(0) exportieren Drucken
Alle erweitern

Zertifikatanforderungen für Hybridbereitstellungen

 

Gilt für: Exchange Server 2013, Exchange Online

Letztes Änderungsdatum des Themas: 2014-05-14

In einer Hybridbereitstellung sind digitale Zertifikate ein wichtiger Bestandteil zur Gewährleistung einer sicheren Kommunikation zwischen der lokalen Microsoft Exchange Server 2013-Organisation und Microsoft Office 365. Zertifikate machen es möglich, dass eine Exchange-Organisation der Identität einer anderen Organisation vertrauen kann. Zertifikate können auch sicherstellen, dass jede Exchange-Organisation mit der richtigen Quelle kommuniziert.

In einer Hybridbereitstellung werden Zertifikate von vielen Diensten verwendet:

  • Active Directory-Verbunddienste (Active Directory Federation Services, AD FS)   Wenn Sie AD FS als Bestandteil der Hybridbereitstellung einrichten, wird zum Einrichten einer Vertrauensstellung zwischen Webclients und Verbundserverproxys ein von einer vertrauenswürdigen externen Zertifizierungsstelle ausgegebenes Zertifikat verwendet, mit dem Sicherheitstokens signiert und entschlüsselt werden.

    Weitere Informationen finden Sie unter Zertifikate.

  • Exchange-Partnerverbund   Ein selbstsigniertes Zertifikat, das zum Erstellen einer sicheren Verbindung zwischen den lokalen Exchange 2013-Servern und dem Windows Azure AD-Authentifizierungssystem verwendet wird.

    Weitere Informationen finden Sie unter Freigabe.

  • Exchange-Dienste   Von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgegebene Zertifikate zum Herstellen einer sicheren SSL-Verbindung (Secure Sockets Layer) zwischen den Exchange-Servern und -Clients. Zu den Diensten, die Zertifikate verwenden, gehören Outlook Web App, Exchange ActiveSync, Outlook Anywhere und die sichere Nachrichtenübermittlung.

  • Vorhandene Exchange-Server   Ihre vorhandenen Exchange-Server verwenden möglicherweise Zertifikate, um die Sicherheit der Outlook Web App-Kommunikation, der Nachrichtenübermittlung usw. zu verbessern. In Abhängigkeit von der Art und Weise, wie Sie Zertifikate auf Ihren Exchange-Servern nutzen, werden wahrscheinlich selbstsignierte oder von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgegebene Zertifikate verwendet.

Bei der Konfiguration einer Hybridbereitstellung müssen Sie Zertifikate verwenden und konfigurieren, die Sie von einer vertrauenswürdigen externen Zertifizierungsstelle erworben haben. Das Zertifikat, das für die sichere Hybrid-Nachrichtenübermittlung verwendet wird, muss auf allen lokalen Exchange 2013-Postfach- und -Clientzugriffsservern installiert werden.

WichtigWichtig:
Wenn Sie eine Hybridbereitstellung in einer Organisation konfigurieren, die Exchange-Server in mehreren Active Directory-Gesamtstrukturen bereitgestellt hat, müssen Sie ein separates Zertifizierungsstellenzertifikat eines Drittanbieters für jede Active Directory-Gesamtstruktur verwenden.
HinweisAnmerkung:
Wenn Exchange 2013- oder 2010-Edge-Transport-Server in einer lokalen Organisationen bereitgestellt sind, muss dieses Zertifikat auch auf allen Edge-Transport-Servern installiert werden. Jeder Transportserver muss für eine ordnungsgemäße Funktion ein Zertifikat verwenden, das dieselbe ausgebende Zertifizierungsstelle und denselben Antragsteller für sichere Hybrid-E-Mails nutzt.

Mehrere Dienste wie AD FS, Exchange 2013-Partnerverbund, -Dienste und Exchange selbst erfordern Zertifikate. In Abhängigkeit von Ihrer Organisation sollten Sie sich für eine der folgenden Lösungen entscheiden:

  • Verwenden eines Drittanbieterzertifikats, das serverübergreifend von allen Diensten genutzt wird.

  • Verwenden eines Drittanbieterzertifikats für jeden Server, der Dienste bereitstellt.

Die Entscheidung, ob das gleiche Zertifikat für alle Dienste verwendet oder jedem Dienst ein eigenes Zertifikat zugewiesen werden soll, hängt von Ihrer Organisation und dem zu implementierenden Dienst ab. Nachstehend einige Punkte, die bei den einzelnen Möglichkeiten zu berücksichtigen sind:

  • Serverübergreifend verwendetes Drittanbieterzertifikat   Drittanbieterzertifikate, die serverübergreifend von den Diensten verwendet werden, sind wahrscheinlich etwas preiswerter, jedoch schwieriger zu erneuern und zu ersetzen. Das liegt daran, weil Sie das Zertifikat zum Zeitpunkt der Erneuerung auf jedem Server, auf dem es installiert ist, ersetzen müssen.

  • Drittanbieterzertifikat für jeden Server   Wenn Sie für jeden Server, auf dem Dienste verwaltet werden, ein dediziertes Zertifikat verwenden, können Sie das Zertifikat speziell für die Dienste auf diesem Server konfigurieren. Wenn das Zertifikat erneuert oder ersetzt werden muss, braucht es nur auf dem Server, auf dem die Dienste installiert sind, ersetzt zu werden. Andere Server sind nicht betroffen.

Es wird empfohlen, für jeden optionalen AD FS-Server ein dediziertes Drittanbieterzertifikat, ein weiteres Zertifikat für die Exchange-Dienste für Ihre Hybridbereitstellung und bei Bedarf ein weiteres Zertifikat für Ihre Exchange-Server für andere benötigte Dienste und Features zu verwenden. Für die lokale Verbundvertrauensstellung, die im Rahmen der Verbundfreigabe in einer Hybridbereitstellung konfiguriert ist, wird standardmäßig ein selbstsigniertes Zertifikat verwendet. Sofern keine besonderen Anforderungen gelten, ist für die im Rahmen der Hybridbereitstellung konfigurierte Verbundvertrauensstellung kein Zertifikat eines Drittanbieters erforderlich.

Voraussetzung für die auf einem einzelnen Server installierten Dienste ist die Konfiguration mehrerer vollqualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs) für den Server. Erwerben Sie ein Zertifikat, das die maximal erforderliche Anzahl von FQDNs zulässt. Zertifikate bestehen aus dem Antragstellernamen (Hauptnamen) und einem oder mehreren alternativen Antragstellernamen (Subject Alternative Names, SANs). Der Antragstellername ist der FQDN, auf den das Zertifikat ausgestellt wurde, und er verwendet die primäre SMTP-Domäne, die von der lokalen und der Exchange Online-Organisationen gemeinsam genutzt wird. Alternative Antragstellernamen sind die FQDNs, die dem Zertifikat neben dem Antragstellernamen hinzugefügt werden können. Wenn Sie ein Zertifikat für die Unterstützung von fünf FQDNs benötigen, sollten Sie ein Zertifikat erwerben, dem fünf Domänen hinzugefügt werden können: ein Antragstellername und vier alternative Antragstellernamen.

In der folgenden Tabelle wird die minimale vorgeschlagene Anzahl an FQDNs beschrieben, die in Zertifikaten enthalten sein soll, die für die Verwendung in einer Hybridbereitstellung konfiguriert werden.

 

Dienst Server Vorgeschlagener FQDN

Primäre gemeinsam genutzte SMTP-Domäne

Clientzugriffs- und Postfachserver

contoso.com

AutoErmittlung

Clientzugriffsserver

Bezeichnung, die dem externen FQDN für die AutoErmittlung Ihres vorhandenen Exchange 2013-Clientzugriffsservers entspricht, z. B. "autodiscover.contoso.com"

Transport

Edge-Transport-Server

Bezeichnung, die dem externen FQDN Ihrer Edge-Transport-Server entspricht, z. B. "edge.contoso.com"

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft