Partager via


Résumé des certificats - Serveur Edge consolidé mis à l’échelle, équilibrage de charge DNS avec adresses IP privées avec la conversion d’adresses réseau dans Lync Server 2013

 

Dernière rubrique modifiée : 2012-09-08

Microsoft Lync Server 2013 utilise des certificats pour authentifier mutuellement d’autres serveurs et chiffrer les données de serveur à serveur et de serveur à client. Les certificats nécessitent une correspondance de nom entre les enregistrements DNS (Domain Name System) associés aux serveurs et le nom de l’objet (SN) et l’autre nom de l’objet (SAN) sur le certificat. Pour mapper correctement les serveurs, les enregistrements DNS et les entrées de certificat, vous devez planifier soigneusement les noms de domaine complets de votre serveur prévu comme étant inscrits dans DNS et les entrées SN et SAN sur le certificat.

Le certificat affecté aux interfaces externes du serveur Edge est demandé à une autorité de certification publique. Les autorités de certification publiques qui ont réussi à fournir des certificats aux fins des communications unifiées sont répertoriées dans l’article suivant : https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395 Lors de la demande du certificat, vous pouvez utiliser la demande de certificat générée par l’Assistant Déploiement de Lync Server ou créer la demande manuellement ou par un processus fourni par l’autorité de certification publique. Lors de l’attribution du certificat, le certificat est affecté à l’interface du service Edge Access, à l’interface du service Edge de conférence web et au service d’authentification audio/vidéo. Le service d’authentification audio/vidéo ne doit pas être confondu avec le service Edge A/V qui n’utilise pas de certificat pour chiffrer les flux audio et vidéo. L’interface de serveur Edge interne peut utiliser un certificat d’une autorité de certification interne (vers votre organization) ou un certificat d’une autorité de certification publique. Le certificat d’interface interne utilise uniquement le SN et n’a pas besoin ou n’utilise pas d’entrées SAN.

Remarque

Le tableau suivant montre une deuxième entrée SIP (sip.fabrikam.com) dans la liste des autres noms de l’objet pour référence. Pour chaque domaine SIP de votre organization, vous devez ajouter un nom de domaine complet correspondant répertorié dans la liste des autres noms de l’objet du certificat.

Edge consolidé mis à l’échelle, équilibrage de charge DNS avec adresses IP privées à l’aide de NAT

Composant Nom du sujet (SN) Autres noms d’objet (SAN)/Ordre Commentaires

Edge consolidé mis à l’échelle (périphérie externe)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

Le certificat doit provenir d’une autorité de certification publique et doit avoir la référence EKU serveur et la référence EKU cliente si la connectivité de messagerie instantanée publique avec AOL doit être déployée. En outre, pour les serveurs Edge mis à l’échelle, la clé privée du certificat doit être exportable et le certificat et la clé privée copiés sur chaque serveur Edge. Le certificat est affecté aux interfaces Edge externes pour :

  • Serveur Edge d’accès

  • Edge de conférence

  • Edge A/V

Notez que les SAN sont automatiquement ajoutés au certificat en fonction de vos définitions dans le Générateur de topologie. Vous ajoutez des entrées SAN en fonction des besoins pour les domaines SIP supplémentaires et d’autres entrées que vous devez prendre en charge. Le nom de l’objet est répliqué dans le san et doit être présent pour une opération correcte.

Edge consolidé mis à l’échelle (edge interne)

lsedge.contoso.net

Aucun SAN requis

Le certificat peut être émis par une autorité de certification publique ou privée et doit contenir la référence EKU du serveur. Le certificat est affecté à l’interface Edge interne.

Résumé du certificat – Connectivité de messagerie instantanée publique

Composant Nom de l’objet Autres noms d’objet (SAN)/Ordre Commentaires

Périphérie externe/d’accès

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Le certificat doit provenir d’une autorité de certification publique et doit avoir la référence EKU serveur et la référence EKU cliente si la connectivité de messagerie instantanée publique avec AOL doit être déployée. Le certificat est affecté aux interfaces Edge externes pour :

  • Serveur Edge d’accès

  • Edge de conférence

  • Edge A/V

Notez que les SAN sont automatiquement ajoutés au certificat en fonction de vos définitions dans le Générateur de topologie. Vous ajoutez des entrées SAN en fonction des besoins pour les domaines SIP supplémentaires et d’autres entrées que vous devez prendre en charge. Le nom de l’objet est répliqué dans le san et doit être présent pour une opération correcte.

Résumé du certificat pour le protocole de présence et de messagerie extensible

Composant Nom de l’objet Autres noms d’objet (SAN)/Ordre Commentaires

Attribuer au service Edge d’accès du serveur Edge ou du pool Edge

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

Les trois premières entrées SAN sont les entrées SAN normales pour un serveur Edge complet. Le contoso.com est l’entrée requise pour la fédération avec le partenaire XMPP au niveau du domaine racine. Cette entrée autorise XMPP pour tous les domaines avec le suffixe *.contoso.com.