Требования к сертификатам для гибридных развертываний

 

Применимо к:Exchange Online, Exchange Server 2013, Exchange Server 2016

Последнее изменение раздела:2016-12-09

В гибридном развертывании цифровые сертификаты являются важной частью защиты передачи данных между локальными организациями Exchange и Office 365. Сертификаты позволяют каждой организации Exchange доверять идентификатору другой организации. Сертификаты также помогают каждой организации Exchange связываться с правильным источником.

В гибридном развертывании сертификаты используются многими службами.

  • Azure Active Directory Connect (Azure AD Connect) со службами федерации Active Directory (AD FS). При развертывании Azure AD Connect с AD FS как части гибридного развертывания сертификаты, выданные надежным сторонним центром сертификации (CA), используются для установления доверия между веб-клиентами и прокси-серверами федерации, для подписывания и расшифровки маркеров безопасности.

    Дополнительные сведения см. в разделе Сертификаты.

  • Федерация Exchange   Самозаверяющий сертификат используется для создания безопасного подключения между локальными серверами Exchange и системой проверки подлинности Azure Active Directory.

    Дополнительные сведения см. в разделе Общий доступ.

  • Службы Exchange. Сертификаты, выданные доверенным сторонним центром сертификации, используются для защиты соединений по протоколу SSL между серверами Exchange и клиентами. К службам, использующим сертификаты, относятся Outlook в Интернете, Exchange ActiveSync, Outlook Anywhere и служба безопасной передачи сообщений.

  • Существующие серверы Exchange   Существующие серверы Exchange могут использовать сертификаты для обеспечения безопасности подключений Outlook в Интернете, транспортировки сообщений и т. д. В зависимости от способа применения сертификатов на серверах Exchange можно использовать самозаверяющие сертификаты или сертификаты, выданные доверенным сторонним центром сертификации.

При настройке гибридного развертывания необходимо использовать и настраивать сертификаты, приобретенные у доверенного стороннего центра сертификации. Сертификат, используемый для безопасного транспорта гибридной почты, необходимо установить на всех локальных серверах почтовых ящиков (Exchange 2016 и более поздних версий), а также серверах почтовых ящиков и серверах клиентского доступа (Exchange 2013 и более ранних версий).

ВажноВажно!
При настройке гибридного развертывания в организации, в которой серверы Exchange развернуты в нескольких лесах Active Directory, необходимо использовать отдельный сертификат, выданный сторонним центром сертификации, для каждого леса Active Directory.
ПримечаниеПримечание.
Если в локальной организации развернуты пограничные транспортные серверы Exchange, этот сертификат также должен быть установлен на всех таких серверах. Каждый транспортный сервер должен использовать сертификат, выданный одним центром сертификации одному субъекту, для правильного функционирования безопасной гибридной почты.

Для многих служб, таких как AD FS, федерация Exchange, службы Exchange, требуются сертификаты. В зависимости от условий в данной организации может потребоваться один из следующих вариантов.

  • Использование стороннего сертификата, применяемого всеми службами на нескольких серверах.

  • Использование стороннего сертификата для каждого сервера, который предоставляет службы.

Тип используемого сертификата и выбор между применением одного сертификата для всех служб или выделением отдельного сертификата для каждой службы зависит от вашей организации и реализуемой службы. Ниже приводятся соображения для каждого варианта.

  • Сторонние сертификаты на нескольких серверах   Сторонние сертификаты, используемые службами на нескольких серверах, могут иметь несколько меньшую стоимость, но при этом усложнять продление и замену. Сложность заключается в том, что при необходимости замены сертификата такую операцию необходимо выполнить на каждом сервере, где он установлен.

  • Сторонний сертификат для каждого сервера   Использование выделенного сертификата для каждого сервера, на котором размещаются службы, позволяет настраивать сертификат отдельно для служб на этом сервере. Если необходимо заменить сертификат или продлить его, это потребуется сделать только на том сервере, на котором установлены службы. Другие серверы при этом не затрагиваются.

Мы рекомендуем использовать выделенный сторонний сертификат для любого дополнительного сервера AD FS, отдельный сертификат для служб Exchange при гибридном развертывании, и, при необходимости, отдельный сертификат для серверов Exchange под остальные требуемые службы или функции. Локальное федеративное доверие, настроенное в рамках федеративного общего доступа в гибридном развертывании, по умолчанию использует самозаверяющий сертификат. При отсутствии особых требований нет необходимости в использовании стороннего сертификата для федеративного доверия, настроенного в рамках гибридного развертывания.

Для служб, установленных на одном сервере, может требоваться настройка нескольких полных доменных имен (FQDN) для этого сервера. Необходимо приобрести сертификат, который позволяет использовать максимальное требуемое количество имен FQDN. Сертификаты состоят из субъекта (или основного имени пользователя) и одного или нескольких дополнительных имен субъекта (SAN). Имя субъекта — это имя FQDN, которому выдан сертификат и которое должно использовать основной домен SMTP, к которому имеют доступ локальная организация и организация Exchange Online. Имена SAN — это дополнительные имена FQDN, которые могут добавляться в сертификат дополнительно к имени субъекта. Если вам нужен сертификат, поддерживающий пять имен FQDN, приобретите сертификат, в который можно добавить пять доменов: одно имя субъекта и четыре имени SAN.

В следующей таблице приведено минимальное количество имен FQDN, которое должно быть включено в сертификаты, настроенные для использования в гибридном развертывании.

 

Служба Предлагаемое имя FQDN Поле

Основной общий домен SMTP

contoso.com

Имя субъекта

Автообнаружение

Метка, которая соответствует внешнему автообнаружению имени FQDN сервера клиентского доступа Exchange 2013, например, autodiscover.contoso.com

Альтернативное имя субъекта

Транспорт

Метка, которая соответствует внешнему имени FQDN пограничных транспортных серверов, например, mail.contoso.com

Альтернативное имя субъекта

 
Показ: