Architecture de référence 2 : résumé des certificats requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée)
Dernière rubrique modifiée : 2012-08-08
Avant de commencer, prenez une minute pour mapper les entrées du tableau suivant avec les noms de domaine complets (FQDN)/adresses IP qui sont présentés dans la figure Topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée) de Architecture de référence 2 : Topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée), afin de disposer de relations claires. Par exemple, veuillez noter que dans le tableau Certificats requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée), aucun certificat n’est affecté à l’interface externe Edge A/V (av.contoso.com), mais un certificat associé A/V (avauth.contoso.net) est affecté au service d’authentification multimédia.
Les certificats répertoriés dans le tableau suivant sont nécessaires à la prise en charge de la topologie Edge qui est présentée dans la figure Topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée). Trois certificats sont spécifiés pour le serveur proxy inverse, afin d’illustrer les exigences en matière de certificats pour les URL simples dédiées (par exemple, https://dial-in.contoso.com). Pour les déploiements qui comportent un seul pool ou dans lesquels plusieurs pools partagent les mêmes URL simples de conférence rendez-vous et de réunion, vous pouvez créer une règle de publication unique et le certificat correspondant. Par exemple, les URL définies dans le Générateur de topologies en tant que cs.contoso.com/dialin et cs.contoso.com/meet peuvent partager une règle de publication unique et un certificat avec un nom de sujet cs.contoso.com. Pour plus d’informations, voir Options d’URL simple.
.gif "note") Remarque : |
|---|
| Le tableau suivant présente une deuxième entrée SIP dans la liste des autres noms de sujet, à des fins de référence. Pour chaque domaine SIP dans votre organisation, un nom de domaine complet (FQDN) correspondant doit être répertorié dans la liste des autres noms de sujet du certificat. |
.gif "important") Important : |
|---|
| Le certificat public utilisé dans les interfaces Edge doit être créé en tant que certificat exportable et le même certificat doit être affecté à chaque serveur Edge du pool. |
Certificats requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée)
| Composant | Nom du sujet | Entrées/Ordre d’autre nom de l’objet (SAN) | Autorité de certification | Utilisation améliorée de la clé (EKU) | Commentaires |
|---|---|---|---|---|---|
Topologie Edge consolidée mise à l’échelle |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
Public |
Serveur* |
Affecter aux rôles serveur Edge suivants sur chaque serveur du pool Edge : Interface externe : Edge d’accès SIP Edge de conférence Web Edge A/V |
Topologie Edge consolidée mise à l’échelle |
lsedge.contoso.net |
N/A |
Privé |
Serveur |
Affecter au rôle de serveur Edge suivant : Interface interne : Edge |
Proxy inverse |
lsweb-ext.contoso.com |
lsweb-ext.contoso.com dialin.contoso.com meet.contoso.com lyncdiscover.contoso.com lyncdiscover.fabrikam.com (Approche facultative faisant appel à un certificat générique) : *.contoso.com *.fabrikam.com |
Public |
Serveur |
Expansion du groupe de distribution du carnet d’adresses et règles de publication de périphérique IP Lync. L’autre nom de sujet inclut : Nom de domaine complet (FQDN) des services Web externes Conférence rendez-vous Règle de publication de réunion en ligne Mobilité Le caractère générique remplace le SAN meet et dialin |
Pool du tronçon suivant (sur serveur frontal 01) |
pool01.contoso.net (sur serveur frontal 01) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com meet.contoso.com fe01.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Approche facultative faisant appel à un certificat générique) : *.contoso.com *.fabrikam.com |
Privé |
Serveur |
Affecter aux serveurs et rôles suivants dans le pool du tronçon suivant : Serveur frontal 01 dans pool 01 Le caractère générique remplace le SAN admin, meet et dialin |
Pool du tronçon suivant (sur serveur frontal 02) |
pool01.contoso.net (sur serveur frontal 02) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com meet.contoso.com fe02.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Approche facultative faisant appel à un certificat générique) : *.contoso.com *.fabrikam.com |
Privé |
Serveur |
Affecter aux serveurs et rôles suivants dans le pool du tronçon suivant : Serveur frontal 02 dans pool 01 Le caractère générique remplace le SAN admin, meet et dialin |
* L’EKU du client est requis si la connectivité Internet publique avec AOL est activée.