Plan for tredjeparts SSL-certifikater til Office 365

Oversigt:    Beskriver SSL-certifikater, som er nødvendige til lokal og hybrid Exchange-installation, SSO-teknologier med AD FS, Exchange Online-tjenester og Exchange Web Services.

For at kryptere kommunikationen mellem dine kunder og Office 365Office 365-miljøet skal et tredjeparts SSL-certifikat (Secure Socket Layer) være installeret på infrastrukturserverne.

Denne artikel er en del af Netværksplanlægning og justering af ydeevnen for Office 365

Der kræves certifikater til følgende Office 365-komponenter:

  • Lokal Exchange-installation

  • Single sign-on (SSO) (til både AD FS-sammenslutningsservere (Active Directory Federation Services) og AD FS-sammenslutningsserverproxyer)

  • Exchange Online-tjenester, f.eks. Autodiscover Outlook overalt og Exchange-webtjenester

  • Exchange-hybridserver

Certifikater til lokal Exchange-installation

Hvis du vil have et overblik over, hvordan du bruger digitale certifikater til at sikre kommunikationen mellem den lokale Exchange-organisation og sikker Exchange Online, skal du se TechNet-artiklen Om certifikatkrav.

Certifikater til enkeltlogon

For at give brugerne en forenklet enkeltlogonoplevelse, der indebærer robust sikkerhed, er certifikaterne, som er vist i nedenstående tabel, påkrævet af enten sammenslutningsserverne eller sammenslutningsserverproxyerne. Tabellen nedenfor fokuserer på Active Directory Federation Services (AD FS), og vi har desuden yderligere oplysninger om brug af tredjepartsudbydere af identitet.

Certifikattype   

Beskrivelse   

Det skal du vide, før du installerer   

SSL-certifikat (også kaldet et servergodkendelsescertifikat)   

Dette er et standard-SSL-certifikat, der bruges til at sikre kommunikationen mellem sammenslutningsservere, kunder og sammenslutningsserverproxyer.

AD FS kræver et SSL-certifikat. Som standard bruger AD FS et SSL-certifikat, der er konfigureret til webstedet i IIS (Internet Information Services).

Emnenavnet på dette SSL-certifikat bruges til at bestemme navnet på sammenslutningstjenesten for hver forekomst af AD FS, du installerer. Overvej at vælge et emnenavn, der bedst repræsenterer navnet på din virksomhed eller organisation over for Office 365, til nye certifikater, som udstedes nøglecenteret. Det skal kunne sendes via internettet.

Advarsel: AD FS kræver, at dette SSL-certifikat ikke har et emnenavn uden punktum (kort navn).

Anbefaling:    Da dette certifikat skal nyde tillid fra AD FS-kunder, anbefaler vi, at du bruger et SSL-certifikat udstedt af et offentligt nøglecenter (tredjepart) eller af et nøglecenter, der er underordnet en offentlig instans, f.eks. VeriSign eller Thawte.

Certifikat til signering med token   

Dette er et standard-X.509-certifikat, der anvendes til sikker signering af alle tokens, som sammenslutningsserveren udsteder, og som Office 365 accepterer og godkender.

Certifikatet til signering med token skal indeholde en privat nøgle, der kæder til en pålidelig rod i sammenslutningsserveren. Som standard opretter AD FS et selvsigneret certifikat. Men afhængigt af organisationens behov kan du ændre dette certifikat til et certifikat, som er udstedt af et nøglecenter, ved hjælp af en AD FS administrations-snap-in.

Advarsel: Certifikatet til signering med token er afgørende for stabiliteten af sammenslutningsserveren. Hvis certifikatet ændres, skal Office 365 underrettes om ændringen. Hvis der ikke underrettes herom, kan brugerne ikke logge på deres Office 365-tjenester.

Anbefaling:    Vi anbefaler, at du bruger det selvsignerede certifikatet til signering med token, som genereres af AD FS. Ved at gøre det administrerer det som standard certifikatet for dig. Når f.eks. dette certifikat er ved at udløbe, genererer AD FS et nyt selvsigneret certifikat.

Sammenslutningsserverproxyer kræver det certifikat, der er beskrevet i følgende tabel.

Certifikattype   

Beskrivelse   

Det skal du vide, før du installerer   

SSL-certifikat

Dette er et standard-SSL-certifikat, der bruges til sikring af kommunikation mellem en sammenslutningsserver, en sammenslutningsserverproxy og internetforbundne klientcomputere.

Dette SSL-certifikat skal være bundet til standard-webstedet i IIS, før du kan køre konfigurationsguiden for AD FS sammenslutningsserverproxy.

Dette certifikat skal have det samme emnenavn som det SSL-certifikat, der blev konfigureret på sammenslutningsserveren i virksomhedens netværk.

Anbefaling:    Vi anbefaler, at du bruger det samme servergodkendelsescertifikat, som er konfigureret på den sammenslutningsserver, som denne sammenslutningsserverproxy opretter forbindelse til.

Du kan finde flere oplysninger i Planlægge med og installere Active Directory Federation Services 2.0 til brug med Single Sign-On.

Certifikater til Autodiscover Outlook overalt og Active Directory-synkronisering

Dine eksternt rettede Exchange 2013, Exchange 2010, Exchange 2007 og Exchange 2003 Client Access-servere (CAS'er) kræver et SSL-certifikat fra en tredjepart for sikre forbindelser med Autodiscover, Outlook overalt og Active Directory-synkroniseringstjenester. Du har måske allerede dette certifikat installeret i dit lokale miljø.

Certifikater til en Exchange-hybridserver

Din/dine eksternt rettede Exchange-hybridservere kræver et SSL-certifikat for sikker forbindelse med Exchange Online-tjenesten. Du skal have fat i dette certifikat fra en tredjepart-SSL-udbyder.

Del Facebook Facebook Twitter Twitter Mail Mail

Var disse oplysninger nyttige?

Fantastisk! Har du mere feedback?

Hvordan kan vi forbedre det?

Tak for din feedback!

×