了解混合部署的证书要求
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
数字证书是保护内部部署 Exchange 组织与 Microsoft Office 365 服务、其他内部部署 Exchange 服务器和客户端之间的通信安全的重要部件。证书使一个实体可以信任另一个实体的标识。这有助于确保客户端或服务器与正确的源通信。
在混合部署中,使多个服务会使用证书:
Active Directory 联合身份验证服务 (AD FS) 受信任第三方证书颁发机构 (CA) 颁发的证书用于在 Web 客户端与联合服务器代理之间建立信任,以对安全令牌进行签名并对安全令牌进行解密。
可在以下位置了解详细信息:证书
Exchange 联合身份验证 自签名证书用于在为混合部署配置的内部部署 Exchange Server 2010 Service Pack 3 (SP3) 服务器(即混合服务器)与 Microsoft 联合网关之间创建安全连接。
可在以下位置了解详细信息:了解联合委派
Exchange 服务 受信任第三方 CA 颁发的证书用于提高 Exchange 服务器与客户端之间的安全套接字层 (SSL) 通信的安全性。使用证书的服务包括 Outlook Web App、Exchange ActiveSync、Outlook Anywhere 和邮件传输。
现有 Exchange 服务器 现有的 Exchange 服务器可利用证书帮助保护 Outlook Web App 通信、邮件传输等的安全。根据在 Exchange 服务器上使用证书的方式,可以使用自签名证书或受信任第三方 CA 颁发的证书。
可在以下位置了解详细信息:了解数字证书和 SSL
混合部署的证书要求
配置混合部署时,必须配置证书。必须从受信任的第三方 CA 购买证书。多种服务(如 AD FS、Exchange 2010 联合身份验证、Exchange 2010 服务和 Exchange)各自都需要证书。根据组织,可以决定执行以下操作之一:
跨多个服务器使用由所有服务使用的第三方证书。
对提供服务的每部服务器使用第三方证书。
是选择对所有服务使用相同证书还是对每种服务使用专用证书,取决于您的组织和要实现的服务。下面是针对每个选项需要考虑的一些事项:
跨多个服务器的第三方证书 跨多个服务器的服务使用的第三方证书的获取费用可能稍低一些,但是其续订和替换可能比较复杂。出现这种复杂性是因为:当证书需要替换时,您需要在安装证书的每部服务器上都替换证书。
每个服务器的第三方证书 通过对承载服务的每个服务器都使用专用证书,可以为该服务器上的服务专门配置证书。如果需要替换证书或续订证书,则只需在安装服务的服务器上进行替换。其他服务器不会受到影响。
建议您对 AD FS 服务器使用专用第三方证书,对混合服务器上的 Exchange 服务使用另一个证书,并在 Exchange 服务器上使用一个证书(如果需要)。默认情况下,在联合委派中配置的内部部署联合信任使用自签名证书。除非您有特定要求,否则无需对联合委派中配置的联合身份验证信任使用第三方证书。
安装在单个服务器上的服务,可能需要您为该服务器配置多个完全限定域名 (FQDN)。请购买允许使用所需数目 FQDN 的证书。证书包含主题(或主体)、名称以及一或多个主题备用名称 (SAN)。主题名称是颁发给证书的 FQDN。SAN 是除了主题名称之外,可以添加到证书的其他 FQDN。如果需要证书支持五个 FQDN,请购买允许向证书添加五个域的证书:一个主题名称和四个 SAN。
服务 | 服务器 | 建议的 FQDN |
---|---|---|
Active Directory 联合身份验证服务 (AD FS)(如果选择配置 AD FS) |
ADFS |
sts.contoso.com |
自动发现 |
混合服务器 |
autodiscover.contoso.com |
传输 |
混合服务器 |
与 Exchange 2010 SP3 混合服务器的外部 FQDN 匹配的标签,如 hybrid.contoso.com。 |
Outlook Anywhere |
混合服务器 |
与 Exchange 2010 SP3 混合服务器的内部 FQDN 匹配的标签,如 Ex2010.corp.contoso.com。 与 Exchange 2010 SP3 混合服务器的内部主机名匹配的标签,如 Ex2010。 |
Outlook Web App (Exchange 2010) |
混合服务器 |
owa.contoso.com |
Outlook Web App(现有 Exchange 服务器) |
现有 Exchange 服务器 |
与现有 Exchange 服务器的外部 FQDN 匹配的标签,如 mail.contoso.com。 |
© 2010 Microsoft Corporation。保留所有权利。