Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł dotyczy zarówno Microsoft 365 Enterprise, jak i Office 365 Enterprise.
Aby szyfrować komunikację między klientami a środowiskiem platformy Microsoft 365, na serwerach infrastruktury muszą być zainstalowane certyfikaty secure socket layer (SSL) innych firm.
Ten artykuł jest częścią planowania sieci i dostrajania wydajności dla platformy Microsoft 365.
Certyfikaty są wymagane dla następujących składników platformy Microsoft 365:
Lokalna wymiana
Logowanie jednokrotne (SSO) (zarówno dla serwerów federacyjnych Active Directory Federation Services (AD FS), jak i serwerów proxy serwerów federacyjnych usług AD FS)
usługi Exchange Online, takie jak wykrywanie automatyczne, program Outlook Anywhere i usługi Exchange Web Services
Serwer hybrydowy programu Exchange
Certyfikaty lokalnego programu Exchange
Aby zapoznać się z omówieniem sposobu używania certyfikatów cyfrowych w celu zapewnienia bezpieczeństwa komunikacji między lokalną organizacją programu Exchange i Exchange Online bezpiecznym, zobacz artykuł TechNet Understanding Certificate Requirements (Omówienie wymagań dotyczących certyfikatów).
Certyfikaty dla logowania jednokrotnego
Aby zapewnić użytkownikom uproszczone środowisko logowania jednokrotnego, które obejmuje niezawodne zabezpieczenia, certyfikaty wyświetlane w poniższej tabeli są wymagane na serwerach federacyjnych lub serwerach proxy serwera federacyjnego. Poniższa tabela koncentruje się na Active Directory Federation Services (AD FS), mamy również więcej informacji na temat korzystania z dostawców tożsamości innych firm.
| Typ certyfikatu | Opis | Co należy wiedzieć przed wdrożeniem |
|---|---|---|
|
Certyfikat SSL (nazywany również certyfikatem uwierzytelniania serwera) |
Jest to standardowy certyfikat SSL, który służy do zabezpieczania komunikacji między serwerami federacyjnymi, klientami i komputerami proxy serwera federacyjnego. |
Usługi AD FS wymagają certyfikatu SSL. Domyślnie usługi AD FS używa certyfikatu SSL, który jest skonfigurowany dla domyślnej witryny internetowej w usługach Internet Information Services (IIS). Nazwa podmiotu tego certyfikatu SSL służy do określania nazwy usługi federacyjnej (FS) dla każdego wdrożonego wystąpienia usług AD FS. Rozważ wybranie nazwy podmiotu dla wszelkich nowych certyfikatów wystawionych przez urząd certyfikacji, które najlepiej reprezentują nazwę firmy lub organizacji na platformie Microsoft 365. Ta nazwa musi być routingu internetowego. Ostrożność: Usługi AD FS wymagają, aby ten certyfikat SSL nie miał nazwy podmiotu bez kropki (krótkiej nazwy). Zalecenie: Ponieważ ten certyfikat musi być zaufany przez klientów usług AD FS, zalecamy użycie certyfikatu SSL wystawionego przez publiczny urząd certyfikacji (innej firmy) lub przez urząd certyfikacji podrzędny do publicznego zaufanego katalogu głównego; na przykład VeriSign lub Thawte. |
|
Certyfikat podpisywania tokenu |
Jest to standardowy certyfikat X.509 używany do bezpiecznego podpisywania wszystkich tokenów wystawianych przez serwer federacyjny oraz akceptowanych i weryfikowanych przez usługę Microsoft 365. |
Certyfikat podpisywania tokenu musi zawierać klucz prywatny, który jest łańcuchem do zaufanego katalogu głównego w usługach FS. Domyślnie usługi AD FS tworzy certyfikat z podpisem własnym. Jednak w zależności od potrzeb organizacji można zmienić ten certyfikat na certyfikat wystawiony przez urząd certyfikacji przy użyciu przystawki zarządzania usługami AD FS. Ostrożność: Certyfikat podpisywania tokenu ma kluczowe znaczenie dla stabilności usług FS. Jeśli certyfikat zostanie zmieniony, firma Microsoft 365 musi zostać powiadomiona o zmianie. Jeśli powiadomienie nie zostanie dostarczone, użytkownicy nie będą mogli zalogować się do swoich ofert usługi Microsoft 365. Zalecenie: Zalecamy użycie certyfikatu podpisywania tokenu z podpisem własnym, który jest generowany przez usługi AD FS. W ten sposób domyślnie zarządza tym certyfikatem. Na przykład gdy ten certyfikat wkrótce wygaśnie, usługi AD FS wygenerują nowy certyfikat z podpisem własnym. |
Serwery proxy serwera federacyjnego wymagają certyfikatu opisanego w poniższej tabeli.
| Typ certyfikatu | Opis | Co należy wiedzieć przed wdrożeniem |
|---|---|---|
| Certyfikat SSL |
Jest to standardowy certyfikat SSL używany do zabezpieczania komunikacji między serwerem federacyjnym, serwerem proxy serwera federacyjnego i komputerami klienckimi w Internecie. |
Aby można było pomyślnie uruchomić kreatora konfiguracji serwera proxy usług AD FS, ten certyfikat SSL musi być powiązany z domyślną witryną sieci Web w usługach IIS. Ten certyfikat musi mieć taką samą nazwę podmiotu jak certyfikat SSL, który został skonfigurowany na serwerze federacyjnym w sieci firmowej. Zalecenie: Zalecamy użycie tego samego certyfikatu uwierzytelniania serwera skonfigurowanego na serwerze federacyjnym, z którym łączy się ten serwer proxy serwera federacyjnego. |
Certyfikaty do wykrywania automatycznego, synchronizacji programu Outlook Anywhere i usługi Active Directory
Serwery dostępu klienta programu Exchange 2013, Exchange 2010, Exchange 2007 i Exchange 2003 wymagają certyfikatu SSL innej firmy na potrzeby bezpiecznych połączeń dla usług automatycznego wykrywania, programu Outlook Anywhere i usług synchronizacji usługi Active Directory. Ten certyfikat może już być zainstalowany w środowisku lokalnym.
Certyfikat dla serwera hybrydowego programu Exchange
Serwery lub serwery hybrydowe exchange z dostępem zewnętrznym wymagają certyfikatu SSL innej firmy w celu zapewnienia bezpiecznej łączności z usługą Exchange Online. Musisz pobrać ten certyfikat od innego dostawcy protokołu SSL.
Łańcuchy certyfikatów platformy Microsoft 365
W tym artykule opisano certyfikaty, które mogą być konieczne do zainstalowania w infrastrukturze. Aby uzyskać więcej informacji na temat certyfikatów zainstalowanych na naszych serwerach platformy Microsoft 365, zobacz Łańcuchy certyfikatów platformy Microsoft 365.