Présentation de la configuration requise pour les certificats
S’applique à : Exchange Server 2010 SP2
Dernière rubrique modifiée : 2016-11-28
Les certificats numériques participent à la sécurisation des communications entre l’organisation Exchange locale et le service en nuage, entre les autres serveurs Exchange locaux et entre vos clients. Les certificats permettent à une entité de faire confiance à l’identité d’une autre. Ce mécanisme aide à s’assurer qu’un client ou un serveur communique bien avec la source désirée.
Dans un déploiement hybride, plusieurs services utilisent des certificats :
AD FS (Active Directory Federation Services) Un certificat émis par une autorité de certification (CA) tierce approuvée est utilisé pour établir une approbation entre les clients Web et les serveurs proxy de fédération, pour signer et pour déchiffrer les jetons de sécurité.
Pour plus d’informations, consultez la page suivante : Certificates (en anglais)
Exchange Federation Un certificat auto-signé est utilisé pour créer une connexion sécurisée entre le serveur hybride Exchange 2010 local et Microsoft Federation Gateway.
Pour plus d’informations, consultez la page suivante : Présentation de la délégation fédérée
Services Exchange Des certificats auto-signés ou des certificats émis par une autorité de certification tierce approuvée sont utilisés pour aider à sécuriser les communications SSL (Secure Sockets Layer) entre les clients et les serveurs Exchange. Les services qui utilisent des certificats comprennent Outlook Web App, Exchange ActiveSync, Outlook Anywhere et le transport des messages.
Serveurs Exchange existants Vos serveurs Exchange peuvent utiliser des certificats pour sécuriser les communications Outlook Web App, le transport des messages, etc. En fonction de la façon dont vous utilisez vos serveurs Exchange, vous utiliserez des certificats auto-signés ou des certificats émis par une autorité de certification tierce approuvée.
Pour plus d’informations, voir : Présentation des certificats numériques et de SSL
Conditions requises pour l’utilisation d’un certificat dans le cadre d’un déploiement hybride
Lorsque vous configurez un déploiement hybride, vous devez configurer des certificats. Vous devez acheter des certificats auprès d’une autorité de certification tierce approuvée. De nombreux services, tels que AD FS, Exchange 2010 Federation, les services Exchange 2010 et Exchange requièrent des certificats. En fonction de la nature de votre organisation, vous choisirez l’une des options suivantes :
Utiliser un certificat tiers employé par tous les services sur plusieurs serveurs
Utiliser un certificat tiers pour chaque serveur fournissant des services
Vous pouvez choisir d’utiliser un même certificat pour tous les services ou un certificat dédié à chaque service. Tout dépend de votre organisation et du service que vous mettez en œuvre. Voici quelques éléments à considérer pour chacune des options :
Certificat tiers sur plusieurs serveurs Les certificats tiers utilisés par des services sur plusieurs serveurs peuvent constituer une solution légèrement moins onéreuse, mais risquent d’impliquer des opérations complexes de renouvellement et de remplacement. En effet, lorsqu’un certificat doit être remplacé, vous devez réaliser cette opération sur chaque serveur où il est installé.
Certificat tiers pour chaque serveur Utiliser un certificat pour chaque serveur hébergeant des services vous permet de configurer le certificat spécifiquement pour les services qui s’y trouvent. Si vous devez remplacer le certificat ou le renouveler, vous devez seulement le remplacer sur le serveur où les services sont installés. Il n’y a aucune incidence sur les autres serveurs.
Nous conseillons d’utiliser un certificat tiers dédié pour le serveur AD FS, un autre certificat pour les services Exchange sur votre serveur hybride et, au besoin, un certificat sur votre serveur Exchange. Par défaut, la délégation fédérée sur le serveur hybride utilise un certificat auto-signé. Sauf exigences contraires, vous n’avez pas besoin d’utiliser un certificat tiers avec la délégation fédérée.
Les services installés sur un seul serveur peuvent vous obliger à configurer plusieurs noms de domaines complets (FQDN) pour le serveur. Acheter un certificat permettant le nombre requis de noms de domaines complets. Des certificats comprenant l’objet, ou principal, le nom, et un ou plusieurs autres noms d’objet. Le nom d’objet est le FQDN auquel est émis le certificat. Les autres noms d’objet sont des FQDN supplémentaires pouvant être ajoutés en plus du nom de l’objet. Si vous avez besoin d’un certificat pour prendre en charge cinq FQDN, achetez un certificat permettant l’ajout de cinq domaines au certificat : un nom d’objet et quatre autres noms d’objet.
Service | Serveur | FQDN suggéré |
---|---|---|
Active Directory Federation Services (AD FS) (si vous avez choisi de configurer AD FS) |
ADFS |
Sts.contoso.com |
Federated delegation (si vous avez choisi de configurer la délégation fédérée) |
Serveur hybride |
Exchangedelegation.contoso.com |
Découverte automatique |
Serveur hybride |
AutoDiscover.contoso.com |
Transport |
Serveur hybride |
Étiquette correspondant au FQDN externe de votre serveur hybride Exchange 2010, tel que mail2.contoso.com. |
Outlook Anywhere |
Serveur hybride |
Étiquette correspondant au FQDN interne de votre serveur hybride Exchange 2010, tel que Ex2010.corp.contoso.com. Étiquette correspondant au nom d’hôte interne de votre serveur hybride Exchange 2010, tel que Ex2010. |
Outlook Web App (Exchange 2010) |
Serveur hybride |
Owa.contoso.com |
Outlook Web App (serveur Exchange actuel) |
Serveur Exchange actuel |
Étiquette correspondant au FQDN externe de votre serveur Exchange actuel, tel que mail1.contoso.com. |
© 2010 Microsoft Corporation. Tous droits réservés.