Resumo de certificado - única borda consolidada com endereços IP privados usando NAT no Lync Server 2013
Tópico Última Modificação: 2012-10-22
O Microsoft Lync Server 2013 usa certificados para autenticar mutuamente outros servidores e criptografar dados de servidor para servidor e servidor para cliente. Os certificados exigem a correspondência de nomes dos registros DNS (sistema de nomes de domínio) associados aos servidores e ao SN (nome da entidade) e nome alternativo do assunto (SAN) no certificado. Para mapear com êxito servidores, registros DNS e entradas de certificado, você deve planejar cuidadosamente os nomes de domínio totalmente qualificados do servidor pretendido conforme registrado em DNS e as entradas SN e SAN no certificado.
O certificado atribuído às interfaces externas do Edge Server é solicitado de uma autoridade de certificação pública (AC). Os CAs públicos que demonstraram êxito no fornecimento de certificados para fins de Comunicações Unificadas estão listados no seguinte artigo: https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395. Ao solicitar o certificado, você pode usar a solicitação de certificado gerada pelo Assistente de Implantação do Lync Server ou criar a solicitação manualmente usando cmdlets do Lync Server Management Shell ou por um processo fornecido por uma AC pública. Para obter detalhes sobre os cmdlets do Lync Server Management Shell para gerenciamento de certificados, consulte Cmdlets de certificado e autenticação no Lync Server 2013 Ao atribuir o certificado, o certificado é atribuído à interface de serviço do Access Edge, à interface do serviço Web Conferencing Edge e ao serviço de Autenticação de Áudio/Vídeo. O serviço de Autenticação de Áudio/Vídeo não deve ser confundido com o serviço A/V Edge que não usa um certificado para criptografar os fluxos de áudio e vídeo. A interface interna do Edge Server pode usar um certificado de uma AC interna (para sua organização) ou um certificado de uma AC pública. O certificado de interface interna usa apenas o SN e não precisa nem usa entradas SAN.
Nota
A tabela a seguir mostra uma segunda entrada SIP (sip.fabrikam.com) na lista de nomes alternativos do assunto para referência. Para cada domínio SIP em sua organização, você precisa adicionar um FQDN correspondente listado na lista de nomes alternativos da entidade de certificado.
Certificados necessários para o Single Consolidated Edge com endereços IP privados usando NAT
Componente | Nome da entidade (SN) | Nomes alternativos de assunto (SAN)/Order | Comentários |
---|---|---|---|
Borda consolidada única (Borda Externa) |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. O certificado é atribuído às interfaces externas do Edge para:
Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta. |
Borda consolidada única (Borda Interna) |
lsedge.contoso.net |
Nenhuma SAN necessária |
O certificado pode ser emitido por uma AC pública ou privada e deve conter o EKU do servidor. O certificado é atribuído à interface interna do Edge. |
Resumo do certificado – Conectividade pública de mensagens instantâneas
Componente | Nome da entidade | Nomes alternativos de assunto (SAN)/Order | Comentários |
---|---|---|---|
Borda externa/de acesso |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. O certificado é atribuído às interfaces externas do Edge para:
Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta. |
Resumo do certificado para o Protocolo de Presença e Mensagens Extensíveis
Componente | Nome da entidade | Nomes alternativos de assunto (SAN)/Order | Comentários |
---|---|---|---|
Atribuir ao serviço Access Edge do Edge Server ou pool do Edge |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com xmpp.contoso.com *.contoso.com |
As três primeiras entradas SAN são as entradas normais de SAN para um Servidor de Borda completo. O contoso.com é a entrada necessária para federação com o parceiro XMPP no nível de domínio raiz. Essa entrada permitirá XMPP para todos os domínios com o sufixo *.contoso.com. |