了解混合部署的憑證需求

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2016-11-28

對於確保內部部署 Exchange 組織和 Microsoft Office 365 服務、其他內部部署 Exchange 伺服器以及您的用戶端之間的通訊安全,數位憑證是很重要的一部分。憑證可讓一個實體信任另一個實體的身分識別。這有助於確保用戶端或伺服器與正確的來源通訊。

在混合部署中,有數項服務會使用以下憑證:

  • Active Directory Federation Services (AD FS)   使用受信任的協力廠商憑證授權單位 (CA) 所發行的憑證,在 Web 用戶端與同盟伺服器 Proxy 之間建立信任,以簽署安全性權杖及解密安全性權杖。

    若要深入了解,請參閱:憑證 (英文)

  • Exchange 同盟   使用自我簽署憑證,在為混合部署所設定的內部部署 Exchange Server 2010 伺服器 (即「混合伺服器」) 的 Service Pack (SP3) 與 Microsoft 同盟閘道之間建立安全連線。

    若要深入了解,請參閱:了解同盟委派

  • **Exchange 服務:**使用受信任的協力廠商 CA 所發行的憑證,提高 Exchange 伺服器與用戶端之間的安全通訊端層 (SSL) 通訊的安全性。使用憑證的服務包括 Outlook Web App、Exchange ActiveSync、Outlook 無所不在和郵件傳輸。

  • 現有 Exchange 伺服器   您現有的 Exchange 伺服器可能會使用憑證,協助確保 Outlook Web App 通訊、郵件傳輸等等的安全。視您在 Exchange 伺服器上使用憑證的方式而定,可能會使用自我簽署憑證或受信任的協力廠商 CA 所發行的憑證。

    若要深入了解,請參閱:瞭解數位憑證和 SSL

混合部署的憑證需求

在設定混合部署時,您必須設定憑證。您必須向受信任的協力廠商憑證授權單位 (CA) 購買憑證。AD FS、Exchange 2010 同盟、Exchange 2010 服務和 Exchange 等多個服務,每個都需要憑證。視您的組織而定,您可以決定執行下列其中一項操作:

  • 使用由所有服務跨多部伺服器使用的協力廠商憑證。

  • 將協力廠商憑證用於提供服務的每部伺服器。

無論您選擇將相同的憑證用於所有服務或每個服務各有專用的憑證,這都取決於您的組織以及所執行的服務。以下是每個選項要考量的事項:

  • 跨多部伺服器的協力廠商憑證   由許多服務跨多部伺服器使用的協力廠商憑證在取得時可能較便宜,但是會使更新及更換作業變得複雜。發生複雜情況是因為當需要更換憑證時,必須為每部安裝憑證的伺服器進行更換。

  • 每部伺服器專用的協力廠商憑證   針對每部主控服務的伺服器使用專用憑證,可讓您特別為該伺服器上的服務設定憑證。如果需要更換或更新憑證,只需要在安裝服務的伺服器上進行更換。其他伺服器不會受到影響。

建議您將專用的協力廠商憑證用於 AD FS 伺服器、另一張憑證用於混合伺服器上的 Exchange 服務,並視需要將一張憑證用於 Exchange 伺服器。根據預設,設定作為同盟委派之一部分的內部部署同盟信任,會使用自我簽署憑證。除非您有特殊需求,否則不需要使用在其中將同盟信任設定作為同盟委派一部分的協力廠商憑證。

安裝在單一伺服器上的服務可能會要求您為伺服器設定多個完整網域名稱 (FQDN)。購買允許使用所需數目之 FQDN 的憑證。憑證是由主旨名稱、主要名稱以及一或多個主體別名 (SAN) 所組成。主旨名稱是將憑證發行到的 FQDN。SAN 是除主旨名稱外可新增至憑證的其他 FQDN。如果您需要可支援五個 FQDN 的憑證,請購買允許將五個網域新增至憑證的憑證:一個主旨名稱和四個 SAN。

服務 伺服器 建議的 FQDN

Active Directory Federation Services (AD FS) (如果您已選擇設定 AD FS)

ADFS

sts.contoso.com

自動探索

混合伺服器

autodiscover.contoso.com

傳輸

混合伺服器

符合 Exchange 2010 SP3 混合伺服器外部 FQDN 的標籤,例如 hybrid.contoso.com。

Outlook Anywhere

混合伺服器

符合 Exchange 2010 SP3 混合伺服器之內部 FQDN 的標籤,例如 Ex2010.corp.contoso.com。

符合 Exchange 2010 SP3 混合伺服器之內部主機名稱的標籤,例如 Ex2010。

Outlook Web App (Exchange 2010)

混合伺服器

owa.contoso.com

Outlook Web App (現有的 Exchange 伺服器) 

現有的 Exchange 伺服器

符合現有 Exchange 伺服器之外部 FQDN 的標籤,例如 mail.contoso.com。

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。