Zertifikatanforderungen für Hybridbereitstellungen

In einer Hybridbereitstellung sind digitale Zertifikate ein wichtiger Bestandteil der Sicherung der Kommunikation zwischen dem lokalen Exchange-organization und Microsoft 365 oder Office 365. Zertifikate machen es möglich, dass eine Exchange-Organisation der Identität einer anderen Organisation vertrauen kann. Zertifikate können auch sicherstellen, dass jede Exchange-Organisation mit der richtigen Quelle kommuniziert.

In einer Hybridbereitstellung werden Zertifikate von vielen Diensten verwendet:

  • Microsoft Entra Connect (Microsoft Entra Connect) mit Active Directory-Verbunddienste (AD FS) (AD FS): Wenn Sie Microsoft Entra Stellen Sie eine Verbindung mit AD FS als Teil Ihrer Hybridbereitstellung her. Ein Zertifikat, das von einer vertrauenswürdigen Drittanbieterzertifizierungsstelle (Ca) ausgestellt wurde, wird verwendet, um eine Vertrauensstellung zwischen Webclients und Verbundserverproxys einzurichten, Sicherheitstoken zu signieren und Sicherheitstoken zu entschlüsseln.

    Weitere Informationen finden Sie unter Zertifikate.

  • Exchange-Verbund: Ein selbstsigniertes Zertifikat wird verwendet, um eine sichere Verbindung zwischen den lokalen Exchange-Servern und dem Microsoft Entra-Authentifizierungssystem herzustellen.

    Weitere Informationen finden Sie unter Freigeben.

  • Exchange-Dienste: Zertifikate, die von einer vertrauenswürdigen Drittanbieterzertifizierungsstelle ausgestellt wurden, werden verwendet, um die SSL-Kommunikation (Secure Sockets Layer) zwischen Exchange-Servern und -Clients zu schützen. Zu den Diensten, die Zertifikate verwenden, gehören Outlook im Web, Exchange ActiveSync, Outlook Anywhere und die sichere Nachrichtenübermittlung.

  • Vorhandene Exchange-Server: Ihre vorhandenen Exchange-Server können Zertifikate verwenden, um Outlook im Web Kommunikation, Nachrichtentransport usw. zu schützen. Je nachdem, wie Sie Zertifikate auf Ihren Exchange-Servern verwenden, können Sie selbstsignierte Zertifikate oder Zertifikate verwenden, die von einer vertrauenswürdigen Drittanbieterzertifizierungsstelle ausgestellt wurden.

Zertifikatanforderungen für eine Hybridbereitstellung

Bei der Konfiguration einer Hybridbereitstellung müssen Sie Zertifikate verwenden und konfigurieren, die Sie von einer vertrauenswürdigen externen Zertifizierungsstelle erworben haben. Das für die sichere Hybrid-Nachrichtenübermittlung verwendete Zertifikat muss auf allen lokalen Postfach- (Exchange 2016 und neuer) und Postfach- und Clientzugriffsservern (Exchange 2013 und früher) installiert werden.

Wichtig

Wenn Sie eine Hybridbereitstellung in einer Organisation konfigurieren, die Exchange-Server in mehreren Active Directory-Gesamtstrukturen bereitgestellt hat, müssen Sie ein separates Zertifizierungsstellenzertifikat eines Drittanbieters für jede Active Directory-Gesamtstruktur verwenden.

Wenn Exchange-Edge-Transport-Server in einer lokalen Organisationen bereitgestellt sind, muss dieses Zertifikat auch auf allen Edge-Transport-Servern installiert werden. Jeder Edge-Transportserver muss ein Zertifikat mit derselben ausstellenden Zertifizierungsstelle und demselben Betreff verwenden, damit sichere Hybrid-E-Mails ordnungsgemäß funktionieren.

Mehrere Dienste wie AD FS, Exchange-Partnerverbund, -Dienste und Exchange selbst erfordern Zertifikate. In Abhängigkeit von Ihrer Organisation sollten Sie sich für eine der folgenden Lösungen entscheiden:

  • Verwenden eines Drittanbieterzertifikats, das serverübergreifend von allen Diensten genutzt wird.

