証明書の概要 - Lync Server 2013 での自動検出
トピック最終更新日時: 2013-02-14
Lync Server 2013 自動検出サービスは、ディレクター サーバーとフロント エンド プール サーバーで実行され、DNS で公開されると、Lync クライアントがサーバーとユーザー サービスを検索するために使用できます。 Lync Server 2010 からアップグレードしていて、モビリティを展開しなかった場合は、クライアントが自動検出を使用する前に、自動検出サービスを実行しているすべてのディレクターとフロント エンド サーバーの証明書サブジェクトの別名リストを変更する必要があります。 さらに、リバース プロキシの外部 Web サービス発行ルールに使用される証明書のサブジェクト代替名リストを変更することが必要な場合があります。
リバース プロキシでサブジェクトの別名リストを使用するかどうかの決定は、ポート 80 またはポート 443 で自動検出サービスを発行するかどうかに基づいています。
ポート 80 で発行済み 自動検出サービスへの初期クエリがポート 80 経由で発生した場合、証明書の変更は必要ありません。 これは、Lync を実行しているモバイル デバイスがポート 80 のリバース プロキシに外部からアクセスし、ポート 8080 のディレクターまたはフロント エンド サーバーに内部的にブリッジされるためです。 詳細については、「ポート 80 を使用した初期自動検出プロセス」セクション 「Lync Server 2013 でのモビリティの技術的要件」を参照してください。
ポート 443 で発行済み 外部 Web サービス発行規則で使用される証明書のサブジェクト代替名リストには 、lyncdiscover が含まれている必要があります。<組織内の各 SIP ドメインの sipdomain> エントリ。
大事な
HTTP 経由で HTTPS を使用することを非常に推奨します。 HTTPS では、証明書を使用してトラフィックを暗号化します。 HTTP は暗号化を提供せず、送信されたデータはプレーンテキストになります。
通常、内部証明機関を使用して証明書を再発行するのは簡単なプロセスです。 ただし、Web サービス発行ルールで使用される公開証明書の場合、複数のサブジェクトの別名エントリを追加するとコストが高くなる可能性があります。 この問題を回避するために、ポート 80 を介した最初の自動検出接続がサポートされ、その後、ディレクターまたはフロント エンド サーバーのポート 8080 にリダイレクトされます。
注意
Lync Server 2013 インフラストラクチャで内部証明機関 (CA) から発行された内部証明書を使用していて、ワイヤレス接続するモバイル デバイスをサポートする予定の場合は、内部 CA のルート証明書チェーンをモバイル デバイスにインストールするか、Lync Server 2013 インフラストラクチャの公開証明書に変更する必要があります。
このトピックでは、ディレクター、フロント エンド サーバー、およびリバース プロキシに必要なサブジェクト代替名について説明します。 追加されたサブジェクト代替名 (SAN) のみが参照されます。 証明書に関するその他のエントリのガイダンスについては、計画セクションを参照してください。 詳細については、「 Lync Server 2013 のディレクターのシナリオ」、Lync Server 2013での外部ユーザー アクセスのシナリオ、および Lync Server 2013のリバース プロキシのシナリオに関するセクションを参照してください。
次の表では、ディレクター プール、フロントエンド プール、およびリバース プロキシの自動検出 SAN エントリを定義します。
ディレクター プール証明書の要件
| 説明 | サブジェクトの別名エントリ |
|---|---|
内部自動検出サービス URL |
SAN=lyncdiscoverinternal。<内部ドメイン名> |
外部自動検出サービス URL |
SAN=lyncdiscover。<sipdomain> |
注意
新しい SAN エントリを使用して新しく更新された証明書を既定の証明書に割り当てます。 または、SAN=*を使用することもできます。<sipdomain>。
フロントエンド プール証明書の要件
| 説明 | サブジェクトの別名エントリ |
|---|---|
内部自動検出サービス URL |
SAN=lyncdiscoverinternal。<内部ドメイン名> |
外部自動検出サービス URL |
SAN=lyncdiscover。<sipdomain> |
注意
新しい SAN エントリを使用して新しく更新された証明書を既定の証明書に割り当てます。 または、SAN=*を使用することもできます。<sipdomain>
リバース プロキシ (パブリック CA) 証明書の要件
| 説明 | サブジェクトの別名エントリ |
|---|---|
外部自動検出サービス URL |
SAN=lyncdiscover。<sipdomain> |
注意
新しく更新された証明書と共に、新しい SAN エントリをリバース プロキシの SSL リスナーに割り当てます。