) (AD FS), también tenemos más información sobre el uso de proveedores de identidades de terceros.
| Tipo de certificado | Descripción | Lo que necesita saber antes de implementar |
|---|---|---|
| Certificado SSL (también denominado certificado de autenticación de servidor) |
Se trata de un certificado SSL estándar que se usa para proteger las comunicaciones entre servidores de federación, clientes y equipos proxy de servidor de federación. |
AD FS requiere un certificado SSL. De forma predeterminada, AD FS usa el certificado SSL configurado para el sitio web predeterminado en Internet Information Services (IIS). El nombre del firmante de este certificado SSL se usa para determinar el nombre del servicio de federación (FS) para cada instancia de AD FS que implemente. Considere la posibilidad de elegir un nombre de firmante para los certificados emitidos por una nueva entidad de certificación (CA) que mejor represente el nombre de su empresa u organización para Microsoft 365. Este nombre debe ser enrutable a Internet. Precaución: AD FS requiere que este certificado SSL no tenga ningún nombre de firmante sin punto (nombre corto). Recomendación: Dado que los clientes de AD FS deben confiar en este certificado, se recomienda usar un certificado SSL emitido por una entidad de certificación pública (de terceros) o por una entidad de certificación subordinada a una raíz de confianza pública; por ejemplo, VeriSign o Thawte. |
| Certificado de firma de tokens |
Se trata de un certificado X.509 estándar que se usa para firmar de forma segura todos los tokens que emite el servidor de federación y que Microsoft 365 acepta y valida. |
El certificado de firma de tokens debe contener una clave privada que se encadena a una raíz de confianza en el FS. De forma predeterminada, AD FS crea un certificado autofirmado. Sin embargo, en función de las necesidades de su organización, puede cambiar este certificado a un certificado emitido por la ENTIDAD de certificación mediante el complemento de administración de AD FS. Precaución: El certificado de firma de tokens es fundamental para la estabilidad del FS. Si se cambia el certificado, se debe notificar el cambio a Microsoft 365. Si no se proporciona la notificación, los usuarios no pueden iniciar sesión en sus ofertas de servicio de Microsoft 365. Recomendación: Se recomienda usar el certificado de firma de tokens autofirmado generado por AD FS. Al hacerlo, administra este certificado automáticamente de forma predeterminada. Por ejemplo, cuando este certificado esté a punto de expirar, AD FS generará un nuevo certificado autofirmado. |
Los servidores proxy de servidor de federación requieren el certificado que se describe en la tabla siguiente.
| Tipo de certificado | Descripción | Lo que necesita saber antes de implementar |
|---|---|---|
| certificado SSL |
Se trata de un certificado SSL estándar que se usa para proteger las comunicaciones entre un servidor de federación, un proxy de servidor de federación y equipos cliente de Internet. |
Este certificado SSL debe enlazarse al sitio web predeterminado de IIS para poder ejecutar correctamente el Asistente para la configuración del proxy del servidor de federación de AD FS. Este certificado debe tener el mismo nombre de firmante que el certificado SSL que se configuró en el servidor de federación de la red corporativa. Recomendación: Se recomienda usar el mismo certificado de autenticación de servidor configurado en el servidor de federación al que se conecta este proxy de servidor de federación. |
Certificados para detección automática, outlook en cualquier lugar y sincronización de Active Directory
Los servidores de acceso de cliente (CAS) de Exchange 2013, Exchange 2010, Exchange 2007 y Exchange 2003 requieren un certificado SSL de terceros para conexiones seguras para los servicios de sincronización de Detección automática, Outlook en cualquier lugar y Active Directory. Es posible que ya tenga instalado este certificado en el entorno local.
Certificado para un servidor híbrido de Exchange
Los servidores o servidores híbridos de Exchange externos requieren un certificado SSL de terceros para una conectividad segura con el servicio Exchange Online. Debe obtener este certificado del proveedor SSL de terceros.
Cadenas de certificados de Microsoft 365
En este artículo se describen los certificados que puede que necesite instalar en la infraestructura. Para obtener más información sobre los certificados instalados en nuestros servidores de Microsoft 365, consulte Cadenas de certificados de Microsoft 365.
Vea también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de