Obs!
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen gjelder for både Microsoft 365 Enterprise og Office 365 Enterprise.
Hvis du vil kryptere kommunikasjon mellom klientene og Microsoft 365-miljøet, må tredjeparts SSL-sertifikater (Secure Socket Layer) være installert på infrastrukturserverne.
Denne artikkelen er en del av nettverksplanlegging og ytelsesjustering for Microsoft 365.
Sertifikater kreves for følgende Microsoft 365-komponenter:
Exchange lokalt
Enkel pålogging (SSO) (for både Active Directory Federation Services (AD FS)-forbundsservere og AD FS-forbundsserverproxyer)
Exchange Online tjenester, for eksempel Autosøk, Outlook Anywhere og Exchange Web Services
Exchange-hybridserver
Sertifikater for Exchange lokalt
Hvis du vil ha en oversikt over hvordan du bruker digitale sertifikater til å gjøre kommunikasjonen mellom den lokale Exchange-organisasjonen og Exchange Online sikker, kan du se TechNet-artikkelen Forstå sertifikatkrav.
Sertifikater for enkel pålogging
For å gi brukerne en forenklet enkel påloggingsopplevelse som inkluderer robust sikkerhet, kreves sertifikatene som vises i tabellen nedenfor, enten på forbundsserverne eller forbundsserverproxyene. Tabellen nedenfor fokuserer på Active Directory Federation Services (AD FS), og vi har også mer informasjon om bruk av tredjeparts identitetsleverandører.
| Sertifikattype | Beskrivelse | Det du trenger å vite før du distribuerer |
|---|---|---|
|
SSL-sertifikat (også kalt et servergodkjenningssertifikat) |
Dette er et standard SSL-sertifikat som brukes til å gjøre kommunikasjon mellom forbundsservere, klienter og proxy-datamaskiner for forbundsservere sikre. |
AD FS krever et SSL-sertifikat. Som standard bruker AD FS SSL-sertifikatet som er konfigurert for standardnettstedet i Internet Information Services (IIS). Emnenavnet for dette SSL-sertifikatet brukes til å bestemme navnet på forbundstjenesten (FS) for hver forekomst av AD FS som du distribuerer. Vurder å velge et emnenavn for eventuelle nye sertifikater utstedt av sertifiseringsinstans (CA) som best representerer navnet på firmaet eller organisasjonen til Microsoft 365. Dette navnet må være Internett-rutbart. Forsiktighet: AD FS krever at dette SSL-sertifikatet ikke har noe punktfritt emnenavn (kort navn). Anbefaling: Fordi dette sertifikatet må være klarert av klienter for AD FS, anbefaler vi at du bruker et SSL-sertifikat utstedt av en offentlig (tredjeparts) sertifiseringsinstans eller av en sertifiseringsinstans som er underordnet en offentlig klarert rot. for eksempel VeriSign eller Thawte. |
|
Token-signeringssertifikat |
Dette er et standard X.509-sertifikat som brukes for sikker signering av alle tokener som forbundsserveren utsteder, og som Microsoft 365 godtar og validerer. |
Tokensigneringssertifikatet må inneholde en privat nøkkel som kjeder til en klarert rot i FS. Som standard oppretter AD FS et selvsignert sertifikat. Avhengig av behovene i organisasjonen kan du imidlertid endre dette sertifikatet til et sertifikat utstedt av sertifiseringsinstansen ved hjelp av snapin-modulen for AD FS-administrasjon. Forsiktighet: Tokensigneringssertifikatet er avgjørende for stabiliteten til FS. Hvis sertifikatet endres, må Microsoft 365 varsles om endringen. Hvis varsling ikke er angitt, kan ikke brukere logge på Microsoft 365-tjenestetilbudene sine. Anbefaling: Vi anbefaler at du bruker det selvsignerte tokensigneringssertifikatet som genereres av AD FS. Når du gjør dette, administreres dette sertifikatet for deg som standard. Når for eksempel dette sertifikatet er i ferd med å utløpe, vil AD FS generere et nytt selvsignert sertifikat. |
Forbundsserverproxyer krever sertifikatet som er beskrevet i tabellen nedenfor.
| Sertifikattype | Beskrivelse | Det du trenger å vite før du distribuerer |
|---|---|---|
| SSL-sertifikat |
Dette er et standard SSL-sertifikat som brukes til å sikre kommunikasjon mellom en forbundsserver, en forbundsserverproxy og Internett-klientdatamaskiner. |
Dette SSL-sertifikatet må være bundet til standardnettstedet i IIS før du kan kjøre konfigurasjonsveiviseren for AD FS Federation Server Proxy. Dette sertifikatet må ha samme emnenavn som SSL-sertifikatet som ble konfigurert på forbundsserveren i firmanettverket. Anbefaling: Vi anbefaler at du bruker det samme servergodkjenningssertifikatet som er konfigurert på forbundsserveren som denne forbundsserverproxyen kobler til. |
Sertifikater for Autosøk, Outlook Anywhere og Active Directory-synkronisering
Eksterne Exchange 2013-, Exchange 2010-, Exchange 2007- og Exchange 2003-klientadgangsservere (CASs) krever et tredjeparts SSL-sertifikat for sikre tilkoblinger for autosøk, Outlook Anywhere og Active Directory-synkroniseringstjenester. Du har kanskje allerede installert dette sertifikatet i det lokale miljøet.
Sertifikat for en Exchange Hybrid Server
Den eksterne Exchange-hybridserveren eller -serverne krever et tredjeparts SSL-sertifikat for sikker tilkobling til Exchange Online-tjenesten. Du må få dette sertifikatet fra tredjeparts SSL-leverandør.
Sertifikatkjeder for Microsoft 365
Denne artikkelen beskriver sertifikatene du kanskje må installere på infrastrukturen. Hvis du vil ha mer informasjon om sertifikatene som er installert på Microsoft 365-serverne våre, kan du se Microsoft 365 Certificate Chains.