Noções Básicas dos Requisitos de Certificado para Implantações Híbridas
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2016-11-28
Os certificados digitais são uma parte importante da proteção das comunicações entre a organização local do Exchange e o serviço do Office 365, outros servidores locais do Exchange e seus clientes. Os certificados permitem que uma entidade confie na identidade da outra. Isso ajuda a garantir que um cliente ou servidor esteja se comunicando com a fonte certa.
Em uma implantação híbrida, vários serviços fazem uso de certificados:
AD FS (Servidores de Federação do Active Directory) Um certificado emitido por uma CA (autoridade de certificação) independente confiável é usado para estabelecer uma confiança entre clientes Web e proxies de servidor de federação, para assinar tokens de segurança e para descriptografar tokens de segurança.
Mais informações em: Certificados
Federação do Exchange Um certificado autoassinado é usado para criar uma conexão segura entre os servidores locais do Exchange Server 2010 SP2 configurados para implantação híbrida (que são, "servidores híbridos") e o Microsoft Federation Gateway.
Mais informações em: Noções básicas sobre Delegação Federada
Serviços do Exchange Certificados emitidos por uma CA terceirizada são usados para aumentar a segurança das comunicações Secure Sockets Layer (SSL) entre servidores e clientes do Exchange. Serviços que usam certificados incluem Outlook Web App, Exchange ActiveSync, Outlook em Qualquer Lugar e o transporte de mensagens.
Servidores existentes do Exchange Seus servidores existentes do Exchange podem fazer uso de certificados para ajudar a proteger a comunicação do Outlook Web App, o transporte de mensagens e assim por diante. Dependendo de como os certificados são usados em seus servidores do Exchange, podem ser usados certificados autoassinados ou certificados emitidos por uma CA de terceiros confiável.
Mais informações em: Noções Básicas Sobre Certificados Digitais e SSL
Requisitos de certificação para uma implantação híbrida
Quando configurar uma implantação híbrida, você deve configurar certificados. Você deve adquirir certificados de uma CA independente confiável. Vários serviços, como AD FS, federação do Exchange 2010, serviços do Exchange 2010 e Exchange, exigem certificados. Dependendo da sua organização, pode ser necessário executar um dos procedimentos a seguir:
Usar um certificado de terceiros usado por todos os serviços em vários servidores.
Usar um certificado de terceiros para cada servidor que oferece serviços.
A escolha entre o uso do mesmo certificado para todos os serviços ou de um certificado dedicado a cada serviço depende da sua organização e do serviço que está sendo implementado. Aqui estão alguns itens a serem levados em conta para cada opção:
Certificado de terceiros em múltiplos servidores Certificados de terceiros usados por serviços em vários servidores podem ser um pouco mais baratos, mas podem complicar a renovação e a substituição. A complicação acontece porque, quando um certificado precisa ser substituído, ele deve ser substituído em todos os servidores nos quais foi instalado.
Certificado de terceiros para cada servidor O uso de um certificado dedicado para cada servidor que hospede serviços permite configurar o certificado especificamente para os serviços desse servidor. Se for necessário substituir o certificado ou renová-lo, basta substituí-lo no servidor no qual os serviços estão instalados. Os outros servidores não são afetados.
Recomendamos o uso de um certificado de terceiros dedicado para o servidor AD FS, outro certificado para os serviços do Exchange em seu servidores híbridos e, caso necessário, um certificado em seu servidor do Exchange. A confiança federada local configurada como parte da delegação federada usa um certificado autoassinado por padrão. A não ser que você tenha necessidades específicas, não há a necessidade de uso de um certificado de terceiros com a confiança da federação configurada como parte da delegação federada.
Os serviços instalados em um único servidor pode exigir a configuração de vários FQDNs (nomes de domínio totalmente qualificados) para o servidor. Adquira um certificado que aceite o número necessário de FQDNs. Os certificados consistem do nome de entidade e de um ou mais SANs (nomes alternativos de entidade) O nome da entidade é o FQDN para o qual o certificado é emitido. SANs são FQDNs adicionais que podem ser somados a um certificado além do nome da entidade. Se for necessário um certificado para dar suporte a cinco FQDNs, adquira um certificado que permita que cinco domínios sejam adicionados ao certificado: um nome de entidade e quatro SANs.
Service | Servidor | FQDN sugerido |
---|---|---|
AD FS (Serviços de Federação do Active Directory) (caso tenha optado por configurar os AD FS) |
ADFS |
sts.contoso.com |
Descoberta Automática |
Servidores híbridos |
autodiscover.contoso.com |
Transporte |
Servidores híbridos |
Rótulo que corresponde ao FQDN externo de seus servidores híbridos Exchange 2010 SP2, tal como hybrid.contoso.com. |
Outlook em Qualquer Lugar |
Servidores híbridos |
Rótulo que corresponde ao FQDN interno de seu servidores híbridos do Exchange 2010 SP2, como Ex2010.corp.contoso.com. Rótulo que corresponde ao nome de host interno de seu servidores híbridos do Exchange 2010 SP2, como Ex2010. |
Outlook Web App (Exchange 2010) |
Servidores híbridos |
owa.contoso.com |
Outlook Web App (servidor do Exchange existente) |
Servidor do Exchange existente |
Rótulo que corresponde ao FQDN externo de seu servidor Exchange existente, como mail1.contoso.com. |
© 2010 Microsoft Corporation. Todos os direitos reservados.