Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Numa implementação híbrida, os certificados digitais são uma parte importante da proteção da comunicação entre a organização do Exchange no local e o Microsoft 365 ou Office 365. Os certificados permitem que cada organização do Exchange confie na identidade de outra. Os certificados também ajudam a garantir que cada organização do Exchange esteja se comunicando com a origem certa.
Em uma implantação híbrida, vários serviços fazem uso de certificados:
Microsoft Entra Connect (Microsoft Entra Connect) com Serviços de Federação do Active Directory (AD FS) (AD FS): se optar por implementar Microsoft Entra Ligue-se ao AD FS como parte da implementação híbrida, é utilizado um certificado emitido por uma autoridade de certificação (AC) de terceiros fidedigna para estabelecer uma confiança entre clientes Web e proxies de servidor de federação, assinar tokens de segurança e desencriptar tokens de segurança.
Saiba mais em Certificados.
Federação do Exchange: é utilizado um certificado autoassinado para criar uma ligação segura entre os servidores exchange no local e o sistema de autenticação Microsoft Entra.
Saiba mais em Partilhar.
Serviços do Exchange: os certificados emitidos por uma AC de terceiros fidedigna são utilizados para ajudar a proteger a comunicação SSL (Secure Sockets Layer) entre servidores e clientes do Exchange. Serviços que usam certificados incluem Outlook na Web, Exchange ActiveSync, Outlook em Qualquer Lugar e o transporte de mensagens seguro.
Servidores Exchange existentes: os servidores Exchange existentes podem utilizar certificados para ajudar a proteger a comunicação Outlook na Web, o transporte de mensagens, etc. Dependendo de como os certificados são usados em seus servidores do Exchange, podem ser usados certificados autoassinados ou certificados emitidos por uma CA de terceiros confiável.
Requisitos de certificação para uma implantação híbrida
Ao configurar uma implantação híbrida, você deve usar e configurar os certificados que adquiriu de uma CA de terceiros confiável. O certificado usado para o transporte de email híbrido seguro deve ser instalado em todos os servidores locais de Caixa de Correio (Exchange 2016 e mais recentes) e de Acesso para Cliente (Exchange 2013 e mais antigos).
Importante
Se você estiver configurando uma implantação híbrida em uma organização com Exchange Servers implantados em várias florestas do Active Directory, deverá usar um certificado de CA de terceiros separado para cada floresta do Active Directory.
Quando servidores de Transporte de Borda do Exchange são implantados em uma organização local, esse certificado também deve ser instalado em todos os servidores de Transporte de Borda. Cada servidor de transporte edge tem de utilizar um certificado que partilhe a mesma AC emissora e o mesmo assunto para que o correio seguro híbrido funcione corretamente.
Vários serviços, como AD FS, federação do Exchange, serviços e Exchange exigem certificados. Dependendo da sua organização, pode ser necessário executar um dos procedimentos a seguir:
Usar um certificado de terceiros usado por todos os serviços em vários servidores.
Usar um certificado de terceiros para cada servidor que oferece serviços.
A escolha entre o uso do mesmo certificado para todos os serviços ou de um certificado dedicado a cada serviço depende da sua organização e do serviço que está sendo implementado. Aqui estão alguns itens a serem levados em conta para cada opção:
Certificado de terceiros em vários servidores: os certificados de terceiros que são utilizados por serviços em vários servidores podem ser ligeiramente mais baratos de obter, mas podem complicar a renovação e a substituição. A complicação acontece porque, quando um certificado precisa ser substituído, ele deve ser substituído em todos os servidores nos quais foi instalado.
Certificado de terceiros para cada servidor: utilizar um certificado dedicado para cada servidor que aloja serviços permite-lhe configurar o certificado especificamente para os serviços nesse servidor. Se for necessário substituir o certificado ou renová-lo, basta substituí-lo no servidor no qual os serviços estão instalados. Os outros servidores não são afetados.
Recomendamos o uso de um certificado de terceiros dedicado para cada servidor AD FS opcional, outro certificado para os serviços do Exchange para sua implantação híbrida e, caso necessário, outro certificado em seus servidores do Exchange para outros serviços ou recursos necessários. A confiança de federação local configurada como parte do compartilhamento delegado em uma implantação híbrida usa um certificado autoassinado por padrão. A não ser que você tenha necessidades específicas, não há a necessidade de uso de um certificado de terceiros com a confiança da federação configurada como parte de uma implantação híbrida.
Os serviços instalados em um único servidor podem exigir a configuração de vários FQDNs (nomes de domínio totalmente qualificados) para o servidor. Você deve adquirir um certificado que aceite o número máximo necessário de FQDNs. Os certificados consistem no nome da entidade (também denominado nome principal) e um ou mais SANs (nomes alternativos de entidade). O nome do requerente é o domínio SMTP principal que é partilhado entre as organizações no local e Exchange Online. Os SANs são FQDNs adicionais que podem ser somados a um certificado além do nome da entidade. Se for necessário um certificado para dar suporte a cinco FQDNs, adquira um certificado que permita que cinco domínios sejam adicionados ao certificado: um nome de entidade e quatro SANs.
A tabela a seguir descreve os FQDNs mínimos sugeridos que devem ser incluídos em certificados configurados para uso em uma implantação híbrida.
| Serviço | FQDN sugerido | Campo |
|---|---|---|
| Domínio de SMTP principal compartilhado | contoso.com | Nome da entidade |
| Descoberta Automática | Rótulo que corresponde ao FQDN de Descoberta Automática externo de seu servidor de Acesso para Cliente do Exchange 2013, como autodiscover.contoso.com | Nome alternativo da entidade |
| Transporte | Rótulo que corresponde ao FQDN externo de seus servidores de Transporte de Borda existente, como edge.contoso.com | Nome alternativo da entidade |
Se não tiver de reencaminhar mensagens de e-mail para a Internet através de Office 365, pode utilizar o nome do serviço de transporte no nome do requerente em vez do domínio SMTP partilhado principal. Para obter mais informações, consulte Configurar um conector baseado em certificado para reencaminhar mensagens de e-mail através de Office 365.