混合部署的证书要求

在混合部署中,数字证书是保护本地 Exchange 组织与 Microsoft 365 或 Office 365 之间的通信的重要部分。 证书允许每个 Exchange 组织信任另一个组织的身份。 证书还有助确保每个 Exchange 组织与正确的源通信。

在混合部署中,许多服务都使用证书:

  • Microsoft Entra connect (Microsoft Entra Connect) Active Directory 联合身份验证服务 (AD FS) :如果选择部署Microsoft Entra将 AD FS 作为混合部署的一部分进行连接,由受信任的第三方证书颁发机构 (CA) 颁发的证书用于在 Web 客户端和联合服务器代理之间建立信任、对安全令牌进行签名以及解密安全令牌。

    有关更多信息,请参阅证书

  • Exchange 联合身份验证:自签名证书用于在本地 Exchange 服务器与Microsoft Entra身份验证系统之间创建安全连接。

    有关详细信息,请参阅 共享

  • Exchange 服务:受信任的第三方 CA 颁发的证书用于帮助保护安全套接字层 (SSL) Exchange 服务器和客户端之间的通信。 使用证书的服务包括 Web 上的 Outlook、Exchange ActiveSync、Outlook Anywhere 和安全邮件传输。

  • 现有 Exchange 服务器:现有 Exchange 服务器可以使用证书来帮助保护Outlook 网页版通信、邮件传输等。 根据在 Exchange 服务器上使用证书的方式,可以使用自签名证书或受信任第三方 CA 颁发的证书。

混合部署的证书要求

当配置混合部署时,您必须使用和配置从受信任的第三方 CA 购买的证书。 必须在所有内部部署邮箱(Exchange 2016 及更高版本)、邮箱和客户端访问(Exchange 2013 及之前版本)服务器上安装用于混合安全邮件传输的证书。

重要

如果在多个 Active Directory 林中都部署了 Exchange 服务器的组织中配置混合部署,必须对每个 Active Directory 林使用单独的第三方 CA 证书。

当在本地组织中部署 Exchange 边缘传输服务器时,此证书还必须安装在所有边缘传输服务器上。 每个边缘传输服务器都必须使用共享相同发证 CA 和相同主题的证书,混合安全邮件才能正常运行。

多种服务,如 AD FS、Exchange联合身份验证、服务和Exchange,各自都需要证书。 根据组织,可以决定执行以下操作之一:

  • 跨多个服务器使用由所有服务使用的第三方证书。

  • 对提供服务的每部服务器使用第三方证书。

是选择对所有服务使用相同证书还是对每种服务使用专用证书,取决于您的组织和要实现的服务。 下面是针对每个选项需要考虑的一些事项:

  • 跨多个服务器的第三方证书:跨多个服务器的服务使用的第三方证书可能稍微便宜一些,但它们可能会使续订和替换复杂化。 出现这种复杂性是因为:当证书需要替换时,您需要在安装证书的每部服务器上都替换证书。

  • 每个服务器的第三方证书:对承载服务的每台服务器使用专用证书,可以专门为该服务器上的服务配置证书。 如果需要替换证书或续订证书,则只需在安装服务的服务器上进行替换。 其他服务器不会受到影响。

建议您对任何可选 AD FS 服务器使用专用第三方证书,对混合部署的 Exchange 服务使用另一个证书,并对其他所需服务或功能的 Exchange 服务器使用另一个证书(如果需要)。 默认情况下,在混合部署联合共享中配置的内部部署联合信任使用自签名证书。 除非您有特定要求,否则无需对混合部署中配置的联合身份验证信任使用第三方证书。

安装在单个服务器上的服务可能需要您为该服务器配置多个完全限定域名 (FQDN)。 应该购买允许使用最大所需 FQDN 数目的证书。 证书包含主题(也称为主体名称)以及一个或多个主题备用名称 (SAN)。 使用者名称是本地和Exchange Online组织之间共享的主 SMTP 域。 SAN 是除了主题名称之外,可以添加到证书的其他 FQDN。 如果需要证书支持五个 FQDN,请购买允许向证书添加五个域的证书:一个主题名称和四个 SAN。

下表概括了在混合部署中使用的配置证书应包括的最小建议 FQDN。

服务 建议的 FQDN 字段
主要共享 SMTP 域 contoso.com 使用者名称
自动发现 与 Exchange 2013 客户端访问服务器的外部自动发现 FQDN 相匹配的标签,如 autodiscover.contoso.com 使用者替代名称
传输 与边缘传输服务器的外部 FQDN 匹配的标签,如 edge.contoso.com 使用者替代名称

如果不必通过Office 365将电子邮件中继到 Internet,则可以在主题名称中使用传输服务名称,而不是主共享 SMTP 域。 有关详细信息,请参阅配置基于证书的连接器以通过Office 365中继电子邮件