Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.
Als u de communicatie tussen uw clients en de Microsoft 365-omgeving wilt versleutelen, moeten SSL-certificaten (Secure Socket Layer) van derden op uw infrastructuurservers worden geïnstalleerd.
Dit artikel maakt deel uit van Netwerkplanning en het afstemmen van prestaties voor Microsoft 365.
Certificaten zijn vereist voor de volgende Microsoft 365-onderdelen:
Exchange on-premises
Eenmalige aanmelding (SSO) (voor zowel de Active Directory Federation Services (AD FS)-federatieservers als AD FS-federatieserverproxy's)
Exchange Online services, zoals Automatisch opsporen, Outlook Anywhere en Exchange Web Services
Hybride Exchange-server
Certificaten voor Exchange on-premises
Zie het TechNet-artikel Informatie over certificaatvereisten voor een overzicht over het gebruik van digitale certificaten om de communicatie tussen de on-premises Exchange-organisatie en Exchange Online te beveiligen.
Certificaten voor eenmalige aanmelding
Om uw gebruikers een vereenvoudigde ervaring voor eenmalige aanmelding te bieden met robuuste beveiliging, zijn de certificaten in de volgende tabel vereist op de federatieservers of de federatieserverproxy's. De onderstaande tabel is gericht op Active Directory Federation Services (AD FS), we hebben ook meer informatie over het gebruik van externe id-providers.
| Certificaattype | Beschrijving | Wat u moet weten voordat u implementeert |
|---|---|---|
|
SSL-certificaat (ook wel een serververificatiecertificaat genoemd) |
Dit is een standaard SSL-certificaat dat wordt gebruikt om communicatie tussen federatieservers, clients en federatieserverproxycomputers te beveiligen. |
AD FS vereist een SSL-certificaat. Standaard gebruikt AD FS het SSL-certificaat dat is geconfigureerd voor de standaardwebsite in Internet Information Services (IIS). De onderwerpnaam van dit SSL-certificaat wordt gebruikt om de naam van de Federation Service (FS) te bepalen voor elk exemplaar van AD FS dat u implementeert. Overweeg om een onderwerpnaam te kiezen voor nieuwe certificeringsinstantie (CA)-certificaten die het beste de naam van uw bedrijf of organisatie vertegenwoordigen voor Microsoft 365. Deze naam moet routeerbaar zijn via internet. Voorzichtigheid: AD FS vereist dat dit SSL-certificaat geen puntloze onderwerpnaam (korte naam) heeft. Aanbeveling: Omdat dit certificaat moet worden vertrouwd door clients van AD FS, raden we u aan een SSL-certificaat te gebruiken dat is uitgegeven door een openbare (externe) CA of door een CA die ondergeschikt is aan een openbaar vertrouwde basis; bijvoorbeeld VeriSign of Thawte. |
|
Tokenondertekeningscertificaat |
Dit is een standaard X.509-certificaat dat wordt gebruikt voor het veilig ondertekenen van alle tokens die de federatieserver uitgeeft en die Microsoft 365 accepteert en valideert. |
Het tokenondertekeningscertificaat moet een persoonlijke sleutel bevatten die is gekoppeld aan een vertrouwde hoofdmap in de FS. Ad FS maakt standaard een zelfondertekend certificaat. Afhankelijk van de behoeften van uw organisatie kunt u dit certificaat echter wijzigen in een ca-uitgegeven certificaat met behulp van de AD FS-beheermodule. Voorzichtigheid: Het tokenondertekeningscertificaat is essentieel voor de stabiliteit van de FS. Als het certificaat wordt gewijzigd, moet Microsoft 365 op de hoogte worden gesteld van de wijziging. Als er geen melding wordt opgegeven, kunnen gebruikers zich niet aanmelden bij hun Microsoft 365-serviceaanbiedingen. Aanbeveling: U wordt aangeraden het zelfondertekende tokenondertekeningscertificaat te gebruiken dat wordt gegenereerd door AD FS. Hierdoor wordt dit certificaat standaard voor u beheerd. Wanneer dit certificaat bijvoorbeeld bijna verloopt, genereert AD FS een nieuw zelfondertekend certificaat. |
Federatieserverproxy's vereisen het certificaat dat wordt beschreven in de volgende tabel.
| Certificaattype | Beschrijving | Wat u moet weten voordat u implementeert |
|---|---|---|
| SSL-certificaat |
Dit is een standaard SSL-certificaat dat wordt gebruikt voor het beveiligen van communicatie tussen een federatieserver, een federatieserverproxy en internetclientcomputers. |
Dit SSL-certificaat moet zijn gebonden aan de standaardwebsite in IIS voordat u de wizard AD FS-federatieve serverproxy configureren kunt uitvoeren. Dit certificaat moet dezelfde onderwerpnaam hebben als het SSL-certificaat dat is geconfigureerd op de federatieserver in het bedrijfsnetwerk. Aanbeveling: U wordt aangeraden hetzelfde certificaat voor serververificatie te gebruiken dat is geconfigureerd op de federatieserver waarmee deze federatieserverproxy verbinding maakt. |
Certificaten voor Automatische detectie, Outlook Anywhere en Active Directory-synchronisatie
Voor uw extern gerichte Exchange 2013-, Exchange 2010-, Exchange 2007- en Exchange 2003-clienttoegangsservers (CASs) is een SSL-certificaat van derden vereist voor beveiligde verbindingen voor Automatische detectie, Outlook Anywhere en Active Directory-synchronisatieservices. Dit certificaat is mogelijk al geïnstalleerd in uw on-premises omgeving.
Certificaat voor een hybride Exchange-server
Voor uw extern gerichte hybride Exchange-server of -servers is een SSL-certificaat van derden vereist voor een veilige verbinding met de Exchange Online-service. U moet dit certificaat ophalen bij uw externe SSL-provider.
Microsoft 365-certificaatketens
In dit artikel worden de certificaten beschreven die u mogelijk moet installeren op uw infrastructuur. Zie Microsoft 365-certificaatketens voor meer informatie over de certificaten die zijn geïnstalleerd op onze Microsoft 365-servers.