Compartilhar via


Requisitos de certificado para servidores internos no Lync Server 2013

 

Tópico última modificação: 17/02/2017

Os servidores internos que executam o Lync Server e que exigem certificados incluem o servidor Standard Edition, o Edição Enterprise Front-End Server, o Servidor de Mediação e o Diretor. A tabela a seguir mostra os requisitos de certificado para esses servidores. Você pode usar o assistente de certificado do Lync Server para solicitar esses certificados.

Ponta

Os certificados curinga têm suporte para os nomes alternativos da entidade associados às URLs simples no pool de Front-Ends, servidor front-end ou diretor. Para obter detalhes sobre o suporte a certificado curinga, consulte o suporte a certificado curinga no Lync Server 2013.

Embora uma AC (autoridade de certificação) corporativa interna seja recomendada para servidores internos, você também pode usar uma AC pública. Para obter uma lista de ACs públicas que fornecem certificados que estão em conformidade com requisitos específicos para certificados de UC (comunicações unificadas) e fizeram parceria com a Microsoft para garantir que eles trabalhem com o Assistente de Certificados do Lync Server, consulte o artigo microsoft knowledge base 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server", at https://go.microsoft.com/fwlink/p/?linkId=202834.

A comunicação com outros aplicativos e servidores, como o Exchange 2013, requer um certificado compatível com outros aplicativos e produtos. Para a versão 2013, o Lync Server 2013 e outros produtos de servidor da Microsoft, incluindo o Exchange 2013 e o SharePoint Server, dão suporte ao protocolo OAuth (Autorização Aberta) para autenticação e autorização de servidor para servidor. Para obter detalhes, consulte Gerenciando a OAuth (autenticação de servidor para servidor) e aplicativos parceiros no Lync Server 2013 na documentação de implantação ou na documentação de Operações.

Para conexões de clientes que executam o sistema operacional Windows 7, o sistema operacional Windows Server 2008, o sistema operacional Windows Server 2008 R2, o sistema operacional Windows Vista e o Microsoft Lync Phone Edition, o Lync Server 2013 inclui suporte para certificados assinados usando a função de hash criptográfico SHA-256. Para dar suporte ao acesso externo usando SHA-256, o certificado externo é emitido por uma AC pública usando SHA-256.

As tabelas a seguir mostram os requisitos de certificado por função de servidor para pools de Front-End e servidores Standard Edition. Todos eles são certificados de servidor Web padrão, chave privada, não exportáveis.

Observe que o EKU (uso avançado de chave) do servidor é configurado automaticamente quando você usa o assistente de certificado para solicitar certificados.

Nota

Cada nome amigável do certificado deve ser exclusivo no repositório do computador.

Nota

Se você tiver configurado sipinternal.contoso.com ou sipexternal.contoso.com no DNS, precisará adicioná-los ao Nome Alternativo da Entidade do certificado.

Certificados para o Servidor Standard Edition

Certificado Nome da entidade/Nome comum Nome alternativo de entidade Exemplo Comentários

Padrão

FQDN (nome de domínio totalmente qualificado) do pool

FQDN do pool e do FQDN do servidor

Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito.

Se esse pool for o servidor de logon automático para clientes, e a combinação estrita do Sistema de Nome de Domínio (DNS) for exigida na política do grupo, também serão necessárias entradas para o sip.sipdomain (para cada domínio de SIP que você tiver).

SN=se01.contoso.com; SAN=se01.contoso.com

Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com

No servidor Standard Edition, o FQDN do servidor é o mesmo que o FQDN do pool.

O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade.

Você também utiliza este certificado para Autenticação de Servidor para Servidor.

Web interna

FQDN do servidor

Cada um dos seguintes:

  • FQDN de web interna (que é o mesmo que o FQDN do servidor)

  • Atender a URLs simples

  • URL simples de discagem

  • Administrar URL simples

  • Ou, uma entrada curinga para as URLs simples

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Como usar um certificado curinga:

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

Não é possível substituir o FQDN da Web interno no Construtor de Topologias.

Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto.

As entradas curinga são suportadas pelas entradas de URL simples.

Web externa

FQDN do servidor

Cada um dos seguintes:

  • FQDN da web externa

  • URL simples de discagem

  • Encontre URLs simples por domínio SIP

  • Ou, uma entrada curinga para as URLs simples

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Como usar um certificado curinga:

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto.

As entradas curinga são suportadas pelas entradas de URL simples.

Certificados para o servidor front-end em um pool de front-end

Certificado Nome da entidade/Nome comum Nome alternativo de entidade Exemplo Comentários

Padrão

FQDN do pool

FQDN do pool e FQDN do servidor.

Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito.

Se esse pool for o servidor de logon automático para clientes e a correspondência de DNS estrita for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tem).

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com

O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade.

Você também utiliza este certificado para Autenticação de Servidor para Servidor.

Interno da Web

FQDN do pool

Cada um dos seguintes:

  • FQDN da Web interna (que NÃO é igual ao FQDN do servidor)

  • FQDN do servidor

  • Lync pool FQDN

  • Atender a URLs simples

  • URL simples de discagem

  • Administrar URL simples

  • Ou, uma entrada curinga para as URLs simples

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Como usar um certificado curinga:

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto.

As entradas curinga são suportadas pelas entradas de URL simples.

Web externa

FQDN do pool

Cada um dos seguintes:

  • FQDN da web externa

  • URL simples de discagem

  • Administrar URL simples

  • Ou, uma entrada curinga para as URLs simples

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Como usar um certificado curinga:

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto.

As entradas curinga são suportadas pelas entradas de URL simples.

Certificados para Diretor

Certificado Nome da entidade/Nome comum Nome alternativo de entidade Exemplo

Padrão

FQDN do pool de diretores

FQDN do Diretor, FQDN do pool de Diretores

Se esse pool for o servidor de logon automático para clientes e a correspondência de DNS estrita for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tem).

SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com

Se esse pool de Diretores for o servidor de logon automático para clientes e a correspondência de DNS estrita for necessária na política de grupo, você também precisará de SAN=sip.contoso.com; SAN=sip.fabrikam.com

Interno da Web

FQDN do servidor

Cada um dos seguintes:

  • FQDN de web interna (que é o mesmo que o FQDN do servidor)

  • FQDN do servidor

  • Lync pool FQDN

  • Atender a URLs simples

  • URL simples de discagem

  • Administrar URL simples

  • Ou, uma entrada curinga para as URLs simples

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Web externa

FQDN do servidor

Cada um dos seguintes:

  • FQDN da web externa

  • URL simples de discagem

  • Administrar URL simples

  • Ou, uma entrada curinga para as URLs simples

O FQDN da Web externo do Diretor deve ser diferente do pool de Front-Ends ou do Servidor Front-End.

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Se você tiver um pool autônomo do Servidor de Mediação, os Servidores de Mediação nele precisarão dos certificados listados na tabela a seguir. Se você colocar o Servidor de Mediação com os Servidores Front-End, os certificados listados na tabela "Certificados para o Servidor Front-End no Pool de Front-Ends" anteriormente neste tópico serão suficientes.

Certificados para o Servidor de Mediação Autônomo

Certificado Nome da entidade/Nome comum Nome alternativo de entidade Exemplo

Padrão

FQDN do pool

FQDN do pool

FQDN do servidor membro do pool

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Certificados para Aparelho de Filial Persistente

Certificado Nome da entidade/Nome comum Nome alternativo de entidade Exemplo

Padrão

FQDN do aplicativo

SIP.< sipdomain> (precisa de uma entrada por domínio SIP)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com