Comprendre les exigences de certificat des déploiements hybrides
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Les certificats numériques participent à la sécurisation des communications entre l’organisation Exchange locale et Microsoft Office 365, entre les autres serveurs Exchange locaux et entre vos clients. Les certificats permettent à une entité de faire confiance à l’identité d’une autre. Ce mécanisme aide à s’assurer qu’un client ou un serveur communique bien avec la source désirée.
Dans un déploiement hybride, plusieurs services utilisent des certificats :
AD FS (Active Directory Federation Services) Un certificat émis par une autorité de certification (CA) tierce approuvée est utilisé pour établir une approbation entre les clients Web et les serveurs proxy de fédération, pour signer et pour déchiffrer les jetons de sécurité.
Pour plus d'informations, consultez la rubrique suivante : Certificats
Exchange Federation Un certificat auto-signé est utilisé pour créer une connexion sécurisée entre les serveurs Exchange Server 2010 SP3 locaux configurés pour le déploiement hybride (donc les « serveurs hybrides ») et Microsoft Federation Gateway.
Pour plus d'informations, consultez la rubrique suivante : Présentation de la délégation fédérée
Services Exchange Des certificats émis par une autorité de certification tierce approuvée sont utilisés pour optimiser la sécurité de la communication SSL (Secure Sockets Layer) entre les clients et les serveurs Exchange. Les services qui utilisent des certificats comprennent Outlook Web App, Exchange ActiveSync, Outlook Anywhere et le transport des messages.
Serveurs Exchange existants Vos serveurs Exchange existants peuvent utiliser des certificats pour sécuriser les communications Outlook Web App, le transport des messages, etc. En fonction de la façon dont vous utilisez des certificats sur vos serveurs Exchange, vous pouvez être amené à utiliser des certificats auto-signés ou des certificats émis par une autorité de certification tierce approuvée.
Pour plus d'informations, consultez la rubrique suivante : Présentation des certificats numériques et de SSL
Conditions requises pour l’utilisation d’un certificat dans le cadre d’un déploiement hybride
Lorsque vous configurez un déploiement hybride, vous devez configurer des certificats. Vous devez acheter des certificats auprès d’une autorité de certification tierce approuvée. De nombreux services, tels que AD FS, Exchange 2010 Federation, les services Exchange 2010 et Exchange requièrent des certificats. En fonction de la nature de votre organisation, vous pourrez choisir l’une des options suivantes :
Utiliser un certificat tiers employé par tous les services sur plusieurs serveurs.
Utiliser un certificat tiers pour chaque serveur fournissant des services.
Vous pouvez choisir d’utiliser un même certificat pour tous les services ou un certificat dédié à chaque service. Tout dépend de votre organisation et du service que vous mettez en œuvre. Voici quelques éléments à considérer pour chacune des options :
Certificat tiers sur plusieurs serveurs Les certificats tiers utilisés par des services sur plusieurs serveurs peuvent constituer une solution légèrement moins onéreuse, mais risquent d’impliquer des opérations complexes de renouvellement et de remplacement. En effet, lorsqu’un certificat doit être remplacé, vous devez réaliser cette opération sur chaque serveur où il est installé.
Certificat tiers pour chaque serveur L’utilisation d’un certificat dédié pour chaque serveur hébergeant des services vous permet de configurer le certificat spécifiquement pour les services qui s’y trouvent. Si vous devez remplacer le certificat ou le renouveler, vous devez seulement le remplacer sur le serveur où les services sont installés. Il n’y a aucune incidence sur les autres serveurs.
Nous conseillons d’utiliser un certificat tiers dédié pour le serveur AD FS, un autre certificat pour les services Exchange sur vos serveurs hybrides et, au besoin, un certificat sur votre serveur Exchange. L’approbation fédérée locale configurée dans le cadre de la délégation fédérée utilise un certificat auto-signé par défaut. Sauf exigences spécifiques, il est inutile d’utiliser un certificat tiers avec l’approbation fédérée configurée dans le cadre de la délégation fédérée.
Les services installés sur un seul serveur peuvent vous obliger à configurer plusieurs noms de domaines complets (FQDN) pour le serveur. Acheter un certificat permettant le nombre requis de noms de domaines complets. Des certificats comprenant l’objet, ou principal, le nom, et un ou plusieurs autres noms d’objet. Le nom d’objet est le FQDN auquel est émis le certificat. Les autres noms d’objet sont des noms de domaines complets supplémentaires pouvant être ajoutés à un certificat en plus du nom de l’objet. Si vous avez besoin d’un certificat pour prendre en charge cinq noms de domaines complets, achetez un certificat permettant d’ajouter cinq domaines au certificat : un nom d’objet et quatre autres noms d’objet.
| Service | Serveur | Nom de domaine complet suggéré |
|---|---|---|
Active Directory Federation Services (AD FS) (si vous avez choisi de configurer AD FS) |
ADFS |
sts.contoso.com |
Découverte automatique |
Serveurs hybrides |
autodiscover.contoso.com |
Transport |
Serveurs hybrides |
Étiquette correspondant au nom de domaine complet externe de vos serveurs hybrides Exchange 2010 SP3, tel que hybrid.contoso.com. |
Outlook Anywhere |
Serveurs hybrides |
Étiquette correspondant au nom de domaine complet interne de vos serveurs hybrides Exchange 2010 SP3, tel que Ex2010.corp.contoso.com. Étiquette correspondant au nom d’hôte interne de vos serveurs hybrides Exchange 2010 SP3, tel qu’Ex2010. |
Outlook Web App (Exchange 2010) |
Serveurs hybrides |
owa.contoso.com |
Outlook Web App (serveur Exchange actuel) |
Serveur Exchange actuel |
Étiquette correspondant au nom de domaine complet externe de votre serveur Exchange existant, tel que mail.contoso.com. |
© 2010 Microsoft Corporation. Tous droits réservés.