混合部署的憑證需求

在混合式部署中，數位憑證是保護內部部署 Exchange 組織與 Microsoft 365 或 Office 365 之間通訊的重要部分。 憑證可讓 Exchange 組織信任彼此的識別。 憑證也有助於確認每一個 Exchange 組織與正確的來源進行通訊。

在混合式部署中，有許多服務會使用憑證：

• Microsoft Entra Connect (Microsoft Entra Connect) 與 Active Directory 同盟服務 (AD FS) ：如果您選擇部署 Microsoft Entra在混合式部署中與 AD FS 連線，受信任的協力廠商憑證授權單位單位 (CA) 所簽發的憑證可用來建立 Web 用戶端與同盟伺服器 Proxy 之間的信任、簽署安全性權杖，以及解密安全性權杖。

  若要深入了解，請參閱憑證。

• Exchange 同盟：自我簽署憑證可用來建立內部部署 Exchange 伺服器與Microsoft Entra驗證系統之間的安全連線。

  如需深入瞭解 ，請參閱共用。

• Exchange 服務：受信任的協力廠商 CA 所簽發的憑證可用來協助保護安全通訊端層 (SSL) Exchange 伺服器與用戶端之間的通訊。 使用憑證的服務包括 網頁型 Outlook、Exchange ActiveSync、Outlook Anywhere 及郵件傳輸。

• 現有的 Exchange 伺服器：您現有的 Exchange 伺服器可以使用憑證來協助保護Outlook 網頁版通訊、訊息傳輸等等。 視您在 Exchange 伺服器上使用憑證的方式而定，可能會使用自我簽署憑證或受信任的協力廠商 CA 所發行的憑證。

混合式部署的憑證需求

設定混合式部署時，您必須針對您向信任的協力廠商 CA 所購買的憑證進行使用和設定。 用於混合安全郵件傳輸的憑證必須安裝在所有內部部署信箱 (Exchange 2016 和更新版本) 以及信箱和用戶端存取 (Exchange 2013 和更舊版本) 伺服器上。

像是 AD FS、Exchange 同盟、服務和 Exchange 等多項服務都需要憑證。 視您的組織而定，您可以決定執行下列其中一項操作：

• 使用由所有服務跨多部伺服器使用的協力廠商憑證。

• 將協力廠商憑證用於提供服務的每部伺服器。

無論您選擇將相同的憑證用於所有服務，或是每項服務各有專用的憑證，都取決於您的組織以及您實作的服務。 以下是每個選項要考量的事項：

• 跨多部伺服器的協力廠商憑證：服務在多部伺服器上使用的協力廠商憑證可能稍微便宜一些，但可能會使更新和取代變得複雜。 發生複雜情況是因為當需要更換憑證時，必須為每部安裝憑證的伺服器進行更換。

• 每部伺服器的協力廠商憑證：針對裝載服務的每部伺服器使用專用憑證，可讓您特別為該伺服器上的服務設定憑證。 如果需要更換或更新憑證，只需要在安裝服務的伺服器上進行更換。 其他伺服器不會受到影響。

建議您將專用的協力廠商憑證用於任何選用的 AD FS 伺服器，另一張憑證用於混合式部署的 Exchange 服務，並且視需要在 Exchange 伺服器上再將一張憑證用於其他需要的服務或功能。 根據預設，設定作為混合式部署中同盟資訊共用一部分的內部部署同盟信任，會使用自我簽署憑證。 除非您有特殊需求，否則不需要使用在其中將同盟信任設定作為混合式部署一部分的協力廠商憑證。

安裝在單一伺服器上的服務可能會要求您為伺服器設定多個完整網域名稱 (FQDN)。 您應購買允許使用所需最大 FQDN 數目的憑證。 憑證是由主旨名稱 (亦稱為主要名稱) 以及一個或多個主體別名 (SAN) 所組成。 主體名稱是內部部署與Exchange Online組織之間共用的主要 SMTP 網域。 SAN 是除主旨名稱外可新增至憑證的其他 FQDN。 如果您需要可支援五個 FQDN 的憑證，請購買允許將五個網域新增至憑證的憑證：一個主旨名稱和四個 SAN。

下表說明應包含在設定用於混合式部署中憑證上的建議 FQDN 數目下限。

如果您不需要透過Office 365將電子郵件訊息轉送至網際網路，您可以在主體名稱中使用傳輸服務名稱，而不是主要共用 SMTP 網域。 如需詳細資訊，請參閱設定憑證式連接器以透過Office 365轉送電子郵件訊息。