Architettura di riferimento 1: riepilogo dei certificati per la topologia perimetrale consolidata singola
Ultima modifica dell'argomento: 2012-08-08
Prima di continuare, dedicare un minuto ad associare le voci della tabella seguente ai nomi di dominio completi (FQDN)/indirizzi IP indicati nella figura contenuta in Architettura di riferimento 1: topologia perimetrale consolidata singola, in modo che le relazioni siano chiare. Si noti ad esempio che non vi sono certificati assegnati all'interfaccia esterna perimetrale A/V (av.contoso.com), ma che vi è un certificato A/V (avauth.contoso.net) assegnato al servizio di autenticazione multimediale.
I certificati elencati nella tabella seguente sono necessari per supportare la topologia perimetrale illustrata nella figura della singola topologia perimetrale consolidata. Vengono mostrati tre certificati per il server proxy inverso per evidenziare i requisiti relativi ai certificati per URL semplici dedicati, ad esempio https://dial-in.contoso.com. Per distribuzioni con un singolo pool o in cui più pool condividono gli stessi URL semplici di conferenza telefonica con accesso esterno o riunione, è possibile creare una singola regola di pubblicazione e il certificato corrispondente. Gli URL definiti in Generatore di topologie, ad esempio cs.contoso.com/dialin e cs.contoso.com/meet, possono condividere una singola regola di pubblicazione e un certificato con il nome soggetto cs.contoso.com. Per informazioni dettagliate, vedere Opzioni di URL semplici.
Nota
Nella tabella seguente viene illustrata una seconda voce SIP nell'elenco dei nomi alternativi soggetto come riferimento. Per ogni dominio SIP presente nell'organizzazione, è necessario che nell'elenco dei nomi alternativi soggetto dei certificati sia incluso un FQDN corrispondente.
Certificati necessari per la singola topologia perimetrale consolidata
| Componente | Nome soggetto | Ordine/voci nome soggetto alternativo | Autorità di certificazione (CA) | Utilizzo chiavi avanzato (EKU) | Commenti |
|---|---|---|---|---|---|
Singola topologia perimetrale consolidata |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
Pubblica |
Server* |
Assegnare ai ruoli server perimetrale seguenti: Interfaccia esterna: Access Edge SIP Web Conferencing Edge A/V Edge |
Singola topologia perimetrale consolidata |
lsedge.contoso.net |
N/D |
Privata |
Server |
Assegnare ai ruoli server perimetrale seguenti: Interfaccia interna: Perimetrale |
Proxy inverso |
lsweb-ext.contoso.com |
lsweb-ext.contoso.com dialin.contoso.com meet.contoso.com lyncdiscover.contoso.com lyncdiscover.fabrikam.com (Approccio facoltativo tramite certificati jolly): *.contoso.com *.fabrikam.com |
Pubblica |
Server |
Servizio Rubrica, espansione dei gruppi di distribuzione e regole di pubblicazione dei dispositivi IP Lync. Il nome alternativo soggetto include: FQDN dei servizi Web esterni Conferenza telefonica con accesso esterno Regola di pubblicazione riunione online Mobilità Il carattere jolly sostituisce le reti SAN meet e dialin |
Pool hop successivo (in Front-End 01) |
pool01.contoso.net (in Front End 01) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com meet.contoso.com fe01.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Approccio facoltativo tramite certificati jolly): *.contoso.com *.fabrikam.com |
Privata |
Server |
Assegnare ai server e ruoli seguenti nel pool hop successivo: Front End 01 in Pool01 Il carattere jolly sostituisce le reti SAN admin, meet e dialin |
Pool hop successivo (in Front-End 02) |
pool01.contoso.net (in Front End 02) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com meet.contoso.com fe02.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Approccio facoltativo tramite certificati jolly): *.contoso.com *.fabrikam.com |
Privata |
Server |
Assegnare ai server e ruoli seguenti nel pool hop successivo: Front End 02 in Pool01 Il carattere jolly sostituisce le reti SAN admin, meet e dialin |
* È necessario l'utilizzo chiavi avanzato (EKU) del client se è abilitata la connettività Internet pubblica con AOL.