规划 Microsoft 365 的第三方 SSL 证书
此文章适用于 Microsoft 365 企业版和 Office 365 企业版。
若要加密客户端与 Microsoft 365 环境之间的通信,必须在基础结构服务器上安装第三方安全套接字层 (SSL) 证书。
本文是 Microsoft 365 的网络规划和性能优化的一部分。
以下 Microsoft 365 组件需要证书:
本地 Exchange
Active Directory 联合身份验证服务 (AD FS) () 联合服务器和 AD FS 联合服务器代理的单一登录 (SSO)
Exchange Online服务,例如自动发现、Outlook Anywhere 和 Exchange Web Services
Exchange 混合服务器
本地 Exchange 证书
有关如何使用数字证书使本地 Exchange 组织和Exchange Online之间的通信安全的概述,请参阅 TechNet 文章了解证书要求。
单一登录证书
若要为用户提供包含强大安全性的简化单一登录体验,联合服务器或联合服务器代理上都需要下表中显示的证书。 下表重点介绍了Active Directory 联合身份验证服务 (AD FS) ,我们还提供了有关使用第三方标识提供者的详细信息。
证书类型 | 说明 | 部署前需要了解的内容 |
---|---|---|
SSL 证书 (也称为服务器身份验证证书) |
这是一种标准 SSL 证书,用于确保联合服务器、客户端和联合服务器代理计算机之间的通信安全。 |
AD FS 需要 SSL 证书。 默认情况下,AD FS 使用为 Internet Information Services (IIS) 中默认网站配置的 SSL 证书。 此 SSL 证书的使用者名称用于确定部署的每个 AD FS 实例的联合身份验证服务 (FS) 名称。 考虑为任何新的证书颁发机构选择一个使用者名称, (CA) 颁发的证书,该证书最能代表你的公司或组织的名称到 Microsoft 365。 此名称必须可 Internet 路由。 谨慎: AD FS 要求此 SSL 证书没有无点 (短名称) 使用者名称。 建议: 由于此证书必须受到 AD FS 客户端的信任,因此建议使用由公共 (第三方) CA 或从属于公共受信任的根的 CA 颁发的 SSL 证书;例如,VeriSign 或 Thawte。 |
令牌签名证书 |
这是标准 X.509 证书,用于对联合服务器颁发的所有令牌进行安全签名,并且 Microsoft 365 接受并验证。 |
令牌签名证书必须包含链接到 FS 中受信任根的私钥。 默认情况下,AD FS 会创建自签名证书。 但是,根据组织的需要,可以使用 AD FS 管理单元将此证书更改为 CA 颁发的证书。 谨慎: 令牌签名证书对 FS 的稳定性至关重要。 如果证书已更改,则必须将更改通知 Microsoft 365。 如果未提供通知,则用户无法登录到其 Microsoft 365 服务产品。 建议: 建议使用 AD FS 生成的自签名令牌签名证书。 通过这样做,它默认为你管理此证书。 例如,当此证书即将过期时,AD FS 将生成新的自签名证书。 |
联合服务器代理需要下表中所述的证书。
证书类型 | 说明 | 部署前需要了解的内容 |
---|---|---|
SSL 证书 |
这是一个标准 SSL 证书,用于保护联合服务器、联合服务器代理和 Internet 客户端计算机之间的通信。 |
此 SSL 证书必须绑定到 IIS 中的默认网站,然后才能成功运行 AD FS 联合服务器代理配置向导。 此证书的使用者名称必须与在企业网络中的联合服务器上配置的 SSL 证书相同。 建议: 建议使用此联合服务器代理连接到的联合服务器上配置的相同服务器身份验证证书。 |
用于自动发现、Outlook Anywhere 和 Active Directory 同步的证书
面向外部的 Exchange 2013、Exchange 2010、Exchange 2007 和 Exchange 2003 客户端访问服务器 (CAS) 需要第三方 SSL 证书,以便自动发现、Outlook Anywhere 和 Active Directory 同步服务的安全连接。 你可能已在本地环境中安装了此证书。
Exchange 混合服务器的证书
面向外部的 Exchange 混合服务器需要第三方 SSL 证书,以便与Exchange Online服务建立安全连接。 需要从第三方 SSL 提供程序获取此证书。
Microsoft 365 证书链
本文介绍可能需要在基础结构上安装的证书。 有关在 Microsoft 365 服务器上安装的证书的详细信息,请参阅 Microsoft 365 证书链。