Requisitos de certificado para Servidores internos en Lync Server 2013
Última modificación del tema: 2017-02-17
Los servidores internos que ejecutan Lync Server y que requieren certificados incluyen servidor Standard Edition, Enterprise Edition servidor front-end, servidor de mediación y director. En la tabla siguiente se muestran los requisitos de certificado para estos servidores. Puede usar el Asistente para certificados de Lync Server para solicitar estos certificados.
Propina
Los certificados comodín son compatibles con los nombres alternativos del asunto asociados a las direcciones URL sencillas del grupo de servidores front-end, servidor front-end o director. Para obtener más información sobre la compatibilidad con certificados comodín, vea Compatibilidad con certificados comodín en Lync Server 2013.
Aunque se recomienda una entidad de certificación empresarial interna (CA) para servidores internos, también puede usar una CA pública. Para obtener una lista de ca públicas que proporcionan certificados que cumplen con requisitos específicos para certificados de comunicaciones unificadas (UC) y se han asociado con Microsoft para asegurarse de que funcionan con el Asistente para certificados de Lync Server, consulte el artículo microsoft knowledge base 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server", en https://go.microsoft.com/fwlink/p/?linkId=202834.
La comunicación con otras aplicaciones y servidores, como Exchange 2013, requiere un certificado que sea compatible con otras aplicaciones y productos. Para la versión de 2013, Lync Server 2013 y otros productos de servidor de Microsoft, incluidos Exchange 2013 y SharePoint Server, admiten el protocolo De autorización abierta (OAuth) para autenticación y autorización de servidor a servidor. Para obtener más información, consulte Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones de asociados en Lync Server 2013 en la documentación de implementación o en la documentación de Operaciones.
Para las conexiones de clientes que ejecutan el sistema operativo Windows 7, el sistema operativo Windows Server 2008, el sistema operativo Windows Server 2008 R2, el sistema operativo Windows Vista y Microsoft Lync Phone Edition, Lync Server 2013 incluye compatibilidad con los certificados firmados con la función hash criptográfica SHA-256 (pero no es necesario). Para admitir el acceso externo mediante SHA-256, el certificado externo lo emite una CA pública que usa SHA-256.
En las tablas siguientes se muestran los requisitos de certificado por función de servidor para los grupos de servidores front-end y los servidores Standard Edition. Todos estos son certificados de servidor web estándar, clave privada, no exportable.
Tenga en cuenta que el uso de claves mejorada (EKU) del servidor se configura automáticamente al usar el asistente para certificados para solicitar certificados.
Nota
Cada nombre descriptivo del certificado debe ser único en el almacén de equipos.
Nota
Si ha configurado sipinternal.contoso.com o sipexternal.contoso.com en su DNS, tendrá que agregarlos en el nombre alternativo del asunto del certificado.
Certificados para Standard Edition Server
| Certificado | Nombre del asunto/Nombre común | Nombre alternativo de sujeto | Ejemplo | Comentarios |
|---|---|---|---|---|
Predeterminado |
Nombre de dominio completo (FQDN) del grupo |
FQDN del grupo y el FQDN del servidor Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos. Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta del sistema de nombres de dominio (DNS) en la directiva del grupo, necesitará también entradas para sip.sipdomain (para cada uno de los dominios SIP que tenga). |
SN=se01.contoso.com; SAN=se01.contoso.com Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com |
En el servidor Standard Edition, el FQDN del servidor es el mismo que el FQDN del grupo. El asistente detecta todos los dominios SIP especificados durante la instalación y los agrega automáticamente al nombre alternativo de sujeto. También puede usar este certificado para la autenticación de servidor a servidor. |
Web interno |
FQDN del servidor |
Cada uno de los siguientes elementos:
|
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
No puede invalidar el FQDN web interno en el Generador de topologías. Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Web externo |
FQDN del servidor |
Cada uno de los siguientes elementos:
|
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Certificados para servidor front-end en un grupo de servidores front-end
| Certificado | Nombre del asunto/Nombre común | Nombre alternativo de sujeto | Ejemplo | Comentarios |
|---|---|---|---|---|
Predeterminado |
FQDN del grupo de servidores |
FQDN del grupo y FQDN del servidor. Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos. Si este grupo es el servidor de inicio de sesión automático para clientes y se requiere una coincidencia DNS estricta en la directiva de grupo, también necesita entradas para sip.sipdomain (para cada dominio SIP que tenga). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com |
El asistente detecta todos los dominios SIP especificados durante la instalación y los agrega automáticamente al nombre alternativo de sujeto. También puede usar este certificado para la autenticación de servidor a servidor. |
Web Internal |
FQDN del grupo de servidores |
Cada uno de los siguientes elementos:
|
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Web externo |
FQDN del grupo de servidores |
Cada uno de los siguientes elementos:
|
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Certificados para director
| Certificado | Nombre del asunto/Nombre común | Nombre alternativo de sujeto | Ejemplo |
|---|---|---|---|
Predeterminado |
FQDN del grupo de directores |
FQDN del director, FQDN del grupo de directores Si este grupo es el servidor de inicio de sesión automático para clientes y se requiere una coincidencia DNS estricta en la directiva de grupo, también necesita entradas para sip.sipdomain (para cada dominio SIP que tenga). |
SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com Si este grupo de directores es el servidor de inicio de sesión automático para clientes y se requiere una coincidencia DNS estricta en la directiva de grupo, también necesita SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Web Internal |
FQDN del servidor |
Cada uno de los siguientes elementos:
|
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web externo |
FQDN del servidor |
Cada uno de los siguientes elementos:
|
El FQDN web externo de Director debe ser diferente del grupo de servidores front-end o front-end server. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Si tiene un grupo de servidores de mediación independiente, cada uno de los servidores de mediación necesita los certificados enumerados en la tabla siguiente. Si intercala el servidor de mediación con los servidores front-end, los certificados enumerados en la tabla "Certificados para servidor front-end en el grupo de servidores front-end" anteriores en este tema son suficientes.
Certificados para el servidor de mediación independiente
| Certificado | Nombre del asunto/Nombre común | Nombre alternativo de sujeto | Ejemplo |
|---|---|---|---|
Predeterminado |
FQDN del grupo de servidores |
FQDN del grupo de servidores FQDN del servidor miembro del grupo |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificados para el dispositivo de rama con funciones de supervivencia
| Certificado | Nombre del asunto/Nombre común | Nombre alternativo de sujeto | Ejemplo |
|---|---|---|---|
Predeterminado |
FQDN de la aplicación |
SIP.< sipdomain> (se necesita una entrada por dominio SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |