Lync Server 2013 中的证书摘要 - 扩展的合并边缘(通过公用 IP 地址进行 DNS 负载平衡)

 

上次修改的主题: 2012-09-08

Microsoft Lync Server 2013 使用证书对其他服务器进行相互身份验证,以及从服务器到服务器和服务器到客户端的数据进行加密。 证书要求与服务器关联的域名系统 (DNS) 记录的名称匹配,并且证书上 (SAN) 的使用者名称 (SN) 和使用者可选名称。 若要成功映射服务器、DNS 记录和证书条目,必须仔细规划在 DNS 中注册的预期服务器完全限定的域名,以及证书上的 SN 和 SAN 条目。

分配给边缘服务器外部接口的证书是从公共证书颁发机构请求的, (CA) 。 以下文章列出了已证明成功提供用于统一通信的证书的公共 CA: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 请求证书时,可以使用 Lync Server 部署向导生成的证书请求,也可以手动创建请求或由公共 CA 提供的进程创建请求。 分配证书时,证书将分配给 Access Edge 服务接口、Web 会议边缘服务接口和音频/视频身份验证服务。 音频/视频身份验证服务不应与 A/V Edge 服务混淆,后者不使用证书来加密音频和视频流。 内部边缘服务器接口可以使用从内部 (到组织的证书) CA 或来自公共 CA 的证书。 内部接口证书仅使用 SN,不需要或使用 SAN 条目。

注意

下表显示了使用者可选名称列表中的第二个 SIP 条目 (sip.fabrikam.com) 以供参考。 对于组织中的每个 SIP 域,需要添加证书使用者可选名称列表中列出的相应 FQDN。

使用具有公共 IP 地址的 DNS 负载均衡缩放合并边缘

组件 使用者名称 SAN) /Order (使用者可选名称 备注

已缩放的合并边缘 (外部边缘)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

如果要部署与 AOL 的公共 IM 连接,证书必须来自公共 CA,并且必须具有服务器 EKU 和客户端 EKU。 此外,对于缩放的边缘服务器,证书私钥必须可导出,并将证书和私钥复制到每个边缘服务器。 证书分配给外部 Edge 接口,用于:

  • 访问边缘

  • 会议边缘

  • A/V 边缘

请注意,SAN 将根据拓扑生成器中的定义自动添加到证书。 根据需要为需要支持的其他 SIP 域和其他条目添加 SAN 条目。 使用者名称在 SAN 中复制,并且必须存在才能正确操作。

缩放合并的 Edge (内部边缘)

lsedge.contoso.net

无需 SAN

证书可由公共或专用 CA 颁发,并且必须包含服务器 EKU。 证书将分配给内部 Edge 接口。

证书摘要 - 公共即时消息连接

组件 使用者名称 SAN) /Order (使用者可选名称 备注

外部/访问边缘

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

如果要部署与 AOL 的公共 IM 连接,证书必须来自公共 CA,并且必须具有服务器 EKU 和客户端 EKU。 证书分配给外部 Edge 接口,用于:

  • 访问边缘

  • 会议边缘

  • A/V 边缘

请注意,SAN 将根据拓扑生成器中的定义自动添加到证书。 根据需要为需要支持的其他 SIP 域和其他条目添加 SAN 条目。 使用者名称在 SAN 中复制,并且必须存在才能正确操作。

可扩展消息传送和状态协议的证书摘要

组件 使用者名称 SAN) /Order (使用者可选名称 备注

分配给边缘服务器或边缘池的 Access Edge 服务

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

前三个 SAN 条目是完整边缘服务器的常规 SAN 条目。 contoso.com 是在根域级别与 XMPP 合作伙伴联合所需的条目。 此条目将允许所有后缀为 *.contoso.com 的域使用 XMPP。