Prise en charge des certificats avec caractères génériques
Dernière rubrique modifiée : 2012-10-18
Microsoft Lync Server 2010 utilise des certificats pour assurer le cryptage des communications et l’authentification de l’identité du serveur. Dans certains cas, notamment la publication web via le proxy inverse, la saisie d’un autre nom de sujet (SAN) fort correspondant au nom de domaine complet (FQDN) du serveur hébergeant le service n’est pas requise. Dans de tels cas, il est possible d’utiliser des certificats avec des entrées SAN génériques (appelés également certificats génériques) pour réduire le coût d’un certificat exigé par une autorité de certification publique afin de réduire la complexité du processus de planification pour les certificats.
Avertissement : |
---|
Pour conserver les fonctionnalités des périphériques de communications unifiées (UC) tels que les téléphones de bureaux, il est important de tester avec soin le certificat déployé pour garantir le bon fonctionnement des périphériques après avoir implémenté un certificat générique. |
Une entrée de certificat n’est pas prise en charge en tant que nom d’objet (aussi appelé nom commun ou CN) pour un rôle donné. Les rôles serveur suivants sont pris en charge lors de l’utilisation d’entrées génériques dans le SAN :
Proxy inverse. La saisie d’un autre nom de sujet générique est prise en charge pour un certificat de publication d’URL simple.
Directeur. La saisie d’un autre nom de sujet générique est prise en charge pour des URL simples dans des composants web de Directeur.
serveur frontal (Standard Edition) et pool de serveurs frontaux (Enterprise Edition). La saisie d’un autre nom de sujet générique est prise en charge pour des URL simples dans des composants web frontaux.
messagerie unifiée Exchange. Le serveur n’utilise pas d’entrées SAN lorsqu’il est déployé en tant que serveur autonome.
Microsoft Exchange ServerServeur d’accès client. Les entrées génériques sont prises en charge pour les clients internes et externes.
Serveur d’accès clientmessagerie unifiée Exchange et Microsoft Exchange Server sur le même serveur. Les entrées SAN génériques sont prises en charge.
Rôles serveur non traités dans ce chapitre :
Rôles serveurs internes (y compris le serveur de médiation, le serveur d’archivage et de surveillance, le Survivable Branch Appliance ou le serveur Survivable Branch Server)
Interfaces externes serveur Edge
Internes serveur Edge
Remarque : Pour l’interface interne serveur Edge, une entrée générique peut être affectée au SAN et elle est prise en charge. Le SAN associé au serveur Edge interne n’est pas requis et la valeur d’une entrée SAN générique est limitée.
Pour décrire les utilisations de certificats génériques possibles, les instructions utilisées dans la documentation Reference Architectures in the Planning sont répliquée ici pour conserver une certaine cohérence. Pour en savoir plus, voir Architecture de référence. Comme il a été précisé précédemment, les périphériques UC se basent sur une correspondance de nom forte et une authentification se solderait par un échec si une entrée SAN générique était présentée avant l’entrée FQDN. En suivant l’ordre établi dans les tableaux suivants, vous limitez les problèmes potentiels avec un périphérique UC et des entrées génériques dans le SAN.
