Condividi tramite


Requisiti dei certificati per le distribuzioni ibride

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2016-11-28

I certificati digitali costituiscono un aspetto importante per la protezione delle comunicazioni tra l'organizzazione locale di Exchange e il servizio Microsoft Office 365, altri server Exchange locali e i client. I certificati consentono a un'entità di rendere attendibile l'identità di un altro. Questo aiuta ad assicurare che un client o server stanno comunicando con l'origine corretta.

In una distribuzione ibrida diversi servizi fanno uso di certificati:

  • Active Directory Federation Servers (AD FS)   Un certificato emesso da un'autorità di certificazione attendibile di terze parti è utilizzato per stabilire una relazione di trust tra client Web e proxy di server federativi per firmare e decrittografare i token di protezione.

    Per ulteriori informazioni, vedere: l'articolo relativo ai certificati

  • Federazione di Exchange   Viene utilizzato un certificato autofirmato per creare una connessione sicura tra i server Service Pack 3 (SP3) di Exchange Server 2010 locali per la distribuzione ibrida (ovvero "server ibridi") e Microsoft Federation Gateway.

    Per ulteriori informazioni, vedere: Informazioni sulla delega federata

  • Servizi di Exchange   I certificati emessi da Autorità di certificazione di terze parti vengono utilizzati per incrementare la sicurezza delle comunicazioni SSL (Secure Sockets Layer) tra i server Exchange e i client. Servizi che utilizzano i certificati includono Outlook Web App, Exchange ActiveSync, Outlook Anywhere e trasporto messaggi.

  • Server Exchange esistenti   I server Exchange possono fare uso di certificati per rafforzare la sicurezza delle comunicazioni Outlook Web App, il trasporto dei messaggi e così via. A seconda di come vengono utilizzati i certificati nei server Exchange, è possibile utilizzare certificati autofirmati o certificati emessi da un'Autorità di certificazione attendibile di terze parti.

    Per ulteriori informazioni, vedere: Informazioni sui certificati digitali e SSL

Requisiti dei certificati per una distribuzione ibrida

Quando si configura una distribuzione ibrida è necessario configurare i certificati. È necessario acquistare i certificati da un'autorità di certificazione attendibile di terze parti. I servizi multipli, quali AD FS, federazione Exchange 2010, servizi Exchange 2010 e Exchange, richiedono ciascuno un certificato. In base alle necessità dell'organizzazione si può decidere di fare una delle cose seguenti:

  • Utilizzare un certificato di terze parti che viene utilizzato da tutti i servizi su più server.

  • Utilizzare un certificato di terze parti per ogni server che fornisce servizi.

La scelta di utilizzare lo stesso certificato per tutti i servizi o di dedicare un certificato a ciascun servizio dipende dall'organizzazione e dal servizio che si sta implementando. Di seguito vengono riportate alcune considerazioni da tenere presente per ciascuna opzione:

  • Certificati di terze parti su più server   I certificati di terze parti utilizzati da servizi su più server possono essere più convenienti da ottenere ma possono complicare le operazioni di rinnovo e sostituzione. Le complicazioni avvengono perchè quando è necessario sostituire un certificato, è necessario effettuare la sostituzione su tutti i server sui quali è stato installato.

  • Certificati di terze parti per ciascun server   Utilizzare un certificato dedicato per ciascun server che ospita servizi consente di configurare un certificato specificamente per quel servizio su quel server. Se è necessario sostituire il certificato o rinnovarlo e necessario farlo solo sul server sul quale è installato il servizio. Gli altri server non sono coinvolti.

È consigliabile utilizzare un certificato di terze parti dedicato per il server ADFS, un certificato diverso per i servizi Exchange nei server ibridi e, se necessario, un certificato nel proprio server Exchange. Il trust federativo locale configurato nell'ambito della delega federata utilizza un certificato autofirmato per impostazione predefinita. Se non esistono requisiti specifici, non è necessario utilizzare un certificato di terze parti per il trust federativo configurato nell'ambito della delega federata.

I servizi installati su un singolo server possono richiedere di configurare multipli nomi di dominio completi (FQDN) per il server. Acquistare un certificato che consente il numero richiesto di nomi di dominio completi. I certificati sono composti dal nome del soggetto, o principale ed uno o più nomi alternativi oggetto (SAN). Il nome del soggetto è il nome FQDN al quale è stato rilasciato il certificato. I SAN sono ulteriori FQDN che possono essere aggiunti nel certificato al nome del soggetto. Se il certificato deve supportare cinque FQDN, acquistare un certificato che consenta di aggiungere cinque domini: un nome del soggetto e quattro SAN.

Servizio Server FQDN suggeriti

Active Directory Federation Services (ADFS) (se si è scelto di configurare ADFS)

ADFS

sts.contoso.com

Individuazione automatica

Server ibridi

autodiscover.contoso.com

Trasporto

Server ibridi

Etichetta che corrisponde al nome di dominio completo esterno dei server Exchange 2010 SP3 ibridi, ad esempio hybrid.contoso.com.

Outlook Anywhere

Server ibridi

Etichetta che corrisponde al nome di dominio completo interno dei server Exchange 2010 SP3 ibridi, ad esempio Ex2010.corp.contoso.com.

Etichetta che corrisponde al nome host interno dei server Exchange 2010 SP3 ibridi, ad esempio, Ex2010.

Outlook Web App (Exchange 2010)

Server ibridi

owa.contoso.com

Outlook Web App (server Exchange esistente)

Server Exchange esistente

Etichetta che corrisponde al nome di dominio completo esterno del server Exchange esistente ad esempio, mail.contoso.com.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.