通过

获取 Exchange Online UM 的证书

  • 项目

适用于: Office 365 for enterprises

上一次修改主题: 2011-11-23

Exchange Online UM 需要使用数字证书对内部部署组织和 Microsoft 数据中心之间的所有通信进行加密。您必须获取用于与 Exchange Online UM 通信的网络边界元素(如会话边界控制器)的数字证书。数字证书将在内部部署组织和 Microsoft 数据中心之间建立信任关系,并保证相互传输层安全性(相互 TLS 或 MTLS)。建立此信任关系后,内部部署组织和 Microsoft 数据中心的网络边界元素会交换会话密钥,然后使用这些密钥对后续数据通信进行加密。

以下信息将帮助您获取证书,然后使用该证书与 Exchange Online UM 建立信任。

开始之前

确保已执行以下操作:

  • 为 用于企业的 Microsoft Office 365组织进行了注册和设置。
  • 如果要连接 PBX 或 IP PBX,则在网络边界上安装了会话边界控制器 (SBC)。
  • 设置了 PBX 或 IP PBX 并将其与 SBC 连接。

SBC 的证书要求

SBC 的证书必须满足以下要求:

  • 该证书必须由经认可的证书颁发机构 (CA) 签名。不支持您自行生成的自签名证书。
  • 证书中的 CN 中的使用者公用名称必须与您在 Exchange Online 中创建的 UM IP 网关的“地址”字段匹配。在 Exchange Online UM 中,UM IP 网关表示您的 SBC。例如,如果您为 UM IP 网关指定地址 sbcexternal.contoso.com,则应确保证书中的使用者名称和使用者备用名称包含相同的字符串(如 sbcexternal.contoso.com)。此字符串区分大小写,因此请确保两者的大小写相同。
  • 证书中包含的密钥的长度必须至少为 1024 位。我们建议使用 2048 位的密钥长度。

有关详细信息,请参阅了解 TLS 证书

可在何处获取证书?

因为存在这些要求,所以您将很可能必须购买新证书才能连接到 Exchange Online UM。目前,用于企业的 Microsoft Office 365 支持以下 CA 颁发的证书:

如何购买和安装证书?

  1. 为 SBC 的公共接口分配唯一的完全限定的域名 (FQDN),例如 sbcexternal.contoso.com。您可能必须要求网络管理员执行此操作。检查此 FQDN 是否可由外部 DNS 客户端解析到正确的 IP 地址。

  2. 使用您的 SBC 软件生成证书签名请求 (CSR)。在该请求的主题名称中,输入您刚刚分配的 SBC 的 FQDN。主题名称区分大小写。CSR 是文本文件,其中包含一个类似下面的部分。

    -----BEGIN CERTIFICATE REQUEST-----
<< request-specific content here >>
-----END CERTIFICATE REQUEST-----

    注意   确保使用您的 SBC 的软件开始和结束证书生成和加载过程。这样,当出现问题时,您就不必使用未完成的 SBC 证书来管理该 SBC。若要确认您正独立于证书来管理 SBC,请确保可使用 HTTP 管理 SBC,而不是使用 HTTPS 管理 SBC。

  3. 转到您选择的 CA,并按它们的指示将您创建的 CSR 上载到其证书生成过程。您的证书还将作为文本输出提供,类似于以下内容:

    -----BEGIN CERTIFICATE-----
<< certificate-specific content here >>
-----END CERTIFICATE-----

  4. 使用您的 SBC 软件将生成的证书上载到 SBC。

  5. 上载该证书后,重置对 SBC 上的协议安全所做的所有临时更改。

有关详细信息,请参阅检查表:将传统 PBX 连接到 Exchange Online UM检查列表:将 IP PBX 连接到 Exchange Online UM