通过

  • 项目

为外部接口设置证书

上一次修改主题: 2009-01-25

为内部接口设置证书之后,即可为外部接口设置证书。

有关边缘服务器外部接口的证书要求的列表,请参阅外部用户访问的证书要求。有关提供符合统一通信证书的特定要求的证书,并与 Microsoft 具有伙伴关系以确保其可以使用 Office Communications Server 证书向导的公共 CA 的列表,请参阅 Microsoft 知识库文章 929395“Exchange 2007 和 Communications Server 2007 的统一通信证书伙伴”(英文),网址为 https://go.microsoft.com/fwlink/?LinkId=140898

在外部接口上配置证书

在每台边缘服务器的外部接口上都必须设置两个证书 - 一个用于该服务器上的访问边缘服务,一个用于 Web 会议边缘服务。为此,请完成本节中的所有过程:

  • 步骤 1:为边缘服务器的外部接口创建证书请求。

  • 步骤 2:向公共证书颁发机构 (CA) 提交请求。

  • 步骤 3:为每台边缘服务器的外部接口导入证书。

  • 步骤 4:为每台边缘服务器的外部接口分配证书。

    Dd441368.note(zh-cn,office.13).gif注意:
    从外部 CA 申请证书时,所提供的凭据必须具有从该 CA 申请证书的权限。每个 CA 都有一个定义允许哪些凭据(即特定的用户和组名称)申请、颁发、管理或读取证书的安全策略。

为边缘服务器的外部接口创建证书请求

  1. 在边缘服务器上打开部署向导,单击**“部署边缘服务器”页上“步骤 4: 配置边缘服务器的证书”旁的“运行”**。

  2. 在 Communications 证书向导的**“欢迎”页上单击“下一步”**。

  3. 在**“可用任务”页上单击“创建新的证书”,然后单击“下一步”**。

  4. 在**“延迟的请求或即时请求”页上,选中“现在准备请求,但稍后发送”复选框,然后单击“下一步”**。

  5. 在**“名称和安全设置”页上,为证书键入一个友好名称,指定位长度(通常默认值为 1024),确认选中“将证书标记为可导出”复选框,然后单击“下一步”**。

  6. 在**“组织信息”页上键入组织和组织单位(例如分部或部门)的名称,然后单击“下一步”**。

  7. 在**“服务器的使用者名称”**页上,键入或选择边缘服务器的使用者名称和使用者替代名称:

    • 使用者名称应与要配置证书的外部接口的外部防火墙所发布的服务器的完全限定域名 (FQDN) 匹配。对于访问边缘服务器的外部接口,此证书的使用者名称应为“sip.<>”。
    • 如果存在多个会话初始协议 (SIP) 域名,并且**“使用者替代名称”**中未显示这些域名,请以“sip.<>”的形式键入每个其他 SIP 域的名称,并以逗号作为每个名称之间的分隔符。在配置访问边缘服务器的过程中输入的域将自动添加到此框中。
    Dd441368.note(zh-cn,office.13).gif注意:
    对于使用者替代名称,允许使用通配符命名。通配符适用于名称中的一个域级别。例如,如果键入 *.contoso.com 作为使用者替代名称,则会验证 a.contoso.com 和 b.contoso.com 等名称,但不会验证 a.a.contoso.com。
    仅所允许和已发现的伙伴域支持通配符命名,而即时消息 (IM) 提供程序联盟不支持。

  8. 单击**“下一步”**。

  9. 在**“地理信息”页上键入位置信息,然后单击“下一步”**。

  10. 在**“证书请求文件名称”页上,键入要向其保存请求的文件的完整路径和文件名,然后单击“下一步”**。

  11. 在**“请求摘要”页上单击“下一步”**。

  12. 在**“‘证书向导’已完成”页上,确认操作成功完成,然后单击“完成”**。

  13. 将输出文件复制到从中可将该文件提交给公共 CA 的位置。

向公共证书颁发机构提交请求

  1. 打开输出文件。

  2. 将证书签名请求 (CSR) 的内容复制并粘贴到适当的文本框中,内容的开头为:

             -----BEGIN NEW CERTIFICATE REQUEST-----

    结尾为:

             -----END NEW CERTIFICATE REQUEST

  3. 如果出现提示,请指定以下各项:

    • “Microsoft”作为服务器平台。
    • “IIS”作为版本。
    • “Web 服务器”作为使用类型。
    • “PKCS7”作为响应格式。

  4. 在公共 CA 验证了您的信息之后,您会收到一封电子邮件,其中包含证书所需的文本。

  5. 将电子邮件中的文本复制并保存到本地计算机上的一个文本文件 (.txt) 中。

  6. 下载公共 CA 的根 CA 链,然后将其安装在每台边缘服务器的本地计算机存储区中。

为边缘服务器的外部接口导入证书

  1. 以 Administrators 组成员的身份登录到边缘服务器。

  2. 在部署向导中的**“部署边缘服务器”页上单击“步骤 4: 配置边缘服务器的证书”旁的“运行”**。

  3. 在 Communications 证书向导的**“欢迎”页上单击“下一步”**。

  4. 在**“可用的证书任务”页上单击“处理待处理的请求并导入证书”,然后单击“下一步”**。

  5. 键入为边缘服务器外部接口申请的证书的完整路径和文件名,然后单击**“下一步”**。

  6. 单击**“完成”**。

  7. 对部署中需要在外部接口上设置证书的每台边缘服务器重复此过程。

为边缘服务器的外部接口分配证书

  1. 在部署向导中的**“部署边缘服务器”页上单击“步骤 4: 配置边缘服务器的证书”旁的“运行”**。

  2. 在 Communications 证书向导的**“欢迎”页上单击“下一步”**。

  3. 在**“可用的证书任务”页上单击“分配现有证书”,然后单击“下一步”**。

  4. 在**“可用证书”页上,选择为边缘服务器外部接口申请的证书,然后单击“下一步”**。

  5. 在**“可用的证书分配”页上,选择要安装证书的外部接口,然后单击“下一步”**。

  6. 检查您的设置,然后单击**“下一步”**以分配证书。

  7. 在向导完成页上单击**“完成”**。

  8. 对部署中需要在外部接口上设置证书的每台边缘服务器重复此过程。