Configurations de certificats génériques pour Lync Server 2010
Composant | Nom d’objet | Entrées SAN /Ordre | Autorité de certification (CA) | Utilisation améliorée de la clé (EKU) | Commentaires |
---|---|---|---|---|---|
Proxy inverse |
lsrp.contoso.com |
lsweb-ext.contoso.com *.contoso.com |
Public |
Serveur |
Les règles relatives au service de carnet d’adresses, au développement des groupes de distribution et à la publication de périphérique IP Lync. Les autres noms de sujet incluent : FQDN du service web externe Le caractère générique remplace le SAN Réunion (meet) et Accès à distance (dialin) où les URL simples de réunion et d’accès à distance utilisent les formats suivants : <FQDN>/meet <FQDN>/dialin OU meet.<FQDN> dialin.<FQDN> |
Directeur |
dirpool01.contoso.net |
sip.contoso.com sip.fabrikam.com dirweb.contoso.net dirweb-ext.contoso.com <nom d’hôte>.contoso.net, par exemple <nom d’hôte> est directeur01 pour un Directeur de pool dirpool.contoso.net *.contoso.com |
Serveur |
privé |
Affecter aux serveurs et rôles suivants dans le pool directeur : A chaque directeur du pool ou au directeur autonome lorsqu’un pool directeur n’est pas déployé. Le caractère générique remplace le SAN Réunion (meet) et Accès à distance (dialin) où les URL simples de réunion et d’accès à distance utilisent les formats suivants : <FQDN>/admin <FQDN>/meet <FQDN>/dialin OU admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Frontal Enterprise Edition |
pool01.contoso.net (Pour un pool de charge équilibrée) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com <nom d’hôte>.contoso.net, par exemple <hostname> est fe01 pour un serveur frontal d’un pool pool01.contoso.net *.contoso.com |
Serveur |
privé |
Affecter aux serveurs et rôles suivants dans le pool du tronçon suivant : Frontal dans le pool01 Le caractère générique remplace le SAN Réunion (meet) et Accès à distance (dialin) où les URL simples de réunion et d’accès à distance utilisent les formats suivants : <FQDN>/admin <FQDN>/meet <FQDN>/dialin OU admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Frontal Standard Edition |
se01.contoso.net |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com se01.contoso.net *.contoso.com |
Privé |
Serveur |
Affecter aux serveurs et rôles suivants dans le pool du tronçon suivant : Le caractère générique remplace le SAN Réunion (meet) et Accès à distance (dialin) où les URL simples de réunion et d’accès à distance utilisent les formats suivants : <FQDN>/admin <FQDN>/meet <FQDN>/dialin OU admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Microsoft Exchange Server 2007 et Exchange Server 2010
Lorsque vous installez et configurez Microsoft Exchange Server, des certificats auto-signés sont créés et implémentés. Lorsque vous ajoutez un certificat fourni par une autorité de certification au serveur, il est recommandé de ne pas supprimer le certificat auto-signé à moins d’avoir reconfiguré tous les services et services web afin de pouvoir utiliser le nouveau certificat. En cas de dysfonctionnement d’un élément, le certificat auto-signé sera toujours disponible pour vous permettre de reconfigurer les paramètres d’origine et restaurer les fonctions d’origine, bien que ce dernier ne permette pas l’exécution de toutes les fonctionnalités requises. Cela vous procure du temps supplémentaire pour résoudre les configurations sans affecter toutes les fonctions de production.
Pour en savoir plus sur l’utilisation du certificat dans Exchange, voir les documents :
Présentation des certificats numériques et de SSL : https://go.microsoft.com/fwlink/?linkid=218233&clcid=0x40C
Présentation des espaces de noms serveur d’accès client : https://go.microsoft.com/fwlink/?linkid=218234&clcid=0x40C
Présentation du service de découverte automatique : https://go.microsoft.com/fwlink/?linkid=217012&clcid=0x40C
Pour un Microsoft Exchange Server déployé avec le messagerie unifiée Exchange et le serveur d’accès au client Exchange, il existe quatre scénarios de déploiement possibles :
Scénario 1 : messagerie unifiée Exchange et le serveur d’accès au client Exchange sont déployés sur différents serveurs avec accès via Internet.
Scénario 2 : messagerie unifiée Exchange et le serveur d’accès au client Exchange sont colocalisés sur le même serveur avec accès via Internet.
Scénario 3 : messagerie unifiée Exchange et le serveur d’accès au client Exchange sont déployés sur différents serveurs avec un proxy inverse pour la publication.
Scénario 4 : messagerie unifiée Exchange et le serveur d’accès au client Exchange sont colocalisés sur le même serveur avec un proxy inverse pour la publication.
