Conditions requises pour les certificats dans le cadre de déploiements hybrides
Dans un déploiement hybride, les certificats numériques jouent un rôle important dans la sécurisation de la communication entre le organization Exchange local et Microsoft 365 ou Office 365. Les certificats permettent à chaque organisation Exchange d'approuver l'identité de l'autre. Les certificats permettent également d'assurer que chaque organisation Exchange communique vers la bonne source.
Dans un déploiement hybride, de nombreux services utilisent des certificats :
Microsoft Entra Connect (Microsoft Entra Connect) avec Services ADFS (AD FS) : si vous choisissez de déployer Microsoft Entra Connect avec AD FS dans le cadre de votre déploiement hybride, un certificat émis par une autorité de certification tierce approuvée est utilisé pour établir une approbation entre les clients web et les proxys de serveur de fédération, pour signer des jetons de sécurité et pour déchiffrer les jetons de sécurité.
Pour plus d'informations, consultez la rubrique Certificats.
Fédération Exchange : un certificat auto-signé est utilisé pour créer une connexion sécurisée entre les serveurs Exchange locaux et le système d’authentification Microsoft Entra.
Pour en savoir plus , consultez Partage.
Services Exchange : les certificats émis par une autorité de certification tierce approuvée sont utilisés pour sécuriser la communication SSL (Secure Sockets Layer) entre les serveurs et les clients Exchange. Les services qui utilisent des certificats comprennent Outlook sur le web, Exchange ActiveSync, Outlook Anywhere et le transport des messages sécurisé.
Serveurs Exchange existants : vos serveurs Exchange existants peuvent utiliser des certificats pour sécuriser la communication Outlook sur le web, le transport des messages, etc. En fonction de votre utilisation des certificats sur vos serveurs Exchange, vous pouvez être amené à utiliser des certificats auto-signés ou des certificats émis par une autorité de certification tierce approuvée.
Conditions requises pour l'utilisation d'un certificat dans le cadre d'un déploiement hybride
Dans le cadre de la configuration d'un déploiement hybride, vous devez utiliser et configurer des certificats que vous avez achetés auprès d'une autorité de certification tierce approuvée. Le certificat utilisé pour un transport de courrier sécurisé hybride doit être installé sur l'ensemble des boîtes aux lettres (Exchange 2016 et versions plus récentes) et des serveurs d'accès au client et de boîtes aux lettres (Exchange 2013 et versions antérieures) locaux.
Importante
Si vous configurez un déploiement hybride dans une organisation dont les serveurs Exchange sont déployés dans plusieurs forêts Active Directory, vous devez utiliser un certificat émis par une autorité de certification tierce distincte pour chaque forêt Active Directory.
Lorsque des serveurs de transport Edge Exchange sont déployés dans une organisation locale, ce certificat doit également être installé sur tous les serveurs de transport Edge. Chaque serveur de transport Edge doit utiliser un certificat qui partage la même autorité de certification émettrice et le même objet pour que le courrier sécurisé hybride fonctionne correctement.
De nombreux services, tels que AD FS, Exchange Federation, les services et Exchange, requièrent des certificats. En fonction de la nature de votre organisation, vous pouvez choisir l'une des options suivantes :
Utiliser un certificat tiers employé par tous les services sur plusieurs serveurs.
Utiliser un certificat tiers pour chaque serveur fournissant des services.
Selon votre organisation et le service que vous mettez en œuvre, vous pouvez choisir d'utiliser un même certificat pour tous les services ou un certificat dédié à chaque service. Voici quelques éléments à prendre en compte pour chacune des options :
Certificat tiers sur plusieurs serveurs : les certificats tiers utilisés par les services sur plusieurs serveurs peuvent être légèrement moins chers à obtenir, mais ils peuvent compliquer le renouvellement et le remplacement. En effet, lorsqu'un certificat doit être remplacé, vous devez réaliser cette opération sur chaque serveur où il est installé.
Certificat tiers pour chaque serveur : l’utilisation d’un certificat dédié pour chaque serveur hébergeant des services vous permet de configurer le certificat spécifiquement pour les services sur ce serveur. Si vous devez remplacer le certificat ou le renouveler, vous devez seulement le remplacer sur le serveur où les services sont installés. Il n'y a aucune incidence sur les autres serveurs.
Nous vous recommandons d'utiliser un certificat tiers dédié pour un serveur AD FS en option, un autre certificat pour les services Exchange pour votre déploiement hybride et, le cas échéant, un autre certificat sur vos serveurs Exchange pour d'autres services ou fonctionnalités nécessaires. L'approbation de fédération locale configurée dans le cadre d'un partage fédéré dans un déploiement hybride utilise un certificat auto-signé par défaut. Sauf exigences spécifiques, il est inutile d'utiliser un certificat tiers avec l'approbation fédérée configurée dans le cadre d'un déploiement hybride.
Les services installés sur un seul serveur peuvent vous obliger à configurer plusieurs noms de domaines complets (FQDN) pour le serveur. Vous devez acheter un certificat permettant le nombre maximum requis de noms de domaines complets. Les certificats comprennent le nom de l'objet (également appelé nom principal), et un ou plusieurs autre(s) nom(s) d'objet. Le nom de l’objet est le domaine SMTP principal partagé entre les organisations locales et Exchange Online. Les autres noms d'objet sont des noms de domaines complets supplémentaires pouvant être ajoutés à un certificat en plus du nom de l'objet. Si vous avez besoin d'un certificat pour prendre en charge cinq noms de domaines complets, achetez un certificat permettant d'ajouter cinq domaines : un nom d'objet et quatre autres noms d'objet.
Le tableau suivant indique le nombre minimum de noms de domaines complets suggérés devant être inclus sur des certificats configurés pour être utilisés dans un déploiement hybride.
| Service | Nom de domaine complet suggéré | Champ |
|---|---|---|
| Domaine SMTP principal partagé | contoso.com | Nom de sujet |
| Découverte automatique | Étiquette correspondant au nom de domaine complet de découverte automatique externe de votre serveur d'accès au client Exchange 2013, tel que autodiscover.contoso.com | Autre nom du sujet |
| Transport | Étiquette correspondant au nom de domaine complet externe de vos serveurs de transport Edge, tel que edge.contoso.com | Autre nom du sujet |
Si vous n’avez pas besoin de relayer des messages électroniques vers Internet via Office 365, vous pouvez utiliser le nom du service de transport dans le nom de l’objet au lieu du domaine SMTP partagé principal. Pour plus d’informations, consultez Configurer un connecteur basé sur un certificat pour relayer des messages électroniques via Office 365.