Résumé des certificats - Serveur Edge unique consolidé avec adresses IP publiques dans Lync Server 2013
Dernière rubrique modifiée : 2012-09-08
Microsoft Lync Server 2013 utilise des certificats pour authentifier mutuellement d’autres serveurs et chiffrer les données de serveur à serveur et de serveur à client. Les certificats nécessitent une correspondance de nom entre les enregistrements DNS (Domain Name System) associés aux serveurs et le nom de l’objet (SN) et l’autre nom de l’objet (SAN) sur le certificat. Pour mapper correctement les serveurs, les enregistrements DNS et les entrées de certificat, vous devez planifier soigneusement les noms de domaine complets de votre serveur prévu comme étant inscrits dans DNS et les entrées SN et SAN sur le certificat.
Le certificat affecté aux interfaces externes du serveur Edge est demandé à une autorité de certification publique. Les autorités de certification publiques qui ont réussi à fournir des certificats aux fins des communications unifiées sont répertoriées dans l’article suivant : https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395 Lors de la demande du certificat, vous pouvez utiliser la demande de certificat générée par l’Assistant Déploiement de Lync Server ou créer la demande manuellement ou par un processus fourni par l’autorité de certification publique. Lors de l’attribution du certificat, le certificat est affecté à l’interface du service Edge Access, à l’interface du service Edge de conférence web et au service d’authentification audio/vidéo. Le service d’authentification audio/vidéo ne doit pas être confondu avec le service Edge A/V qui n’utilise pas de certificat pour chiffrer les flux audio et vidéo. L’interface de serveur Edge interne peut utiliser un certificat d’une autorité de certification interne (vers votre organization) ou un certificat d’une autorité de certification publique. Le certificat d’interface interne utilise uniquement le SN et n’a pas besoin ou n’utilise pas d’entrées SAN.
Remarque
Le tableau suivant montre une deuxième entrée SIP (sip.fabrikam.com) dans la liste des autres noms de l’objet pour référence. Pour chaque domaine SIP de votre organization, vous devez ajouter un nom de domaine complet correspondant répertorié dans la liste des autres noms de l’objet du certificat.
Certificats requis pour la périphérie consolidée unique avec des adresses IP publiques
Composant | Nom du sujet (SN) | Autres noms d’objet (SAN)/Ordre | Commentaires |
---|---|---|---|
Edge unique consolidé (périphérie externe) |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
Le certificat doit provenir d’une autorité de certification publique et doit avoir la référence EKU serveur et la référence EKU cliente si la connectivité de messagerie instantanée publique avec AOL doit être déployée. Le certificat est affecté aux interfaces Edge externes pour :
Notez que les SAN sont automatiquement ajoutés au certificat en fonction de vos définitions dans le Générateur de topologie. Vous ajoutez des entrées SAN en fonction des besoins pour les domaines SIP supplémentaires et d’autres entrées que vous devez prendre en charge. Le nom de l’objet est répliqué dans le san et doit être présent pour une opération correcte. |
Edge unique consolidé (edge interne) |
lsedge.contoso.net |
Aucun SAN requis |
Le certificat peut être émis par une autorité de certification publique ou privée et doit contenir la référence EKU du serveur. Le certificat est affecté à l’interface Edge interne. |
Résumé du certificat – Connectivité de messagerie instantanée publique
Composant | Nom de l’objet | Autres noms d’objet (SAN)/Ordre | Commentaires |
---|---|---|---|
Périphérie externe/d’accès |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
Le certificat doit provenir d’une autorité de certification publique et doit avoir la référence EKU serveur et la référence EKU cliente si la connectivité de messagerie instantanée publique avec AOL doit être déployée. Le certificat est affecté aux interfaces Edge externes pour :
Notez que les SAN sont automatiquement ajoutés au certificat en fonction de vos définitions dans le Générateur de topologie. Vous ajoutez des entrées SAN en fonction des besoins pour les domaines SIP supplémentaires et d’autres entrées que vous devez prendre en charge. Le nom de l’objet est répliqué dans le san et doit être présent pour une opération correcte. |
Résumé du certificat pour le protocole de présence et de messagerie extensible
Composant | Nom de l’objet | Autres noms d’objet (SAN)/Ordre | Commentaires |
---|---|---|---|
Attribuer au service Edge d’accès du serveur Edge ou du pool Edge |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com xmpp.contoso.com *.contoso.com |
Les trois premières entrées SAN sont les entrées SAN normales pour un serveur Edge complet. Le contoso.com est l’entrée requise pour la fédération avec le partenaire XMPP au niveau du domaine racine. Cette entrée autorise XMPP pour tous les domaines avec le suffixe *.contoso.com. |