Requisitos de certificado para implantações híbridas
Em uma implantação híbrida, os certificados digitais são uma parte importante para proteger a comunicação entre a organização local do Exchange e o Microsoft 365 ou Office 365. Os certificados permitem que cada organização do Exchange confie na identidade de outra. Os certificados também ajudam a garantir que cada organização do Exchange esteja se comunicando com a origem certa.
Em uma implantação híbrida, vários serviços fazem uso de certificados:
Microsoft Entra Conectar (Microsoft Entra Conectar) com Serviços de Federação do Active Directory (AD FS) (AD FS): se você optar por implantar Microsoft Entra Conecte-se ao AD FS como parte de sua implantação híbrida, um certificado emitido por uma autoridade de certificado confiável de terceiros (AC) é usado para estabelecer uma confiança entre clientes Web e proxies de servidor de federação, para assinar tokens de segurança e para descriptografar tokens de segurança.
Saiba mais em Certificados.
Federação de troca: um certificado autoassinado é usado para criar uma conexão segura entre os servidores locais do Exchange e o sistema de autenticação Microsoft Entra.
Saiba mais no Compartilhamento.
Serviços de exchange: certificados emitidos por uma AC confiável de terceiros são usados para ajudar a proteger a comunicação da SSL (Secure Sockets Layer) entre servidores do Exchange e clientes. Serviços que usam certificados incluem Outlook na Web, Exchange ActiveSync, Outlook em Qualquer Lugar e o transporte de mensagens seguro.
Servidores exchange existentes: seus servidores exchange existentes podem usar certificados para ajudar a proteger Outlook na Web comunicação, transporte de mensagens e assim por diante. Dependendo de como os certificados são usados em seus servidores do Exchange, podem ser usados certificados autoassinados ou certificados emitidos por uma CA de terceiros confiável.
Requisitos de certificação para uma implantação híbrida
Ao configurar uma implantação híbrida, você deve usar e configurar os certificados que adquiriu de uma CA de terceiros confiável. O certificado usado para o transporte de email híbrido seguro deve ser instalado em todos os servidores locais de Caixa de Correio (Exchange 2016 e mais recentes) e de Acesso para Cliente (Exchange 2013 e mais antigos).
Importante
Se você estiver configurando uma implantação híbrida em uma organização com Exchange Servers implantados em várias florestas do Active Directory, deverá usar um certificado de CA de terceiros separado para cada floresta do Active Directory.
Quando servidores de Transporte de Borda do Exchange são implantados em uma organização local, esse certificado também deve ser instalado em todos os servidores de Transporte de Borda. Cada servidor de transporte do Edge deve usar um certificado que compartilhe a mesma AC emissora e o mesmo assunto para que o email de segurança híbrida funcione corretamente.
Vários serviços, como AD FS, federação do Exchange, serviços e Exchange exigem certificados. Dependendo da sua organização, pode ser necessário executar um dos procedimentos a seguir:
Usar um certificado de terceiros usado por todos os serviços em vários servidores.
Usar um certificado de terceiros para cada servidor que oferece serviços.
A escolha entre o uso do mesmo certificado para todos os serviços ou de um certificado dedicado a cada serviço depende da sua organização e do serviço que está sendo implementado. Aqui estão alguns itens a serem levados em conta para cada opção:
Certificado de terceiros em vários servidores: certificados de terceiros usados pelos serviços em vários servidores podem ser um pouco mais baratos de obter, mas podem complicar a renovação e a substituição. A complicação acontece porque, quando um certificado precisa ser substituído, ele deve ser substituído em todos os servidores nos quais foi instalado.
Certificado de terceiros para cada servidor: usar um certificado dedicado para cada servidor que hospeda serviços permite configurar o certificado especificamente para os serviços nesse servidor. Se for necessário substituir o certificado ou renová-lo, basta substituí-lo no servidor no qual os serviços estão instalados. Os outros servidores não são afetados.
Recomendamos o uso de um certificado de terceiros dedicado para cada servidor AD FS opcional, outro certificado para os serviços do Exchange para sua implantação híbrida e, caso necessário, outro certificado em seus servidores do Exchange para outros serviços ou recursos necessários. A confiança de federação local configurada como parte do compartilhamento delegado em uma implantação híbrida usa um certificado autoassinado por padrão. A não ser que você tenha necessidades específicas, não há a necessidade de uso de um certificado de terceiros com a confiança da federação configurada como parte de uma implantação híbrida.
Os serviços instalados em um único servidor podem exigir a configuração de vários FQDNs (nomes de domínio totalmente qualificados) para o servidor. Você deve adquirir um certificado que aceite o número máximo necessário de FQDNs. Os certificados consistem no nome da entidade (também denominado nome principal) e um ou mais SANs (nomes alternativos de entidade). O nome do assunto é o domínio SMTP primário compartilhado entre as organizações locais e Exchange Online. Os SANs são FQDNs adicionais que podem ser somados a um certificado além do nome da entidade. Se for necessário um certificado para dar suporte a cinco FQDNs, adquira um certificado que permita que cinco domínios sejam adicionados ao certificado: um nome de entidade e quatro SANs.
A tabela a seguir descreve os FQDNs mínimos sugeridos que devem ser incluídos em certificados configurados para uso em uma implantação híbrida.
Serviço | FQDN sugerido | Campo |
---|---|---|
Domínio de SMTP principal compartilhado | contoso.com | Nome da entidade |
Descoberta Automática | Rótulo que corresponde ao FQDN de Descoberta Automática externo de seu servidor de Acesso para Cliente do Exchange 2013, como autodiscover.contoso.com | Nome alternativo da entidade |
Transporte | Rótulo que corresponde ao FQDN externo de seus servidores de Transporte de Borda existente, como edge.contoso.com | Nome alternativo da entidade |
Se você não precisar retransmitir mensagens de email para a Internet por meio de Office 365, poderá usar o nome do serviço de transporte no nome do assunto em vez do domínio SMTP compartilhado primário. Para obter mais informações, consulte Configurar um conector baseado em certificado para retransmitir mensagens de email por meio de Office 365.