Scénario 1 : messagerie unifiée Exchange et serveur d’accès au client Exchange déployés sur différents serveurs (avec accès via Internet pour le serveur d’accès au client)
Microsoft Exchange composant | Nom de l’objet | Entrées SAN/Ordre | Autorité de certification (CA) | Utilisation améliorée de la clé (EKU) | Commentaires |
---|---|---|---|---|---|
messagerie unifiée Exchange Nom du serveur : exchum01.contoso.com |
exchum01.contoso.com |
Le rôle de messagerie unifiée Exchange ne doit pas contenir d’entrée SAN |
Privé |
Serveur |
Le serveur messagerie unifiée Exchange communique uniquement avec des serveurs et des clients internes. Importez un certificat racine provenant d’une autorité de certification privée sur chaque serveur messagerie unifiée Exchange. Créez et affectez un certificat unique pour chaque serveur de messagerie unifiée Exchange. Le nom de l’objet doit correspondre au nom du serveur. Vous devez activer la connexion TLS (Transport Layer Security) sur le serveur de messagerie unifiée Exchange avant de pouvoir affecter un certificat au rôle de messagerie unifiée Exchange. Affectez ce certificat pour qu’il soit utilisé sur le serveur d’accès au client Exchange et intégré à Outlook Web Access et la messagerie instantanée (IM). |
Serveur d’accès au client Exchange Serveur d’accès au client du site Active Directory (avec Internet) Nom du serveur : exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Public |
Serveur |
L’entrée du nom d’objet et de l’autre nom d’objet doivent correspondre pour prendre en charge des périphériques UC externes. L’entrée du nom d’objet et celle de l’autre nom d’objet mail.contoso.com est un exemple de nom pour faire référence à Outlook Web Access, Outlook Anywhere, EWS et au carnet d’adresses en mode hors connexion (Offline Address Book). Seules conditions requises : l’entrée doit correspondre à un enregistrement DNS et l’entrée ExternalURL ainsi que les autres entrées de service peuvent être référencées par le nom donné. L’entrée SAN autodiscover est requise pour prendre en charge les périphériques UC externes. |
Serveur d’accès au client Exchange Serveur d’accès au client du site Active Directory (sans Internet) Nom du serveur : internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privé |
Serveur |
Le serveur d’accès au client du site Active Directory (sans Internet) communique uniquement avec des serveurs et des clients internes. Le serveur d’accès au client du site Active Directory (sans Internet) redirige via proxy les communications vers ce serveur d’accès au client si la requête provient d’un utilisateur ou service qui interroge des services (la messagerie par exemple) hébergés sur ce site Active Directory. Les services EWS et de carnet d’adresses en mode hors connexion (Offline Address Book) qui figure sur le site Active Directory sans Internet sont configurés de manière à utiliser le certificat déployé. Celui-ci peut provenir de l’autorité de certification privée interne. Le certificat racine de l’autorité de certification privée doit être importé dans le magasin des certificats racines des autorités de certification de confiance tierces sur le serveur d’accès au client du site Active Directory avec Internet. |
Scénario 2 : messagerie unifiée Exchange & Serveur d’accès au client Exchange colocalisé sur le même serveur (accès via Internet)
Microsoft Exchange composant | Nom de l’objet | Entrées SAN/Ordre | Autorité de certification (CA) | Utilisation améliorée de la clé (EKU) | Commentaires |
---|---|---|---|---|---|
messagerie unifiée Exchange Nom du serveur : exchcas01.contoso.com |
exchcas01.contoso.com |
Le rôle de messagerie unifiée Exchange ne doit pas contenir d’entrée SAN |
Privé |
Serveur |
Le serveur messagerie unifiée Exchange communique uniquement avec des serveurs et des clients internes. Importez un certificat racine provenant d’une autorité de certification privée sur chaque serveur messagerie unifiée Exchange. Vous devez activer la connexion TLS (Transport Layer Security) sur le serveur de messagerie unifiée Exchange avant de pouvoir affecter un certificat au rôle de messagerie unifiée Exchange. Affectez ce certificat pour qu’il soit utilisé sur le serveur d’accès au client Exchange et intégré à Outlook Web Access et la messagerie instantanée (IM). |
Serveur d’accès au client Exchange et Serveur d’accès au client du site Active Directory avec accès via Internet Nom du serveur : exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Public |
Serveur |
L’entrée du nom d’objet et de l’autre nom d’objet doivent correspondre pour prendre en charge des périphériques UC externes. L’entrée du nom d’objet et celle de l’autre nom d’objet mail.contoso.com est un exemple de nom pour faire référence à Outlook Web Access, Outlook Anywhere, EWS et au carnet d’adresses en mode hors connexion (Offline Address Book). Seules conditions requises : l’entrée doit correspondre à un enregistrement DNS et l’entrée ExternalURL ainsi que les autres entrées de service peuvent être référencées par le nom donné. L’entrée SAN autodiscover.<domain namespace> est requise pour prendre en charge les périphériques UC externes. |
Serveur d’accès au client Exchange Serveur d’accès au client du site Active Directory (sans Internet) Nom du serveur : internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privé |
Serveur |
Le serveur d’accès au client du site Active Directory (sans Internet) communique uniquement avec des serveurs et des clients internes. Le serveur d’accès au client du site Active Directory (sans Internet) redirige via proxy les communications vers ce serveur d’accès au client si la requête provient d’un utilisateur ou service qui interroge des services (la messagerie par exemple) hébergés sur ce site Active Directory. Les services web Exchange et les services de carnet d’adresses en mode hors connexion (Offline Address Book) sur le site Active Directory sans Internet sont configurés de manière à utiliser le certificat déployé. Celui-ci peut provenir de l’autorité de certification privée interne. Le certificat racine de l’autorité de certification privée doit être importé dans le magasin des certificats racines des autorités de certification de confiance tierces sur le serveur d’accès au client du site Active Directory avec Internet. |
Scénario 3 : messagerie unifiée Exchange/Serveur d’accès au client Exchange déployé sur différents serveurs avec un proxy inverse pour publication
Microsoft Exchange composant | Nom de l’objet | Entrées SAN/Ordre | Autorité de certification (CA) | Utilisation améliorée de la clé (EKU) | Commentaires |
---|---|---|---|---|---|
messagerie unifiée Exchange Nom du serveur : exchum01.contoso.com |
exchum01.contoso.com |
Le rôle de messagerie unifiée Exchange ne doit pas contenir d’entrée SAN |
Privé |
Serveur |
Le serveur messagerie unifiée Exchange communique uniquement avec des serveurs et des clients internes. Importez un certificat racine provenant d’une autorité de certification privée sur chaque serveur messagerie unifiée Exchange. Créez et affectez un certificat unique pour chaque serveur de messagerie unifiée Exchange. Le nom de l’objet doit correspondre au nom du serveur. Vous devez activer la connexion TLS (Transport Layer Security) sur le serveur de messagerie unifiée Exchange avant de pouvoir affecter un certificat au rôle de messagerie unifiée Exchange. Affectez ce certificat pour qu’il soit utilisé sur le serveur d’accès au client Exchange et intégré à Outlook Web Access et la messagerie instantanée (IM). |
Serveur d’accès au client Exchange Nom du serveur : exchcas01.contoso.com |
exchcas01.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privé |
Serveur |
L’entrée du nom d’objet et de l’autre nom d’objet doivent correspondre pour prendre en charge des périphériques UC externes. Importez le certificat racine provenant de l’autorité de certification privée sur chaque serveur d’accès au client Exchange. L’entrée du nom d’objet et celle de l’autre nom d’objet mail.contoso.com est un exemple de nom pour faire référence à Outlook Web Access, Outlook Anywhere, EWS et au carnet d’adresses en mode hors connexion (Offline Address Book). Seules conditions requises : l’entrée doit correspondre à un enregistrement DNS et l’entrée ExternalURL ainsi que les autres entrées de service peuvent être référencées par le nom donné. L’entrée SAN autodiscover est requise pour prendre en charge les périphériques UC externes. L’entrée du nom de l’ordinateur (ici, exchcas01.contoso.com) doit exister à des fins d’intégration à Outlook Web Access et la messagerie instantanée (IM). |
Proxy inverse Nom du serveur : rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Public |
Serveur |
Une entrée correspondant au nom d’objet doit également figurer dans l’autre nom d’objet (SAN) du certificat. L’arrêt de la communication TLS ou SSL au niveau du proxy inverse puis la reprise sur le serveur d’accès au client va causer un échec des périphériques UC. Des fonctionnalités de certains produits tels que Microsoft Internet Security and Acceleration (ISA) Server et Microsoft Forefront Threat Management Gateway et autres implémentations tierces, d’arrêt de communications TLS ou SSL ne peuvent être utilisées en cas de prise en charge de périphériques UC. L’entrée de l’autre nom d’objet autodiscover doit exister pour que les périphériques UC fonctionnent correctement. |
Serveur d’accès au client Exchange Serveur d’accès au client du site Active Directory (sans Internet) Nom du serveur : internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privé |
Serveur |
