Требования к сертификатам для гибридных развертываний

В гибридном развертывании цифровые сертификаты являются важной частью защиты обмена данными между локальной организацией Exchange и Microsoft 365 или Office 365. Сертификаты позволяют каждой организации Exchange доверять идентификатору другой организации. Сертификаты также помогают каждой организации Exchange связываться с правильным источником.

В гибридном развертывании сертификаты используются многими службами.

  • Microsoft Entra Connect (Microsoft Entra Connect) с помощью службы федерации Active Directory (AD FS) (AD FS): если вы решили развернуть Microsoft Entra Подключитесь к AD FS в рамках гибридного развертывания. Сертификат, выданный доверенным сторонним центром сертификации (ЦС), используется для установления доверия между веб-клиентами и прокси-серверами федерации, подписывания маркеров безопасности и расшифровки маркеров безопасности.

    Дополнительные сведения см. в разделе Сертификаты.

  • Федерация Exchange. Самозаверяющий сертификат используется для создания безопасного подключения между локальными серверами Exchange и системой проверки подлинности Microsoft Entra.

    Дополнительные сведения см. в разделе Общий доступ.

  • Службы Exchange. Сертификаты, выданные доверенным сторонним ЦС, используются для защиты обмена данными ssl между серверами Exchange и клиентами. К службам, которые используют сертификаты, относятся Outlook в Интернете, Exchange ActiveSync, Мобильный Outlook и безопасная транспортировка сообщений.

  • Существующие серверы Exchange. Существующие серверы Exchange могут использовать сертификаты для защиты Outlook в Интернете связи, транспорта сообщений и т. д. В зависимости от того, как вы используете сертификаты на серверах Exchange, можно использовать самозаверяемые сертификаты или сертификаты, выданные доверенным сторонним ЦС.

Требования к сертификатам для гибридного развертывания

При настройке гибридного развертывания необходимо использовать и настраивать сертификаты, приобретенные у доверенного стороннего центра сертификации. Сертификат, используемый для безопасного транспорта гибридной почты, необходимо установить на всех локальных серверах почтовых ящиков (Exchange 2016 и более поздних версий), а также серверах почтовых ящиков и серверах клиентского доступа (Exchange 2013 и более ранних версий).

Важно!

При настройке гибридного развертывания в организации, в которой серверы Exchange развернуты в нескольких лесах Active Directory, необходимо использовать отдельный сертификат, выданный сторонним центром сертификации, для каждого леса Active Directory.

Если в локальной организации развернуты пограничные транспортные серверы Exchange, этот сертификат также должен быть установлен на всех таких серверах. Каждый пограничный транспортный сервер должен использовать сертификат, который использует один и тот же выдающий ЦС и один и тот же субъект для правильной работы гибридной защищенной почты.

Для многих служб, таких как AD FS, федерация Exchange, службы Exchange, требуются сертификаты. В зависимости от условий в данной организации может потребоваться один из следующих вариантов.

  • Использование стороннего сертификата, применяемого всеми службами на нескольких серверах.

  • Использование стороннего сертификата для каждого сервера, который предоставляет службы.

Тип используемого сертификата и выбор между применением одного сертификата для всех служб или выделением отдельного сертификата для каждой службы зависит от вашей организации и реализуемой службы. Ниже приводятся соображения для каждого варианта.

  • Сторонние сертификаты на нескольких серверах. Сторонние сертификаты, используемые службами на нескольких серверах, могут быть немного дешевле, но могут усложнить продление и замену. Сложность заключается в том, что при необходимости замены сертификата такую операцию необходимо выполнить на каждом сервере, где он установлен.

  • Сторонний сертификат для каждого сервера. Использование выделенного сертификата для каждого сервера, на котором размещаются службы, позволяет настроить сертификат специально для служб на этом сервере. Если необходимо заменить сертификат или продлить его, это потребуется сделать только на том сервере, на котором установлены службы. Другие серверы при этом не затрагиваются.

Мы рекомендуем использовать выделенный сторонний сертификат для любого дополнительного сервера AD FS, отдельный сертификат для служб Exchange при гибридном развертывании, и, при необходимости, отдельный сертификат для серверов Exchange под остальные требуемые службы или функции. Локальное федеративное доверие, настроенное в рамках федеративного общего доступа в гибридном развертывании, по умолчанию использует самозаверяющий сертификат. При отсутствии особых требований нет необходимости в использовании стороннего сертификата для федеративного доверия, настроенного в рамках гибридного развертывания.

Для служб, установленных на одном сервере, может требоваться настройка нескольких полных доменных имен (FQDN) для этого сервера. Необходимо приобрести сертификат, который позволяет использовать максимальное требуемое количество имен FQDN. Сертификаты состоят из субъекта (или основного имени пользователя) и одного или нескольких дополнительных имен субъекта (SAN). Имя субъекта — это основной домен SMTP, который совместно используется локальными и Exchange Online организациями. Имена SAN — это дополнительные имена FQDN, которые могут добавляться в сертификат дополнительно к имени субъекта. Если вам нужен сертификат, поддерживающий пять имен FQDN, приобретите сертификат, в который можно добавить пять доменов: одно имя субъекта и четыре имени SAN.

В следующей таблице приведено минимальное количество имен FQDN, которое должно быть включено в сертификаты, настроенные для использования в гибридном развертывании.

Служба Предлагаемое имя FQDN Поле
Основной общий домен SMTP contoso.com Имя субъекта
Автообнаружение Метка, которая соответствует внешнему автообнаружению имени FQDN сервера клиентского доступа Exchange 2013, например, autodiscover.contoso.com Альтернативное имя субъекта
Транспорт Метка, которая соответствует внешнему имени FQDN пограничных транспортных серверов, например, mail.contoso.com Альтернативное имя субъекта

Если вам не нужно ретранслировать сообщения электронной почты в Интернет через Office 365, можно использовать имя транспортной службы в имени субъекта вместо основного общего домена SMTP. Дополнительные сведения см. в статье Настройка соединителя на основе сертификата для ретрансляции сообщений электронной почты через Office 365.