Informazioni sui requisiti di certificato
Si applica a: Exchange Server 2010 SP2
Ultima modifica dell'argomento: 2016-11-28
I certificati digitali sono una parte importante della protezione delle comunicazioni tra le organizzazioni Exchange locali e i servizi basati su cloud, altri server Exchange locali ed i client. I certificati consentono a un'entità di rendere attendibile l'identità di un altro. Questo aiuta ad assicurare che un client o server stanno comunicando con l'origine corretta.
In una distribuzione ibrida diversi servizi fanno uso di certificati:
Active Directory Federation Servers (AD FS) Un certificato emesso da un'autorità di certificazione attendibile di terze parti è utilizzato per stabilire una relazione di trust tra client Web e proxy di server federativi per firmare e decrittografare i token di protezione.
Per ulteriori informazioni, vedere: Certificati
Federazione di Exchange Un certificato autofirmato viene utilizzato per creare una connessione protetta tra il server ibrido di Exchange 2010 locale e Microsoft Federation Gateway.
Per ulteriori informazioni, vedere: Informazioni sulla delega federata
servizi di Exchange I certificati autofirmati ed i certificati emessi da CA di terze parti vengono utilizzati come aiuto nella protezione delle comunicazioni SSL (Secure Sockets Layer) tra server Exchange e client. Servizi che utilizzano i certificati includono Outlook Web App, Exchange ActiveSync, Outlook via Internet e trasporto messaggi.
Server Exchange esistenti I server Exchange possono fare uso di certificati per rafforzare la sicurezza delle comunicazioni Outlook Web App, il trasporto dei messaggi e così via. A seconda di come vengono utilizzati i certificati sui server Exchange, è possibile utilizzare certificati autofirmati o certificati da un'autorità di certificazione terza attendibile.
Per ulteriori informazioni, vedere: Informazioni sui certificati digitali e SSL
Requisiti dei certificati per una distribuzione ibrida
Quando si configura una distribuzione ibrida è necessario configurare i certificati. È necessario acquistare i certificati da un'autorità di certificazione attendibile di terze parti. I servizi multipli, quali AD FS, federazione Exchange 2010, servizi Exchange 2010 e Exchange, richiedono ciascuno un certificato. In base alle necessità dell'organizzazione si può decidere di fare una delle cose seguenti:
Utilizzare un certificato di terze parti che viene utilizzato da tutti i servizi su più server
Utilizzare un certificato di terze parti per ciascun server che fornisce servizi
La scelta di utilizzare lo stesso certificato per tutti i servizi o di dedicare un certificato a ciascun servizio dipende dall'organizzazione e dal servizio che si sta implementando. Di seguito vengono riportate alcune considerazioni da tenere presente per ciascuna opzione:
Certificati di terze parti su più server I certificati di terze parti utilizzati da servizi su più server possono essere più convenienti da ottenere ma possono complicare le operazioni di rinnovo e sostituzione. Le complicazioni avvengono perchè quando è necessario sostituire un certificato, è necessario effettuare la sostituzione su tutti i server sui quali è stato installato.
Certificati di terze parti per ciascun server Utilizzare un certificato dedicato per ciascun server che ospita servizi consente di configurare un certificato specificamente per quel servizio su quel server. Se è necessario sostituire il certificato o rinnovarlo e necessario farlo solo sul server sul quale è installato il servizio. Gli altri server non sono coinvolti.
Si consiglia di utilizzare un certificato di terze parti dedicato per il server AD FS, un certificato diverso per i servizi Exchange sul server ibrido e, se necessario, un certificato sul proprio server Exchange. Per impostazione predefinita, la delega federata sul server ibrido utilizza un certificato autofirmato. Se non esistono requisiti specifici, non è necessario utilizzare un certificato di terze parti per la delega federata.
I servizi installati su un singolo server possono richiedere di configurare multipli nomi di dominio completi (FQDN) per il server. Acquistare un certificato che consente il numero richiesto di nomi di dominio completi. I certificati sono composti dal nome del soggetto, o principale ed uno o più nomi alternativi oggetto (SAN). Il nome del soggetto è il nome FQDN al quale è stato rilasciato il certificato. I SAN sono ulteriori FQDN che possono essere aggiunti nel certificato al nome del soggetto. Se il certificato deve supportare cinque FQDN, acquistare un certificato che consenta di aggiungere cinque domini: un nome del soggetto e quattro SAN.
| Servizio | Server | FQDN suggeriti |
|---|---|---|
Active Directory Federation Services (ADFS) (se si è scelto di configurare ADFS) |
ADFS |
STS.contoso.com |
Delegazione federati (se si è scelto di configurare la delega federata) |
Server ibrido |
Exchangedelegation.contoso.com |
Individuazione automatica |
Server ibrido |
Autodiscover.contoso.com |
Trasporto |
Server ibrido |
Etichetta che corrisponde al nome di dominio completo esterno del server ibrido di Exchange 2010 (ad esempio, mail2.contoso.com). |
Outlook via Internet |
Server ibrido |
Etichetta che corrisponde al nome di dominio completo interno del server ibrido di Exchange 2010 (ad esempio, Ex2010.corp.contoso.com). Etichetta che corrisponde al nome host interno del server ibrido Exchange 2010 (ad esempio, Ex2010). |
Outlook Web App (Exchange 2010) |
Server ibrido |
OWA.contoso.com |
Outlook Web App (server Exchange esistente) |
Server Exchange esistente |
Etichetta che corrisponde al nome di dominio completo esterno del server Exchange esistente (ad esempio, mail1.contoso.com). |
©2010 Microsoft Corporation. Tutti i diritti riservati.