  • Verwenden eines Drittanbieterzertifikats für jeden Server, der Dienste bereitstellt.

Die Entscheidung, ob das gleiche Zertifikat für alle Dienste verwendet oder jedem Dienst ein eigenes Zertifikat zugewiesen werden soll, hängt von Ihrer Organisation und dem zu implementierenden Dienst ab. Nachstehend einige Punkte, die bei den einzelnen Möglichkeiten zu berücksichtigen sind:

  • Zertifikat von Drittanbietern auf mehreren Servern: Zertifikate von Drittanbietern, die von Diensten auf mehreren Servern verwendet werden, sind möglicherweise etwas günstiger zu erhalten, aber sie können die Verlängerung und ersetzung erschweren. Das liegt daran, weil Sie das Zertifikat zum Zeitpunkt der Erneuerung auf jedem Server, auf dem es installiert ist, ersetzen müssen.

  • Drittanbieterzertifikat für jeden Server: Mithilfe eines dedizierten Zertifikats für jeden Server, der Dienste hostet, können Sie das Zertifikat speziell für die Dienste auf diesem Server konfigurieren. Wenn das Zertifikat erneuert oder ersetzt werden muss, braucht es nur auf dem Server, auf dem die Dienste installiert sind, ersetzt zu werden. Andere Server sind nicht betroffen.

Es wird empfohlen, für jeden optionalen AD FS-Server ein dediziertes Drittanbieterzertifikat, ein weiteres Zertifikat für die Exchange-Dienste für Ihre Hybridbereitstellung und bei Bedarf ein weiteres Zertifikat für Ihre Exchange-Server für andere benötigte Dienste und Features zu verwenden. Für die lokale Verbundvertrauensstellung, die im Rahmen der Verbundfreigabe in einer Hybridbereitstellung konfiguriert ist, wird standardmäßig ein selbstsigniertes Zertifikat verwendet. Sofern keine besonderen Anforderungen gelten, ist für die im Rahmen der Hybridbereitstellung konfigurierte Verbundvertrauensstellung kein Zertifikat eines Drittanbieters erforderlich.

Voraussetzung für die auf einem einzelnen Server installierten Dienste ist die Konfiguration mehrerer vollqualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs) für den Server. Erwerben Sie ein Zertifikat, das die maximal erforderliche Anzahl von FQDNs zulässt. Zertifikate bestehen aus dem Antragstellernamen (auch Prinzipalname genannt) und einem oder mehreren alternativen Antragstellernamen (Subject Alternative Names, SANs). Der Antragstellername ist die primäre SMTP-Domäne, die von lokalen und Exchange Online Organisationen gemeinsam genutzt wird. Alternative Antragstellernamen sind die FQDNs, die dem Zertifikat neben dem Antragstellernamen hinzugefügt werden können. Wenn Sie ein Zertifikat für die Unterstützung von fünf FQDNs benötigen, sollten Sie ein Zertifikat erwerben, dem fünf Domänen hinzugefügt werden können: ein Antragstellername und vier alternative Antragstellernamen.

In der folgenden Tabelle wird die minimale vorgeschlagene Anzahl an FQDNs beschrieben, die in Zertifikaten enthalten sein soll, die für die Verwendung in einer Hybridbereitstellung konfiguriert werden.

Dienst Vorgeschlagener FQDN Feld
Primäre gemeinsam genutzte SMTP-Domäne contoso.com Antragstellername
AutoErmittlung Bezeichnung, die dem externen FQDN für die AutoErmittlung Ihres vorhandenen Exchange 2013-Clientzugriffsservers entspricht, z. B. "autodiscover.contoso.com" Alternativer Antragstellername
Transport Bezeichnung, die dem externen FQDN Ihrer Edge-Transport-Server entspricht, z. B. "edge.contoso.com" Alternativer Antragstellername

Wenn Sie keine E-Mail-Nachrichten über Office 365 an das Internet weiterleiten müssen, können Sie den Namen des Transportdiensts im Antragstellernamen anstelle der primären freigegebenen SMTP-Domäne verwenden. Weitere Informationen finden Sie unter Konfigurieren eines zertifikatbasierten Connectors zum Weiterleiten von E-Mail-Nachrichten über Office 365.