在 Exchange Server 中为 UM 部署证书

适用于: Exchange Server 2013、Exchange Server 2016

可以使用相互传输层安全性 (相互 TLS) 启用统一消息 (UM) ,以加密 Microsoft Exchange 2013 服务器与 VoIP 网关、IP PBX、会话边界控制器 (SBC) 以及 Microsoft Lync Server 之间发送的数据。 证书将证书所有者的标识捆绑到一对用于加密和数字签名信息的电子密钥(公钥和私钥)上。

如果在 Exchange 2010 组织中使用 SIP 安全或安全拨号计划,则需要将用于运行 Microsoft Exchange UM 呼叫路由器服务的 Exchange 2013 客户端访问服务器和运行 Microsoft Exchange UM 服务的邮箱服务器导入证书。 您可以使用以下证书用于 UM 和 UM 呼叫路由器服务:

  • 自签名 (Exchange) 证书

  • 内部公钥基础结构 (PKI) 证书

  • 第三方商业证书

默认情况下,安装统一消息时,会创建并使用自签名证书。 此自签名证书可用于 VoIP 网关、IP PBX 和 SBC,但在将 UM 与 Lync Server 集成时不能使用。 如果要部署用于 Lync Server 的证书,则需要使用 Exchange 证书向导或 New-ExchangeCertificate cmdlet 获取内部或 PKI 证书颁发机构 (CA) 颁发的证书,或购买统一消息和 Lync Server 相互信任的商业或第三方证书。

为 VoIP 网关、IP PBX 和 SBC 部署证书

要启用 UM 以便对 VoIP 网关、IP PBX 和 SBC 之间发送的数据进行加密,需要执行下列操作:

  • 使用自签名 UM 证书,创建新的 Exchange 证书请求,获取内部 PKI 证书,或者购买可用于 UM 与 VoIP 网关、IP PBX 和 SBC 之间的相互 TLS 的第三方商业证书。

  • 导入将在组织中所有客户端访问服务器和邮箱服务器上使用的证书。

  • 允许证书供 UM 服务使用。

  • 将证书导入到 VoIP 网关、IP PBX 和 SBC。

  • 将 UM 拨号计划配置为"SIP 安全"或"安全"。

  • 在组织中的客户端访问服务器和邮箱服务器上配置 UM 启动模式。

  • 使用完全限定域名 (FQDN) 创建所需的 UM IP 网关。

  • 配置 UM IP 网关上的侦听端口以使用 TLS 端口 5061。

  • 在所有客户端访问服务器上重新启动统一消息呼叫路由器,并在所有邮箱服务器上重新启动 Microsoft Exchange 统一消息服务。

为 Lync Server 部署证书

要对 UM 与 Lync Server 之间发送的数据进行加密,需要执行下列操作:

  • 创建新的 Exchange 证书请求并获取内部 PKI 证书,或购买第三方商业证书。 证书必须由 UM 和 Lync Server 相互信任。

  • 导入将在组织中所有客户端访问服务器和邮箱服务器上使用的证书。

  • 允许证书供 UM 服务使用。

  • 将证书导入到运行 Lync Server 的计算机。

  • 将 SIP URI UM 拨号计划配置为"SIP 安全"或"安全"。

  • 在组织中的客户端访问服务器和邮箱服务器上配置 UM 启动模式。

  • 从 Lync Server 计算机运行 OcsUmUtil.exe。

  • 在所有客户端访问服务器上重启统一消息呼叫路由器服务,并在组织中的所有邮箱服务器上重启 Microsoft Exchange 统一消息服务。 有关详细信息,请参阅 UM 服务过程

  • 在属于 Enterprise Edition 前端池的所有 Lync 服务器上重启 Lync Server Front-End 服务,或重启 Standard Edition 前端服务器。 您可以使用 Stop-CsWindowsService cmdlet 停止 Lync Server 服务,并使用 Start-CsWindowsService cmdlet 来启动 Lync Server 服务。

    Start-CsWindowsServiceStop-CsWindowsService cmdlet 类似于通用 Windows PowerShell cmdlet Start-ServiceStop-Service。 如果需要,可以使用 Start-ServiceStop-Service cmdlet 来启动和停止 Lync Server 服务。 但是, Start-CsWindowsServiceStop-CsWindowsService cmdlet 包含 一个 ComputerName 参数,该参数便于在远程计算机上停止和启动 Lync Server 服务。 为此,请包括 ComputerName 参数,后跟远程计算机的 FQDN) (完全限定的域名。 Start-ServiceStop-Service cmdlet 没有类似的参数。

    注意

    要使 UM 与 Lync Server 完全集成,还必须在组织中的任何客户端访问服务器或邮箱服务器上运行 ExchUcUtil.ps1 脚本。