Grundlegendes zu Zertifikatanforderungen

Gilt für: Exchange Server 2010 SP2

Letztes Änderungsdatum des Themas: 2016-11-28

Digitale Zertifikate sind ein wichtiger Bestandteil einer sicheren Kommunikation zwischen der lokalen Exchange-Organisation und dem Cloud-basierten Dienst, anderen lokalen Exchange-Servern und Clients. Zertifikate machen es möglich, dass eine Einheit der Identität einer anderen Einheit vertrauen kann. Dadurch wird sichergestellt, dass ein Client oder Server mit der richtigen Quelle kommuniziert.

In einer Hybridbereitstellung werden Zertifikate von mehreren Diensten verwendet:

• Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) Zum Einrichten einer Vertrauensstellung zwischen Webclients und Verbundserverproxys wird ein von einer vertrauenswürdigen externen Zertifizierungsstelle ausgegebenes Zertifikat verwendet, mit dem Sicherheitstoken signiert und entschlüsselt werden.

  Weitere Informationen finden Sie unter Zertifikate (möglicherweise in englischer Sprache).

• Exchange Federation   Selbstsigniertes Zertifikat, das zum Erstellen einer sicheren Verbindung zwischen dem lokalen Exchange 2010-Hybridserver und Microsoft Federation Gateway verwendet wird.

  Weitere Informationen finden Sie unter Grundlegendes zur Verbunddelegierung

• Exchange-Dienste   Selbstsignierte oder von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgegebene Zertifikate zum Herstellen einer sicheren SSL-Verbindung (Secure Sockets Layer) zwischen den Exchange-Servern und Clients. Zu den Diensten, die Zertifikate verwenden, gehören Outlook Web App, Exchange ActiveSync, Outlook Anywhere und die Nachrichtenübermittlung.

• Vorhandene Exchange-Server   Ihre vorhandenen Exchange-Server verwenden möglicherweise Zertifikate, um die Sicherheit der Outlook Web App-Kommunikation, der Nachrichtenübermittlung usw. zu verbessern. In Abhängigkeit von der Art und Weise, wie Sie Zertifikate auf Ihren Exchange-Servern nutzen, werden wahrscheinlich selbstsignierte oder von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgegebene Zertifikate verwendet.

  Weitere Informationen finden Sie unter Grundlegendes zu digitalen Zertifikaten und SSL

Zertifikatanforderungen für eine Hybridbereitstellung

Bei der Konfiguration einer Hybridbereitstellung müssen Sie Zertifikate konfigurieren. Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters erworben werden. Mehrere Dienste wie AD FS, Exchange 2010 Federation, Exchange 2010-Dienste und Exchange selbst erfordern Zertifikate. In Abhängigkeit von Ihrer Organisation sollten Sie sich für eine der folgenden Lösungen entscheiden:

• Verwenden eines Drittanbieterzertifikats, das serverübergreifend von allen Diensten genutzt wird

• Verwenden eines Drittanbieterzertifikats für jeden Server, der Dienste bereitstellt

Die Entscheidung, ob das gleiche Zertifikat für alle Dienste verwendet oder jedem Dienst ein eigenes Zertifikat zugewiesen werden soll, hängt von Ihrer Organisation und dem zu implementierenden Dienst ab. Nachstehend einige Punkte, die bei den einzelnen Möglichkeiten zu berücksichtigen sind:

• Serverübergreifend verwendetes Drittanbieterzertifikat   Drittanbieterzertifikate, die serverübergreifend von den Diensten verwendet werden, sind wahrscheinlich etwas preiswerter, jedoch schwieriger zu erneuern und zu ersetzen. Das liegt daran, weil Sie das Zertifikat zum Zeitpunkt der Erneuerung auf jedem Server, auf dem es installiert ist, ersetzen müssen.

• Drittanbieterzertifikat für jeden Server Wenn Sie für jeden Server, auf dem Dienste verwaltet werden, ein dediziertes Zertifikat verwenden, können Sie das Zertifikat speziell für die Dienste auf diesem Server konfigurieren. Wenn das Zertifikat erneuert oder ersetzt werden muss, braucht es nur auf dem Server, auf dem die Dienste installiert sind, ersetzt zu werden. Andere Server sind nicht betroffen.

Es wird empfohlen, für den AD FS-Server ein dediziertes Drittanbieterzertifikat, ein anderes Zertifikat für die Exchange-Dienste auf Ihrem Hybridserver und bei Bedarf ein Zertifikat für Ihren Exchange-Server zu verwenden. Für die Verbunddelegierung auf dem Hybridserver wird standardmäßig ein selbstsigniertes Zertifikat verwendet. Außer bei besonderen Anforderungen braucht bei der Verbunddelegierung kein Zertifikat eines Drittanbieters verwendet zu werden.

Voraussetzung für die auf einem einzelnen Server installierten Dienste ist die Konfiguration mehrerer vollqualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs) für den Server. Erwerben Sie ein Zertifikat, das die erforderliche Anzahl von FQDNs zulässt. Zertifikate bestehen aus dem Antragstellernamen (Hauptnamen) und einem oder mehreren alternativen Antragstellernamen (Subject Alternative Names, SANs). Der Antragstellername ist der FQDN, für den das Zertifikat ausgestellt wird. Alternative Antragstellernamen sind die FQDNs, die dem Zertifikat neben dem Antragstellernamen hinzugefügt werden können. Wenn Sie ein Zertifikat für die Unterstützung von fünf FQDNs benötigen, sollten Sie ein Zertifikat erwerben, dem fünf Domänen hinzugefügt werden können: ein Antragstellername und vier alternative Antragstellernamen.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.