在 Lync Server 2013 中规划边缘服务器证书
上次修改的主题: 2012-11-05
Lync Server 2013 中简化了 Edge 证书创建。
边缘服务器的流程图
创建单个公共证书,确保为证书定义了可导出的私钥,并使用证书向导将其分配到以下 Edge Server 外部接口:
重要
Lync Server 不支持通配符证书,除非用于通过反向代理汇总简单 URL。 必须为部署提供的每个 SIP 域名、Web 会议边缘服务、A/V Edge 服务和 XMPP 域定义不同的使用者备用名称 (SAN) 。
注意
在 Lync Server 2013 中引入,在当前证书过期之前暂存音频/视频身份验证证书需要进行一些额外的规划。 需要两个证书,一个分配给 Access Edge 服务和 Web 会议边缘服务,另一个证书用于 A/V Edge 服务,而不是一个具有多个用途的证书。 有关其他详细信息,请参阅 Lync Server 2013 中使用 -Roll in Set-CsCertificate 暂存 AV 和 OAuth 证书
重要
如果有边缘服务器池,则会将具有私钥的证书导出到每个 Edge Server,并将证书分配给每个 Edge Server 服务。 对内部 Edge Server 证书执行相同的操作,使用私钥导出证书并分配给每个内部 Edge 接口。
确保为证书分配了可导出的私钥
在证书向导中,Access Edge 服务 (称为 SIP Access Edge External)
证书向导中的 Web 会议边缘服务 (称为 Web 会议边缘外部)
A/V 身份验证服务 (证书向导中称为 A/V Edge 外部)
创建具有可导出私钥的单个内部证书,将其复制并分配给每个 Edge Server 内部接口:
- 在证书向导中,边缘服务器 (称为 Edge Internal)
重要
可以为每个 Edge Server 服务使用单独和不同的证书。 选择单独证书的一个很好的原因是,如果要对 A/V Edge 服务证书使用新的滚动证书功能。 对于此功能,建议将 A/V Edge 服务证书与 Access Edge 服务和 Web 会议 Edge 服务分离。 如果选择为每个服务请求、获取和分配单独的证书,则必须再次请求 A/V Edge 服务的私钥可导出 (,这实际上就是 A/V 身份验证服务) ,并将相同的证书分配给每个边缘服务器上的 A/V Edge 外部接口。