Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
För att kryptera kommunikationen mellan dina klienter och Microsoft 365-miljön måste SSL-certifikat (Secure Socket Layer) från tredje part vara installerade på infrastrukturservrarna.
Den här artikeln är en del av nätverksplanering och prestandajustering för Microsoft 365.
Certifikat krävs för följande Microsoft 365-komponenter:
Exchange on-premises
Enkel inloggning (SSO) (både för federationsservrarna för Active Directory Federation Services (AD FS) (AD FS) och AD FS-federationsserverproxyservrar)
Exchange Online tjänster, till exempel automatisk upptäckt, Outlook Överallt och Exchange Web Services
Exchange-hybridserver
Certifikat för Exchange on-premises
En översikt över hur du använder digitala certifikat för att göra kommunikationen mellan den lokala Exchange-organisationen och Exchange Online säker finns i TechNet-artikeln Förstå certifikatkrav.
Certifikat för enkel inloggning
För att ge användarna en förenklad enkel inloggningsupplevelse som innehåller robust säkerhet krävs certifikaten som visas i följande tabell på federationsservrarna eller federationsserverproxyservrarna. Tabellen nedan fokuserar på Active Directory Federation Services (AD FS) (AD FS) och vi har även mer information om hur du använder identitetsprovidrar från tredje part.
| Certifikattyp | Beskrivning | Vad du behöver veta innan du distribuerar |
|---|---|---|
|
SSL-certifikat (kallas även för ett certifikat för serverautentisering) |
Det här är ett standard-SSL-certifikat som används för att skydda kommunikationen mellan federationsservrar, klienter och federationsserverproxydatorer. |
AD FS kräver ett SSL-certifikat. Som standard använder AD FS SSL-certifikatet som är konfigurerat för standardwebbplatsen i Internet Information Services (IIS). Ämnesnamnet för det här SSL-certifikatet används för att fastställa namnet på federationstjänsten (FS) för varje instans av AD FS som du distribuerar. Överväg att välja ett ämnesnamn för nya certifikatutfärdare (CA)-utfärdade certifikat som bäst representerar namnet på ditt företag eller din organisation för Microsoft 365. Det här namnet måste vara internetroutningsbart. Försiktighet: AD FS kräver att det här SSL-certifikatet inte har något punktlöst (kortnamn) ämnesnamn. Rekommendation: Eftersom det här certifikatet måste vara betrott av klienter i AD FS rekommenderar vi att du använder ett SSL-certifikat utfärdat av en offentlig (tredje part) CA eller av en certifikatutfärdare som är underordnad en offentligt betrodd rot. Till exempel VeriSign eller Thawte. |
|
Certifikat för tokensignering |
Det här är ett X.509-standardcertifikat som används för säker signering av alla token som federationsservern utfärdar och som Microsoft 365 accepterar och validerar. |
Certifikatet för tokensignering måste innehålla en privat nyckel som är kedjad till en betrodd rot i FS. Som standard skapar AD FS ett självsignerat certifikat. Beroende på organisationens behov kan du dock ändra det här certifikatet till ett CERTIFIKAT som utfärdats av certifikatutfärdaren med hjälp av snapin-modulen för AD FS-hantering. Försiktighet: Certifikatet för tokensignering är viktigt för stabiliteten i FS. Om certifikatet ändras måste Microsoft 365 meddelas om ändringen. Om meddelandet inte tillhandahålls kan användarna inte logga in på sina Microsoft 365-tjänsterbjudanden. Rekommendation: Vi rekommenderar att du använder det självsignerade tokensigneringscertifikatet som genereras av AD FS. På så sätt hanterar den det här certifikatet åt dig som standard. När det här certifikatet till exempel håller på att upphöra att gälla genererar AD FS ett nytt självsignerat certifikat. |
Federationsserverproxy kräver det certifikat som beskrivs i följande tabell.
| Certifikattyp | Beskrivning | Vad du behöver veta innan du distribuerar |
|---|---|---|
| SSL-certifikat |
Detta är ett standard-SSL-certifikat som används för att skydda kommunikationen mellan en federationsserver, en federationsserverproxy och Internetklientdatorer. |
Det här SSL-certifikatet måste vara bundet till standardwebbplatsen i IIS innan du kan köra konfigurationsguiden för AD FS Federation Server Proxy. Certifikatet måste ha samma ämnesnamn som SSL-certifikatet som konfigurerades på federationsservern i företagsnätverket. Rekommendation: Vi rekommenderar att du använder samma certifikat för serverautentisering som är konfigurerat på federationsservern som federationsserverproxyn ansluter till. |
Certifikat för automatisk upptäckt, Outlook Överallt och Active Directory-synkronisering
Dina externa Exchange 2013-, Exchange 2010-, Exchange 2007- och Exchange 2003-klientåtkomstservrar (CAS) kräver ett SSL-certifikat från tredje part för säkra anslutningar för automatisk upptäckt, Outlook Anywhere och Active Directory-synkroniseringstjänster. Du kanske redan har det här certifikatet installerat i din lokala miljö.
Certifikat för en Exchange Hybrid Server
Din externa Exchange-hybridserver eller -servrar kräver ett SSL-certifikat från tredje part för säker anslutning till Exchange Online-tjänsten. Du måste hämta det här certifikatet från din SSL-provider från tredje part.
Microsoft 365-certifikatkedjor
I den här artikeln beskrivs de certifikat som du kan behöva installera i infrastrukturen. Mer information om de certifikat som är installerade på våra Microsoft 365-servrar finns i Microsoft 365-certifikatkedjor.