Требования к сертификатам для совместной работы

При выполнении в организации развертывания, предусматривающего совместную работу, необходимо настроить сертификаты. Имеется возможность выбора между использованием самозаверяющих сертификатов и приобретением сертификатов у доверенного стороннего центра сертификации. Для многих служб, таких как AD FS, федерация Exchange 2010, службы Exchange 2010 и Exchange, требуются сертификаты. В зависимости от условий в данной организации может потребоваться один из следующих вариантов.

• Использование самозаверяющего сертификата для каждой службы
  
  
• Использование стороннего сертификата, применяемого всеми службами на нескольких серверах
  
  
• Использование стороннего сертификата для каждого сервера, который предоставляет службы
  
  

Тип используемого сертификата и выбор между применением одного сертификата для всех служб или выделением отдельного сертификата для каждой службы зависит от данной организации и реализуемой службы. Ниже приводятся соображения для каждого варианта.

• Самозаверяющий сертификат   Самозаверяющие сертификаты не получают доверия от других серверов или клиентов. Чтобы клиенты и серверы принимали самозаверяющий сертификат, предоставляемый сервером, необходимо вручную импортировать его на каждый клиент и сервер.
  
  
• Сторонний сертификат на нескольких серверах   При наличии множества клиентов и серверов, которые должны доверять самозаверяющему сертификату, или невозможности получения доступа к каждому клиенту или серверу может потребоваться использование стороннего сертификата. Сторонние сертификаты, используемые службами на нескольких серверах, могут иметь несколько меньшую стоимость, но при этом усложнять продление и замену. Сложность заключается в том, что при необходимости замены сертификата такую операцию необходимо выполнить на каждом сервере, где он установлен.
  
  
• Сторонний сертификат для каждого сервера   Использование выделенного сертификата для каждого сервера, на котором размещаются службы, позволяет настраивать сертификат отдельно для служб на этом сервере. Если необходимо заменить сертификат или продлить его, это потребуется сделать только на том сервере, на котором установлены службы. Другие серверы при этом не затрагиваются.
  
  

Рекомендуется использовать один выделенный сторонний сертификат для сервера служб федерации Active Directory, другой сертификат — для служб Exchange на сервере совместной работы и, если потребуется, сертификат на сервере Exchange организации. Федеративная делегация на сервере для совместной работы использует самозаверяющий сертификат по умолчанию. Если только нет особых требований, для федеративной делегации отсутствует необходимость в использовании стороннего сертификата.

Для служб, установленных на одном сервере, может требоваться настройка нескольких полных доменных имен (FQDN) для этого сервера. Необходимо приобрести сертификат, который позволяет использовать нужное количество имен FQDN. Сертификаты согласуются по имени субъекта (участника) и одному или нескольким дополнительным именам субъекта (SAN). Имя субъекта — это имя FQDN, на которое выдан сертификат. Имена SAN — это дополнительные имена FQDN, которые могут добавляться в сертификат, помимо имени субъекта. В случае потребности в сертификате, поддерживающем пять имен FQDN, следует приобрести сертификат, в который можно добавить пять доменов: одно имя субъекта и четыре имени SAN.