Le serveur d’accès au client du site Active Directory (sans Internet) communique uniquement avec des serveurs et des clients internes. Le serveur d’accès au client du site Active Directory (sans Internet) redirige via proxy les communications vers ce serveur d’accès au client si la requête provient d’un utilisateur ou service qui interroge des services (la messagerie par exemple) hébergés sur ce site Active Directory. Les services EWS et de carnet d’adresses en mode hors connexion (Offline Address Book) qui figure sur le site Active Directory sans Internet sont configurés de manière à utiliser le certificat déployé. Celui-ci peut provenir de l’autorité de certification privée interne. Le certificat racine de l’autorité de certification privée doit être importé dans le magasin des certificats racines des autorités de certification de confiance tierces sur le serveur d’accès au client du site Active Directory avec Internet. |
Scénario 4 : messagerie unifiée Exchange/Serveur d’accès au client Exchange colocalisé sur le même serveur avec le proxy inverse pour publication
Microsoft Exchange composant | Nom de l’objet | Entrées SAN/Ordre | Autorité de certification (CA) | Utilisation améliorée de la clé (EKU) | Commentaires |
---|---|---|---|---|---|
messagerie unifiée Exchange Nom du serveur : exchum01.contoso.com |
exchum01.contoso.com |
Le rôle de messagerie unifiée Exchange ne doit pas contenir d’entrée SAN |
Privé |
Serveur |
Le serveur messagerie unifiée Exchange communique uniquement avec des serveurs et des clients internes. Importez un certificat racine provenant d’une autorité de certification privée sur chaque serveur messagerie unifiée Exchange. Créez et affectez un certificat unique pour chaque serveur de messagerie unifiée Exchange. Le nom de l’objet doit correspondre au nom du serveur. L’autre nom d’objet (SAN) n’est pas requis. Vous devez activer la connexion TLS (Transport Layer Security) sur le serveur de messagerie unifiée Exchange avant de pouvoir affecter un certificat au rôle de messagerie unifiée Exchange. |
Serveur d’accès au client Exchange messagerie unifiée Exchange Nom du serveur : exchcas01.contoso.com |
mail.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privé |
Serveur |
L’entrée du nom d’objet et de l’autre nom d’objet doivent correspondre pour prendre en charge des périphériques UC externes. Importez le certificat racine provenant de l’autorité de certification privée sur chaque serveur d’accès au client Exchange. L’entrée du nom d’objet et celle de l’autre nom d’objet mail.contoso.com est un exemple de nom pour faire référence à Outlook Web Access, Outlook Anywhere, EWS et au carnet d’adresses en mode hors connexion (Offline Address Book). Seules conditions requises : l’entrée doit correspondre à un enregistrement DNS et l’entrée ExternalURL ainsi que les autres entrées de service peuvent être référencées par le nom donné. L’entrée SAN autodiscover est requise pour prendre en charge les périphériques UC externes. L’entrée du nom de l’ordinateur (ici, exchcas01.contoso.com) doit exister à des fins d’intégration à Outlook Web Access et la messagerie instantanée (IM). |
Proxy inverse Nom du serveur : rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Public |
Serveur |
Une entrée correspondant au nom d’objet doit également figurer dans l’autre nom d’objet (SAN) du certificat. L’arrêt de la communication TLS ou SSL au niveau du proxy inverse puis la reprise sur le serveur d’accès au client va causer un échec des périphériques UC. Des fonctionnalités de certains produits tels que ISA Server et Microsoft Forefront Threat Management Gateway (TMG) et autres implémentations tierces, de communications TLS ou SSL ne peuvent être utilisées si des périphériques UC seront pris en charge. L’entrée de l’autre nom d’objet autodiscover doit exister pour que les périphériques UC fonctionnent correctement. |
Serveur d’accès au client Exchange Serveur d’accès au client du site Active Directory (sans Internet) Nom du serveur : internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privé |
Serveur |
Le serveur d’accès au client du site Active Directory (sans Internet) communique uniquement avec des serveurs et des clients internes. Le serveur d’accès au client du site Active Directory (sans Internet) redirige via proxy les communications vers ce serveur d’accès au client si la requête provient d’un utilisateur ou service qui interroge des services (la messagerie par exemple) hébergés sur ce site Active Directory. Les services EWS et de carnet d’adresses en mode hors connexion (Offline Address Book) qui figure sur le site Active Directory sans Internet sont configurés de manière à utiliser le certificat déployé. Celui-ci peut provenir de l’autorité de certification privée interne. Le certificat racine de l’autorité de certification privée doit être importé dans le magasin des certificats racines des autorités de certification de confiance tierces sur le serveur d’accès au client du site Active Directory avec Internet. |