Планирование сторонних SSL-сертификатов для Microsoft 365
Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.
Чтобы зашифровать обмен данными между клиентами и средой Microsoft 365, на серверах инфраструктуры должны быть установлены сторонние ssl-сертификаты.
Эта статья является частью планирования сети и настройки производительности для Microsoft 365.
Сертификаты требуются для следующих компонентов Microsoft 365:
Локальная среда Exchange
Единый вход (SSO) (для серверов федерации службы федерации Active Directory (AD FS) (AD FS) и прокси-серверов федерации AD FS)
Exchange Online службы, такие как автообнаружение, Мобильный Outlook и веб-службы Exchange
Гибридный сервер Exchange
Сертификаты для локальной среды Exchange
Общие сведения об использовании цифровых сертификатов для обеспечения безопасности обмена данными между локальной организацией Exchange и Exchange Online см. в статье TechNet Общие сведения о требованиях к сертификатам.
Сертификаты для единого входа
Чтобы предоставить пользователям упрощенный интерфейс единого входа, обеспечивающий надежную безопасность, сертификаты, показанные в следующей таблице, требуются на серверах федерации или прокси-серверах федерации. В приведенной ниже таблице основное внимание уделяется службы федерации Active Directory (AD FS) (AD FS). Мы также предлагаем дополнительные сведения об использовании сторонних поставщиков удостоверений.
| Тип сертификата | Описание | Что необходимо знать перед развертыванием |
|---|---|---|
| SSL-сертификат (также называемый сертификатом проверки подлинности сервера) |
Это стандартный SSL-сертификат, который используется для обеспечения безопасной связи между серверами федерации, клиентами и прокси-компьютерами сервера федерации. |
Для AD FS требуется SSL-сертификат. По умолчанию AD FS использует SSL-сертификат, настроенный для веб-сайта по умолчанию в службах IIS. Имя субъекта этого SSL-сертификата используется для определения имени службы федерации (FS) для каждого развертываемого экземпляра AD FS. Рассмотрите возможность выбора имени субъекта для новых сертификатов, выданных центром сертификации (ЦС), которое лучше всего представляет название вашей компании или организации в Microsoft 365. Это имя должно быть интернет-маршрутизируемым. Осторожностью: Ad FS требует, чтобы этот SSL-сертификат не был безточием (краткое имя) имени субъекта. Рекомендации: Так как этот сертификат должен быть доверенным для клиентов AD FS, рекомендуется использовать SSL-сертификат, выданный общедоступным (сторонним) ЦС или ЦС, подчиненным общедоступному доверенному корню. например, VeriSign или Thawte. |
| Сертификат для подписи токенов |
Это стандартный сертификат X.509, который используется для безопасной подписи всех маркеров, которые выдает сервер федерации и которые Microsoft 365 принимает и проверяет. |
Сертификат подписи маркера должен содержать закрытый ключ, который связан с доверенным корневым каталогом в FS. По умолчанию AD FS создает самозаверяющий сертификат. Однако в зависимости от потребностей организации этот сертификат можно изменить на сертификат, выданный ЦС, с помощью оснастки управления AD FS. Осторожностью: Сертификат подписи маркеров имеет решающее значение для стабильности FS. Если сертификат изменен, Microsoft 365 должен быть уведомлен об изменении. Если уведомление не предоставлено, пользователи не смогут войти в свои предложения служб Microsoft 365. Рекомендации: Рекомендуется использовать самозаверяющий сертификат подписи маркеров, созданный AD FS. Таким образом он управляет этим сертификатом за вас по умолчанию. Например, когда срок действия этого сертификата скоро истечет, AD FS создаст новый самозаверяющий сертификат. |
Для прокси-серверов федерации требуется сертификат, описанный в следующей таблице.
| Тип сертификата | Описание | Что необходимо знать перед развертыванием |
|---|---|---|
| Сертификат SSL |
Это стандартный SSL-сертификат, который используется для защиты обмена данными между сервером федерации, прокси-сервером федерации и клиентскими компьютерами в Интернете. |
Этот SSL-сертификат должен быть привязан к веб-сайту по умолчанию в IIS, прежде чем вы сможете успешно запустить мастер настройки прокси-сервера федерации AD FS. Этот сертификат должен иметь то же имя субъекта, что и SSL-сертификат, настроенный на сервере федерации в корпоративной сети. Рекомендации: Рекомендуется использовать тот же сертификат проверки подлинности сервера, который настроен на сервере федерации, к которому подключается прокси-сервер федерации. |
Сертификаты для автообнаружения, outlook anywhere и синхронизации Active Directory
Для серверов клиентского доступа Exchange 2013, Exchange 2010, Exchange 2007 и Exchange 2003 Client Access (CAS) требуется ssl-сертификат стороннего поставщика для безопасных подключений для служб автообнаружения, Outlook Anywhere и Службы синхронизации Active Directory. Возможно, этот сертификат уже установлен в локальной среде.
Сертификат для гибридного сервера Exchange
Вашему внешнему гибридному серверу Exchange или серверам требуется сторонний SSL-сертификат для безопасного подключения к службе Exchange Online. Этот сертификат необходимо получить у стороннего поставщика SSL.
Цепочки сертификатов Microsoft 365
В этой статье описываются сертификаты, которые могут потребоваться установить в инфраструктуре. Дополнительные сведения о сертификатах, установленных на наших серверах Microsoft 365, см. в разделе Цепочки сертификатов Microsoft 365.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по