了解证书要求

项目
03/06/2017

适用于： Exchange Server 2010 SP2

上一次修改主题： 2016-11-28

数字证书是保护内部部署 Exchange 组织与基于云的服务、其他内部部署 Exchange 服务器和客户端之间的通信安全的重要组成部分。证书使一个实体可以信任另一个实体的标识。这有助于确保客户端或服务器与正确的源通信。

在混合部署中，使多个服务会使用证书：

Active Directory 联合身份验证服务 (AD FS) 受信任第三方证书颁发机构 (CA) 颁发的证书用于在 Web 客户端与联合服务器代理之间建立信任，以对安全令牌进行签名并对安全令牌进行解密。

可在以下位置了解详细信息：证书
Exchange 联合身份验证 自签名证书用于在内部部署 Exchange 2010 混合服务器与 Microsoft 联合网关之间创建安全连接。

可在以下位置了解详细信息：了解联合委派
Exchange 服务：自签名证书或受信任第三方 CA 颁发的证书用于帮助保护 Exchange 服务器与客户端之间的安全套接字层 (SSL) 通信的安全。使用证书的服务包括 Outlook Web App、Exchange ActiveSync、Outlook Anywhere 和邮件传输。
现有 Exchange 服务器 现有的 Exchange 服务器可利用证书帮助保护 Outlook Web App 通信、邮件传输等的安全。根据在 Exchange 服务器上使用证书的方式，可以使用自签名证书或受信任第三方 CA 颁发的证书。

可在以下位置了解详细信息：了解数字证书和 SSL

混合部署的证书要求

配置混合部署时，必须配置证书。必须从受信任的第三方 CA 购买证书。多种服务（如 AD FS、Exchange 2010 联合身份验证、Exchange 2010 服务和 Exchange）各自都需要证书。根据组织，可以决定执行以下操作之一：

跨多个服务器使用由所有服务使用的第三方证书
对提供服务的每部服务器使用第三方证书

是选择对所有服务使用相同证书还是对每种服务使用专用证书，取决于您的组织和要实现的服务。下面是针对每个选项需要考虑的一些事项：

跨多个服务器的第三方证书 跨多个服务器的服务使用的第三方证书的获取费用可能稍低一些，但是其续订和替换可能比较复杂。出现这种复杂性是因为：当证书需要替换时，您需要在安装证书的每部服务器上都替换证书。
每个服务器的第三方证书：通过对承载服务的每个服务器都使用专用证书，可以为该服务器上的服务专门配置证书。如果需要替换证书或续订证书，则只需在安装服务的服务器上进行替换。其他服务器不会受到影响。

建议您对 AD FS 服务器使用专用第三方证书，对混合服务器上的 Exchange 服务使用另一个证书，并在 Exchange 服务器上使用一个证书（如果需要）。默认情况下，混合服务器上的联合委派会使用自签名证书。除非您有特定要求，否则无需对联合委派使用第三方证书。

安装在单个服务器上的服务，可能需要您为该服务器配置多个完全限定域名 (FQDN)。请购买允许使用所需数目 FQDN 的证书。证书包含主题（或主体）、名称以及一或多个主题备用名称 (SAN)。主题名称是颁发给证书的 FQDN。SAN 是除了主题名称之外，可以添加到证书的其他 FQDN。如果需要证书支持五个 FQDN，请购买允许向证书添加五个域的证书：一个主题名称和四个 SAN。

服务	服务器	建议的 FQDN
Active Directory 联合身份验证服务 (AD FS)（如果选择配置 AD FS）	ADFS	Sts.contoso.com
联合委派（如果选择配置联合委派）	混合服务器	Exchangedelegation.contoso.com
自动发现	混合服务器	Autodiscover.contoso.com
传输	混合服务器	与 Exchange 2010 混合服务器的外部 FQDN 匹配的标签，如 mail2.contoso.com。
Outlook Anywhere	混合服务器	与 Exchange 2010 混合服务器的内部 FQDN 匹配的标签，如 Ex2010.corp.contoso.com。与 Exchange 2010 混合服务器的内部主机名匹配的标签，如 Ex2010。
Outlook Web App (Exchange 2010)	混合服务器	Owa.contoso.com
Outlook Web App（现有 Exchange 服务器）	现有 Exchange 服务器	与现有 Exchange 服务器的外部 FQDN 匹配的标签，如 mail1.contoso.com。

了解证书要求

混合部署的证书要求

其他资源