Descripción de los requisitos de certificados para implementaciones híbridas
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-11-28
Los certificados digitales son una parte importante de la seguridad de las comunicaciones entre la organización local de Exchange y el servicio Office 365, otros servidores locales de Exchange y nuestros clientes. Los certificados habilitan una entidad para que confíe en la identidad de otro. Para ayuda a garantizar que un cliente o servidor se está comunicando con el origen correcto.
En una implementación híbrida, varios servicios usan certificados:
Servicios de federación de Active Directory (AD FS) Los certificados emitidos por una entidad de certificación de confianza de terceros se usan para establecer una confianza entre los clientes web y los proxy del servidor de federación, para firmar tokens de seguridad y para descifrar tokens de seguridad.
Encontrará más información en: Certificados
Federación de Exchange Los certificados autofirmados se usan para crear una conexión segura entre los servidores Service Pack 3 (SP3) de Exchange Server 2010 configurados para la implementación híbrida (es decir “servidores híbridos”) y Microsoft Federation Gateway.
Encontrará más información en: Descripción de la delegación federada
Servicios de Exchange Los certificados emitidos por un CA de terceros de confianza se usan para aumentar la seguridad de la comunicación de Capa de sockets seguros (SSL) entre los servidores y los clientes de Exchange. Los servicios que usan certificados incluyen Outlook Web App, Exchange ActiveSync, Outlook Anywhere y el transporte de mensajes.
Servidores de Exchange Los servidores existentes de Exchange pueden usar los certificados para ayudar a mantener la seguridad de las comunicaciones de Outlook Web App, el transporte de mensajes y demás. Depende de cómo use los certificados en los servidores de Exchange, puede usar certificados autofirmados o certificados emitidos por un CA de terceros de confianza.
Encontrará más información en: Descripción de los certificados digitales y SSL
Requisitos de certificados para una implementación híbrida
Cuando configure una implementación híbrida, debe configurar certificados. Debe adquirirlos de una CA de terceros de confianza. Varios servicios, como AD FS, la federación de Exchange 2010, los servicios de Exchange 2010 y Exchange, todos requieren certificados. Según la organización, es posible que decida realizar una de las siguientes opciones:
Usar un certificado de terceros que utilizan todos los servicios a través de varios servidores.
Usar un certificado de terceros para cada servidor que proporciona servicios.
Tanto si elige usar el mismo certificado para todos los servicios como dedicar un certificado para cada servicio, depende de la organización y del servicio que está implementando. Aquí hay algunas cosas a tener en cuenta acerca de cada opción:
Certificado de terceros en varios servidores Los certificados de terceros usados por los servicios de varios servidores pueden ser un poco más económicos, pero pueden complicar la renovación y el reemplazo. La complicación ocurre porque, cuando es necesario reemplazar un certificado, debe reemplazar el certificado en todos los servidores donde está instalado.
Certificado de terceros para cada servidor Mediante el uso de un certificado dedicado para cada servidor que hospeda servicios puede configurar el certificado específicamente para los servicios de ese servidor. Si necesita reemplazar el certificado o renovarlo, solamente necesita reemplazarlo en el servidor donde se instalaron los servicios. No se afectan otros servidores.
Recomendamos usar un certificado de terceros exclusivo para el servidor de AD FS, otro certificado para los servicios de Exchange en los servidores híbridos y, si es necesario, un certificado en el servidor de Exchange. La confianza federada local configurada como parte de la delegación federada usa, de forma predeterminada, un certificado autofirmado. A menos que tenga requisitos específicos, no hay necesidad de usar un certificado de terceros con la confianza federada como parte de la delegación federada.
Los servicios instalados en un único servidor pueden requerir que configure varios nombre de dominio completo (FQDN) para el servidor. Adquiera un certificado que permita el número requerido de nombres de dominio completo. Los certificados consisten en un firmante o principal, nombre y uno o más nombres de firmantes alternativos (SAN). El nombre del firmante es el FQDN al que se emite el certificado. Los SAN son FQDN adicionales que se pueden agregar a un certificado además del nombre del firmante. Si necesita que un certificado admita cinco FQDN, adquiera un certificado que permita agregar cinco dominios al certificado: un nombre de firmante y cuatro SAN.
Servicio | Servidor | FQDN sugerido |
---|---|---|
Servicios de federación de Active Directory (AD FS) (si ha elegido configurar AD FS) |
ADFS |
sts.contoso.com |
Detección automática |
Servidores híbridos |
autodiscover.contoso.com |
Transporte |
Servidores híbridos |
Etiqueta que coincide con el FQDN externo de los servidores híbridos de Exchange 2010 SP3, como hybrid.contoso.com. |
Outlook en cualquier lugar |
Servidores híbridos |
Etiqueta que coincide con el FQDN interno de los servidores híbridos de Exchange 2010 SP3, como Ex2010.corp.contoso.com. Etiqueta que coincide con el nombre de host interno de sus servidores híbridos de Exchange 2010 SP3, como Ex2010. |
Outlook Web App (Exchange 2010) |
Servidores híbridos |
owa.contoso.com |
Outlook Web App (servidor de Exchange existente) |
Servidor de Exchange existente |
Etiqueta que coincide con el FQDN externo de su servidor de Exchange existente, como mail.contoso.com. |
© 2010 Microsoft Corporation. Reservados todos los derechos.