Resumo de certificado - Borda consolidada em escala com balanceadores de carga de hardware no Lync Server 2013
Tópico Última Modificação: 2012-10-22
O Microsoft Lync Server 2013 usa certificados para autenticar mutuamente outros servidores e criptografar dados de servidor para servidor e servidor para cliente. Os certificados exigem a correspondência de nomes dos registros DNS (sistema de nomes de domínio) associados aos servidores e ao SN (nome da entidade) e nome alternativo do assunto (SAN) no certificado. Para mapear com êxito servidores, registros DNS e entradas de certificado, você deve planejar cuidadosamente os nomes de domínio totalmente qualificados do servidor pretendido conforme registrado em DNS e as entradas SN e SAN no certificado.
O certificado atribuído às interfaces externas do Edge Server é solicitado de uma autoridade de certificação pública (AC). Os CAs públicos que demonstraram êxito no fornecimento de certificados para fins de Comunicações Unificadas estão listados no seguinte artigo: https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395. Ao solicitar o certificado, você pode usar a solicitação de certificado gerada pelo Assistente de Implantação do Lync Server ou criar a solicitação manualmente ou por um processo fornecido pela AC pública. Ao atribuir o certificado, o certificado é atribuído à interface de serviço do Access Edge, à interface de serviço do Web Conferencing Edge e ao serviço de Autenticação de Áudio/Vídeo. O serviço de Autenticação de Áudio/Vídeo não deve ser confundido com o serviço A/V Edge, que não usa um certificado para criptografar os fluxos de áudio e vídeo. A interface interna do Edge Server pode usar um certificado de uma AC interna (para sua organização) ou um certificado de uma AC pública. O certificado de interface interna usa apenas o SN e não precisa nem usa entradas SAN.
Nota
A tabela a seguir mostra uma segunda entrada SIP (sip.fabrikam.com) na lista de nomes alternativos do assunto para referência. Para cada domínio SIP em sua organização, você precisa adicionar um FQDN correspondente listado na lista de nomes alternativos da entidade de certificado.
Certificados necessários para a borda consolidada dimensionada com balanceadores de carga de hardware
Componente | Nome da entidade | Nomes alternativos de assunto (SAN)/Order | Comentários |
---|---|---|---|
Servidor de Borda consolidado único (Borda Externa) |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. Além disso, para servidores de borda dimensionados, a chave privada de certificado deve ser exportável e o certificado e a chave privada copiados para cada Servidor de Borda.O certificado é atribuído às interfaces externas do Edge para:
Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta. |
Servidor de Borda consolidado único (Borda Interna) |
lsedge.contoso.net |
Nenhuma SAN necessária |
O certificado pode ser emitido por uma AC pública ou privada e deve conter o EKU do servidor. O certificado é atribuído à interface interna do Edge Server. |
Resumo do certificado – Conectividade pública de mensagens instantâneas
Componente | Nome da entidade | Nomes alternativos de assunto (SAN)/Order | Comentários |
---|---|---|---|
Serviço Externo/Access Edge |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. O certificado é atribuído às interfaces externas do Edge para:
Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta. |
Resumo do certificado para o Protocolo de Presença e Mensagens Extensíveis
Componente | Nome da entidade | Nomes alternativos de assunto (SAN)/Order | Comentários |
---|---|---|---|
Atribuir ao serviço Access Edge do Edge Server ou pool do Edge |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com xmpp.contoso.com *.contoso.com |
As três primeiras entradas SAN são as entradas normais de SAN para um Servidor de Borda completo. O contoso.com é a entrada necessária para federação com o parceiro XMPP no nível de domínio raiz. Essa entrada permitirá XMPP para todos os domínios com o sufixo *.contoso.com. |