Compreendendo os requisitos de certificados
Aplica-se a: Exchange Server 2010 SP2
Tópico modificado em: 2016-11-28
Os certificados digitais são uma parte importante da proteção das comunicações entre a organização local do Exchange e o serviço baseado na nuvem, outros servidores locais do Exchange e seus clientes. Os certificados permitem que uma entidade confie na identidade da outra. Isso ajuda a garantir que um cliente ou servidor esteja se comunicando com a fonte certa.
Em uma implantação híbrida, vários serviços fazem uso de certificados:
AD FS (Servidores de Federação do Active Directory) Um certificado emitido por uma CA (autoridade de certificação) independente confiável é usado para estabelecer uma confiança entre clientes Web e proxies de servidor de federação, para assinar tokens de segurança e para descriptografar tokens de segurança.
Mais informações em: Certificados
Federação do Exchange Um certificado autoassinado é usado para criar uma conexão segura entre o servidor híbrido local do Exchange 2010 e o Microsoft Federation Gateway.
Mais informações em: Noções básicas sobre Delegação Federada
Serviços do Exchange Certificados autoassinados ou certificados emitidos por uma CA de terceiros confiável são usados para ajudar a proteger a comunicação de protocolo SSL entre servidores do Exchange e clientes. Serviços que usam certificados incluem Outlook Web App, Exchange ActiveSync, Outlook Anywhere e o transporte de mensagens.
Servidores existentes do Exchange Seus servidores existentes do Exchange podem fazer uso de certificados para ajudar a proteger a comunicação do Outlook Web App, o transporte de mensagens e assim por diante. Dependendo de como os certificados são usados em seus servidores do Exchange, podem ser usados certificados autoassinados ou certificados emitidos por uma CA de terceiros confiável.
Mais informações em: Noções Básicas Sobre Certificados Digitais e SSL
Requisitos de certificação para uma implantação híbrida
Quando configurar uma implantação híbrida, você deve configurar certificados. Você deve adquirir certificados de uma CA independente confiável. Vários serviços, como AD FS, federação do Exchange 2010, serviços do Exchange 2010 e Exchange, exigem certificados. Dependendo da sua organização, pode ser necessário executar um dos procedimentos a seguir:
Usar um certificado de terceiros usado por todos os serviços em vários servidores
Usar um certificado de terceiros para cada servidor que oferece serviços
A escolha entre o uso do mesmo certificado para todos os serviços ou de um certificado dedicado a cada serviço depende da sua organização e do serviço que está sendo implementado. Aqui estão alguns itens a serem levados em conta para cada opção:
Certificado de terceiros em múltplos servidores Certificados de terceiros usados por serviços em vários servidores podem ser um pouco mais baratos, mas podem complicar a renovação e a substituição. A complicação acontece porque, quando um certificado precisa ser substituído, ele deve ser substituído em todos os servidores nos quais foi instalado.
Certificado de terceiros para cada servidor O uso de um certificado dedicado para cada servidor que hospede serviços permite configurar o certificado especificamente para os serviços desse servidor. Se for necessário substituir o certificado ou renová-lo, basta substituí-lo no servidor no qual os serviços estão instalados. Os outros servidores não são afetados.
Recomendamos o uso de um certificado de terceiros dedicado para o servidor AD FS, outro certificado para os serviços do Exchange em seu servidor híbrido e, caso necessário, um certificado em seu servidor do Exchange. A delegação federada no servidor híbrido usa um certificado autoassinado por padrão. A não ser que você tenha necessidades específicas, não há a necessidade de uso de um certificado de terceiros com a delegação federada.
Os serviços instalados em um único servidor pode exigir a configuração de vários FQDNs (nomes de domínio totalmente qualificados) para o servidor. Adquira um certificado que aceite o número necessário de FQDNs. Os certificados consistem do nome de entidade e de um ou mais SANs (nomes alternativos de entidade) O nome da entidade é o FQDN para o qual o certificado é emitido. SANs são FQDNs adicionais que podem ser somados a um certificado além do nome da entidade. Se for necessário um certificado para dar suporte a cinco FQDNs, adquira um certificado que permita que cinco domínios sejam adicionados ao certificado: um nome de entidade e quatro SANs.
| Serviço | Servidor | FQDN sugerido |
|---|---|---|
AD FS (Serviços de Federação do Active Directory) (caso tenha optado por configurar os AD FS) |
ADFS |
Sts.contoso.com |
Delegação federada (caso tenha optado por configurar a delegação federada) |
Servidor híbrido |
Exchangedelegation.contoso.com |
Descoberta Automática |
Servidor híbrido |
Autodiscover.contoso.com |
Transporte |
Servidor híbrido |
Rótulo que corresponde ao FQDN externo de seu servidor híbrido do Exchange 2010, como mail2.contoso.com. |
Outlook Anywhere |
Servidor híbrido |
Rótulo que corresponde ao FQDN interno de seu servidor híbrido do Exchange 2010, como Ex2010.corp.contoso.com. Rótulo que corresponde ao nome de host interno de seu servidor híbrido do Exchange 2010, como Ex2010. |
Outlook Web App (Exchange 2010) |
Servidor híbrido |
Owa.contoso.com |
Outlook Web App (servidor do Exchange existente) |
Servidor do Exchange existente |
Rótulo que corresponde ao FQDN externo de seu servidor do Exchange existente, como mail1.contoso.com. |
© 2010 Microsoft Corporation. Todos os direitos reservados.