Planifier les certificats SSL tiers pour Microsoft 365
Cet article est valable pour Microsoft 365 Entreprise et Office 365 Entreprise.
Pour chiffrer les communications entre vos clients et l’environnement Microsoft 365, des certificats SSL (Secure Socket Layer) tiers doivent être installés sur vos serveurs d’infrastructure.
Cet article fait partie de la planification réseau et de l’optimisation des performances pour Microsoft 365.
Les certificats sont requis pour les composants Microsoft 365 suivants :
Exchange local
Authentification unique (SSO) (pour les serveurs de fédération Services ADFS (AD FS) et les serveurs proxy de fédération AD FS)
Exchange Online services, tels que la découverte automatique, Outlook Anywhere et les services web Exchange
Serveur hybride Exchange
Certificats pour Exchange en local
Pour obtenir une vue d’ensemble de l’utilisation des certificats numériques pour sécuriser la communication entre le organization Exchange local et Exchange Online, consultez l’article TechNet Understanding Certificate Requirements.
Certificats pour l’authentification unique
Pour offrir à vos utilisateurs une expérience d’authentification unique simplifiée qui inclut une sécurité robuste, les certificats indiqués dans le tableau suivant sont requis sur les serveurs de fédération ou les serveurs proxy de fédération. Le tableau ci-dessous se concentre sur Services ADFS (AD FS). Nous avons également plus d’informations sur l’utilisation de fournisseurs d’identité tiers.
| Type de certificat | Description | Ce que vous devez savoir avant de déployer |
|---|---|---|
| Certificat SSL (également appelé certificat d’authentification de serveur) |
Il s’agit d’un certificat SSL standard utilisé pour sécuriser les communications entre les serveurs de fédération, les clients et les ordinateurs proxy du serveur de fédération. |
AD FS nécessite un certificat SSL. Par défaut, AD FS utilise le certificat SSL configuré pour le site web par défaut dans Internet Information Services (IIS). Le nom d’objet de ce certificat SSL est utilisé pour déterminer le nom du service de fédération (FS) pour chaque instance d’AD FS que vous déployez. Envisagez de choisir un nom de sujet pour tout nouveau certificat émis par une autorité de certification (CA) qui représente le mieux le nom de votre entreprise ou organization à Microsoft 365. Ce nom doit être routable sur Internet. Attention: AD FS exige que ce certificat SSL n’ait pas de nom d’objet dotless (nom court). Recommandation: Étant donné que ce certificat doit être approuvé par les clients d’AD FS, nous vous recommandons d’utiliser un certificat SSL émis par une autorité de certification publique (tierce) ou par une autorité de certification subordonnée à une racine approuvée publiquement . par exemple VeriSign ou Thawte. |
| Certificat de signature de jeton |
Il s’agit d’un certificat X.509 standard utilisé pour signer en toute sécurité tous les jetons que le serveur de fédération émet et que Microsoft 365 accepte et valide. |
Le certificat de signature de jeton doit contenir une clé privée qui est chaîne à une racine approuvée dans le FS. Par défaut, AD FS crée un certificat auto-signé. Toutefois, selon les besoins de votre organization, vous pouvez remplacer ce certificat par un certificat émis par une autorité de certification à l’aide du composant logiciel enfichable de gestion AD FS. Attention: Le certificat de signature de jeton est essentiel à la stabilité du FS. Si le certificat est modifié, Microsoft 365 doit être averti de la modification. Si aucune notification n’est fournie, les utilisateurs ne peuvent pas se connecter à leurs offres de service Microsoft 365. Recommandation: Nous vous recommandons d’utiliser le certificat de signature de jeton auto-signé généré par AD FS. Ce faisant, il gère ce certificat pour vous par défaut. Par exemple, lorsque ce certificat est sur le point d’expirer, AD FS génère un nouveau certificat auto-signé. |
Les proxys de serveur de fédération nécessitent le certificat décrit dans le tableau suivant.
| Type de certificat | Description | Ce que vous devez savoir avant de déployer |
|---|---|---|
| certificat SSL |
Il s’agit d’un certificat SSL standard utilisé pour sécuriser les communications entre un serveur de fédération, un proxy de serveur de fédération et des ordinateurs clients Internet. |
Ce certificat SSL doit être lié au site web par défaut dans IIS avant de pouvoir exécuter correctement l’Assistant Configuration du proxy du serveur de fédération AD FS. Ce certificat doit avoir le même nom d’objet que le certificat SSL qui a été configuré sur le serveur de fédération dans le réseau d’entreprise. Recommandation: Nous vous recommandons d’utiliser le même certificat d’authentification de serveur que celui configuré sur le serveur de fédération auquel ce proxy de serveur de fédération se connecte. |
Certificats pour la découverte automatique, Outlook Anywhere et la synchronisation Active Directory
Vos serveurs d’accès au client Exchange 2013, Exchange 2010, Exchange 2007 et Exchange 2003 orientés vers l’extérieur nécessitent un certificat SSL tiers pour les connexions sécurisées pour les services de synchronisation de découverte automatique, Outlook Anywhere et Active Directory. Ce certificat est peut-être déjà installé dans votre environnement local.
Certificat pour un serveur hybride Exchange
Votre ou vos serveurs exchange hybrides externes nécessitent un certificat SSL tiers pour une connectivité sécurisée avec le service Exchange Online. Vous devez obtenir ce certificat auprès de votre fournisseur SSL tiers.
Chaînes de certificats Microsoft 365
Cet article décrit les certificats que vous devrez peut-être installer sur votre infrastructure. Pour plus d’informations sur les certificats installés sur nos serveurs Microsoft 365, consultez Chaînes de certificats Microsoft 365.
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour