Requisitos de certificados para implementaciones híbridas

En una implementación híbrida, los certificados digitales son una parte importante de la protección de la comunicación entre la organización local de Exchange y Microsoft 365 o Office 365. Los certificados le permiten a cada organización de Exchange confiar en las identidades de otros. Los certificados también permiten asegurar que cada organización de Exchange se está comunicando con la fuente correcta.

En una implementación híbrida, varios servicios usan certificados:

  • Microsoft Entra Connect (Microsoft Entra Connect) con Servicios de federación de Active Directory (AD FS) (AD FS): si decide implementar Microsoft Entra Conéctese con AD FS como parte de la implementación híbrida, se usa un certificado emitido por una entidad de certificación (CA) de terceros de confianza para establecer una confianza entre los clientes web y los servidores proxy de federación, firmar tokens de seguridad y descifrar tokens de seguridad.

    Obtenga más información en Certificados.

  • Federación de Exchange: se usa un certificado autofirmado para crear una conexión segura entre los servidores de Exchange locales y el sistema de autenticación de Microsoft Entra.

    Obtenga más información en Uso compartido.

  • Servicios de Exchange: los certificados emitidos por una entidad de certificación de terceros de confianza se usan para ayudar a proteger la comunicación de capa de sockets seguros (SSL) entre servidores y clientes de Exchange. Los servicios que usan certificados incluyen Outlook en la web, Exchange ActiveSync, Outlook Anywhere y el transporte seguro de mensajes.

  • Servidores de Exchange existentes: los servidores de Exchange existentes pueden usar certificados para ayudar a proteger la comunicación Outlook en la Web, el transporte de mensajes, etc. Depende de cómo use los certificados en los servidores de Exchange, puede usar certificados autofirmados o certificados emitidos por un CA de terceros de confianza.

Requisitos de certificados para una implementación híbrida

Al configurar una implementación híbrida, debe usar y configurar los certificados que ha comprado de una entidad de certificación de terceros de confianza. El certificado usado para el transporte seguro de correo híbrido se debe instalar en los servidores de buzones locales (Exchange 2016 y versiones más recientes), y en los servidores de buzones y de acceso de clientes (Exchange 2013 y versiones anteriores).

Importante

Si está configurando una implementación híbrida en una organización que contiene servidores de Exchange implementados en varios bosques de Active Directory, deberá usar un certificado CA de terceros independiente para cada bosque de Active Directory.

Cuando los servidores de transporte perimetral de Exchange se implementan en una organización local, este certificado también debe instalarse en todos los servidores de transporte perimetral. Cada servidor de transporte perimetral debe usar un certificado que comparta la misma entidad de certificación emisora y el mismo asunto para que el correo híbrido seguro funcione correctamente.

Varios servicios, como AD FS, Exchange la federación, los servicios y Exchange, todos requieren certificados. Según la organización, es posible que decida realizar una de las siguientes opciones:

  • Usar un certificado de terceros que utilizan todos los servicios a través de varios servidores.

  • Usar un certificado de terceros para cada servidor que proporciona servicios.

La elección del mismo certificado para todos los servicios o de un certificado para cada servicio, depende de la organización y del servicio que se está implementando. Aquí hay algunas cosas a tener en cuenta acerca de cada opción:

  • Certificado de terceros entre varios servidores: los certificados de terceros que usan los servicios en varios servidores pueden ser ligeramente más baratos de obtener, pero pueden complicar la renovación y el reemplazo. La complicación ocurre porque, cuando es necesario reemplazar un certificado, debe reemplazar el certificado en todos los servidores donde está instalado.

  • Certificado de terceros para cada servidor: el uso de un certificado dedicado para cada servidor que hospeda servicios le permite configurar el certificado específicamente para los servicios de ese servidor. Si necesita reemplazar el certificado o renovarlo, solamente necesita reemplazarlo en el servidor donde se instalaron los servicios. No se afectan otros servidores.

Recomendamos usar un certificado de terceros exclusivo para cualquier servidor de AD FS opcional, otro certificado para los servicios de Exchange para su implementación híbrida y, si es necesario, otro certificado en sus servidores de Exchange para otros servicios o características necesarios. La confianza de federación local configurada como parte del uso compartido federado en una implementación híbrida usa un certificado autofirmado de forma predeterminada. A menos que tenga requisitos específicos, no hay necesidad de usar un certificado de terceros con la confianza federada como parte de la implementación híbrida.

Los servicios instalados en un único servidor pueden requerir que configure varios nombres de dominio completos (FQDN) para el servidor. Debería adquirir un certificado que permita el número máximo requerido de nombres de dominio completos. Los certificados consisten en un firmante (también denominado nombre principal) y uno o más nombres alternativos del firmante (SAN). El nombre del firmante es el dominio SMTP principal que se comparte entre las organizaciones locales y Exchange Online. Los SAN son FQDN adicionales que se pueden agregar a un certificado además del nombre del firmante. Si necesita que un certificado admita cinco FQDN, adquiera un certificado que permita agregar cinco dominios al certificado: un nombre de firmante y cuatro SAN.

La tabla a continuación detalla los nombres de dominio completo (FQDN) mínimos sugeridos que se deberían incluir en los certificados configurados para su uso en una implementación híbrida.

Servicio FQDN sugerido Campo
Dominio SMTP compartido principal contoso.com Nombre de sujeto
Detección automática Etiqueta que hace coincidir el FQDN de detección automática de su servidor Acceso de cliente de Exchange 2013, como autodiscover.contoso.com Nombre alternativo de sujeto
Transporte Etiqueta que coincide con el FQDN externo de sus servidores de transporte perimetral, como edge.contoso.com Nombre alternativo de sujeto

Si no tiene que retransmitir mensajes de correo electrónico a Internet a través de Office 365, puede usar el nombre del servicio de transporte en el nombre del firmante en lugar del dominio SMTP compartido principal. Para obtener más información, consulte Configuración de un conector basado en certificados para retransmitir mensajes de correo electrónico a través de Office 365.