規劃 Microsoft 365 的第三方 SSL 憑證
本文適用於 Microsoft 365 企業版和 Office 365 企業版。
若要加密用戶端與 Microsoft 365 環境之間的通訊,必須在基礎結構伺服器上安裝第三方安全套接字層 (SSL) 憑證。
本文是 Microsoft 365 網路規劃和效能微調的一部分。
下列 Microsoft 365 元件需要憑證:
Exchange 內部部署
Active Directory 同盟服務 (AD FS) 同盟伺服器和 AD FS 同盟伺服器 Proxy 的單一登錄 (SSO) ()
Exchange Online 服務,例如自動探索、Outlook Anywhere 和 Exchange Web 服務
Exchange 混合式伺服器
Exchange 內部部署的憑證
如需如何使用數位證書來確保內部部署 Exchange 組織與 Exchange Online 之間通訊安全的概觀,請參閱 TechNet 文章了解憑證需求。
單一登錄的憑證
若要為使用者提供簡化的單一登錄體驗,包括健全的安全性,同盟伺服器或同盟伺服器 Proxy 上需要下表所示的憑證。 下表著重於 #D7EC3A798BB6E48DB8F0B68E517941EFE (AD FS) ,我們也有使用第三方識別提供者的詳細資訊。
| 憑證類型 | 描述 | 部署之前需要知道的事項 |
|---|---|---|
| SSL 憑證 (也稱為伺服器驗證憑證) |
這是標準 SSL 憑證,可用來保護同盟伺服器、用戶端和同盟伺服器 Proxy 計算機之間的通訊。 |
AD FS 需要 SSL 憑證。 根據預設,AD FS 會使用在 Internet Information Services (IIS) 中為預設網站設定的 SSL 憑證。 此 SSL 憑證的主體名稱是用來判斷您部署之每個 AD FS 實例的同盟服務 (FS) 名稱。 請考慮為任何新的證書頒發機構單位選擇主體名稱, (CA) 發行的憑證,最能代表您公司或組織的 Microsoft 365 名稱。 此名稱必須是可透過因特網路由傳送的名稱。 謹慎: AD FS 要求此 SSL 憑證沒有無虛 (簡短名稱) 主體名稱。 建議: 由於此憑證必須由AD FS的用戶端信任,因此建議您使用公用 (第三方) CA 或屬於公開信任根目錄的 CA 所簽發的 SSL 憑證;例如 VeriSign 或 Thawte。 |
| 令牌簽署憑證 |
這是標準 X.509 憑證,可用來安全地簽署同盟伺服器簽發的所有令牌,以及 Microsoft 365 接受和驗證。 |
令牌簽署憑證必須包含鏈結至 FS 中受信任根目錄的私鑰。 根據預設,AD FS 會建立自我簽署憑證。 不過,根據組織的需求,您可以使用AD FS管理嵌入式管理單元,將此憑證變更為CA發行的憑證。 謹慎: 令牌簽署憑證對於 FS 的穩定性至關重要。 如果憑證已變更,Microsoft 365 必須收到變更的通知。 如果未提供通知,用戶就無法登入其 Microsoft 365 服務供應專案。 建議: 建議您使用AD FS所產生的自我簽署令牌簽署憑證。 如此一來,它預設會為您管理此憑證。 例如,當此憑證即將到期時,AD FS 會產生新的自我簽署憑證。 |
同盟伺服器 Proxy 需要下表所述的憑證。
| 憑證類型 | 描述 | 部署之前需要知道的事項 |
|---|---|---|
| SSL 憑證 |
這是標準 SSL 憑證,可用來保護同盟伺服器、同盟伺服器 Proxy 和因特網用戶端電腦之間的通訊。 |
此 SSL 憑證必須系結至 IIS 中的預設網站,您才能成功執行 AD FS 同盟伺服器 Proxy 設定精靈。 此憑證的主體名稱必須與公司網路中同盟伺服器上設定的SSL憑證相同。 建議: 建議您使用在此同盟伺服器 Proxy 連線的同盟伺服器上設定的相同伺服器驗證憑證。 |
自動探索、Outlook Anywhere 和 Active Directory 同步處理的憑證
您的外部對向 Exchange 2013、Exchange 2010、Exchange 2007 和 Exchange 2003 用戶端存取伺服器 (CASs) 需要第三方 SSL 憑證,以進行自動探索、Outlook Anywhere 和 Active Directory 同步處理服務的安全連線。 您可能已在內部部署環境中安裝此憑證。
Exchange 混合式伺服器的憑證
您的外部 Exchange 混合式伺服器或伺服器需要第三方 SSL 憑證,以與 Exchange Online 服務進行安全連線。 您必須從第三方 SSL 提供者取得此憑證。
Microsoft 365 憑證鏈結
本文說明您可能需要在基礎結構上安裝的憑證。 如需 Microsoft 365 伺服器上所安裝憑證的詳細資訊,請參閱 Microsoft 365 憑證鏈結。
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應