Anforderungen an Zertifikate für interne Server in Lync Server 2013
Letzte Änderung: 17.02.2017
Interne Server, auf denen Lync Server ausgeführt wird und Zertifikate erforderlich sind, sind Standard Edition-Server, Enterprise Edition Front-End-Server, Vermittlungsserver und Director. In der folgenden Tabelle sind die Zertifikatanforderungen für diese Server aufgeführt. Sie können den Lync Server-Zertifikat-Assistenten verwenden, um diese Zertifikate anzufordern.
Tipp
Platzhalterzertifikate werden für die alternativen Antragstellernamen unterstützt, die den einfachen URLs im Front-End-Pool, Front-End-Server oder Director zugeordnet sind. Ausführliche Informationen zur Unterstützung von Platzhalterzertifikaten finden Sie unter Unterstützung von Platzhalterzertifikaten in Lync Server 2013.
Obwohl eine interne Zertifizierungsstelle für Unternehmen für interne Server empfohlen wird, können Sie auch eine öffentliche Zertifizierungsstelle verwenden. Eine Liste der öffentlichen Zertifizierungsstellen, die Zertifikate bereitstellen, die bestimmten Anforderungen für Unified Communications (UC)-Zertifikate entsprechen und mit Microsoft zusammenarbeiten, um sicherzustellen, dass sie mit dem Lync Server-Zertifikat-Assistenten arbeiten, finden Sie im Artikel Microsoft Knowledge Base 929395 "Unified Communications Certificate Partners for Exchange Server and for Communications Server" unter https://go.microsoft.com/fwlink/p/?linkId=202834.
Die Kommunikation mit anderen Anwendungen und Servern, z. B. Exchange 2013, erfordert ein Zertifikat, das von den anderen Anwendungen und Produkten unterstützt wird. Für die Version 2013 unterstützen Lync Server 2013 und andere Microsoft Server-Produkte, einschließlich Exchange 2013 und SharePoint Server, das OAuth-Protokoll (Open Authorization) für die Server-zu-Server-Authentifizierung und -Autorisierung. Ausführliche Informationen finden Sie unter Managing server-to-server authentication (OAuth) and partner applications in Lync Server 2013 in der Bereitstellungsdokumentation oder in der Betriebsdokumentation.
Für Verbindungen von Clients mit dem Betriebssystem Windows 7, dem Betriebssystem Windows Server 2008, dem Betriebssystem Windows Server 2008 R2, dem Windows Vista-Betriebssystem und der Microsoft Lync Phone Edition bietet Lync Server 2013 Unterstützung für Zertifikate, die mit der SHA-256-Kryptografiehashfunktion signiert wurden (jedoch nicht erforderlich). Zur Unterstützung des externen Zugriffs mit SHA-256 wird das externe Zertifikat von einer öffentlichen Zertifizierungsstelle mit SHA-256 ausgestellt.
In den folgenden Tabellen sind die Zertifikatanforderungen nach Serverrolle für Front-End-Pools und Standard Edition-Server dargestellt. All dies sind Standard-Webserverzertifikate, privater Schlüssel, nicht exportierbar.
Beachten Sie, dass die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) des Servers automatisch konfiguriert wird, wenn Sie den Zertifikat-Assistenten zum Anfordern von Zertifikaten verwenden.
Hinweis
Jeder Anzeigename des Zertifikats muss im Computerspeicher eindeutig sein.
Hinweis
Wenn Sie sipinternal.contoso.com oder sipexternal.contoso.com in Ihrem DNS konfiguriert haben, müssen Sie sie im alternativen Antragstellernamen des Zertifikats hinzufügen.
Zertifikate für Standard Edition Server
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel | Kommentare |
|---|---|---|---|---|
Standard |
Vollqualifizierter Domänenname (FQDN) des Pools |
FQDN des Pools und FQDN des Servers Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich (Domain Name System) festgelegt ist, benötigen Sie auch Einträge für „sip.sipDomäne“ (für jede vorhandene SIP-Domäne). |
SN=se01.contoso.com; SAN=se01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“. |
Auf dem Standard Edition-Server ist der Server-FQDN identisch mit dem Pool-FQDN. Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu. Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden. |
Web, intern |
FQDN des Servers |
Jeder der folgenden:
|
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Sie können den internen Web-FQDN im Topologie-Generator nicht überschreiben. Wenn Sie mehrere einfache Besprechungs-URLs haben, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Web, extern |
FQDN des Servers |
Jeder der folgenden:
|
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie mehrere einfache Besprechungs-URLs haben, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für den Front-End-Server in einem Front-End-Pool
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel | Kommentare |
|---|---|---|---|---|
Standard |
FQDN des Pools |
FQDN des Pools und FQDN des Servers. Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strikter DNS-Abgleich erforderlich ist, benötigen Sie auch Einträge für "sip.sipdomain" (für jede sip-Domäne, die Sie besitzen). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“. |
Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu. Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden. |
Web Intern |
FQDN des Pools |
Jeder der folgenden:
|
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Wenn Sie mehrere einfache Besprechungs-URLs haben, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Web, extern |
FQDN des Pools |
Jeder der folgenden:
|
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie mehrere einfache Besprechungs-URLs haben, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für Director
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
Standard |
FQDN des Directorpools |
FQDN des Director, FQDN des Directorpools Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strikter DNS-Abgleich erforderlich ist, benötigen Sie auch Einträge für "sip.sipdomain" (für jede sip-Domäne, die Sie besitzen). |
SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com Wenn dieser Directorpool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strikter DNS-Abgleich erforderlich ist, benötigen Sie auch SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Web Intern |
FQDN des Servers |
Jeder der folgenden:
|
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web, extern |
FQDN des Servers |
Jeder der folgenden:
|
Der externe Director-Web-FQDN muss sich vom Front-End-Pool oder Front-End-Server unterscheiden. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Wenn Sie über einen eigenständigen Vermittlungsserverpool verfügen, benötigen die Vermittlungsserver darin jeweils die in der folgenden Tabelle aufgeführten Zertifikate. Wenn Sie den Vermittlungsserver mit den Front-End-Servern in Verbindung setzen, reichen die zertifikate aus der Tabelle "Zertifikate für Front-End-Server im Front-End-Pool" weiter oben in diesem Thema aus.
Zertifikate für eigenständigen Vermittlungsserver
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
Standard |
FQDN des Pools |
FQDN des Pools FQDN des Poolmitgliedsservers |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Zertifikate für Survivable Branch Appliance
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
Standard |
FQDN der Anwendung |
SIP.< sipdomain> (benötigt einen Eintrag pro SIP-Domäne) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |