在 Lync Server 2013 中为 HTTP 反向代理请求和配置证书
上次修改的主题: 2014-02-14
需要在运行 Microsoft Forefront Threat Management Gateway 2010 或 IIS ARR 的服务器上安装根证书颁发机构 (CA) 证书,以便将服务器证书颁发给运行 Microsoft Lync Server 2013 的内部服务器的 CA 基础结构。
还必须在反向代理服务器上安装公用 Web 服务器证书。 此证书的使用者替代名称应包含已发布的外部完全限定域名 (每个池的 FQDN) ,这些池是启用远程访问的用户的所在地,以及将在该 Edge 基础结构中使用的所有 Director 或 Director 池的外部 FQDN。 使用者替代名称还必须包含会议简单 URL、拨入式简单 URL,如果要部署移动应用程序并计划使用自动发现,则外部自动发现服务 URL 如下表所示。
| 值 | 示例 | |
|---|---|---|
使用者名称 |
池 FQDN |
webext.contoso.com |
使用者替代名称 |
池 FQDN |
webext.contoso.com 重要 使用者名称也必须存在于使用者可选名称中。 |
使用者替代名称 |
可选的 Director Web Services ((如果已部署 Director)) |
webdirext.contoso.com |
使用者替代名称 |
会议简单 URL 注意 所有会议简单 URL 都必须采用使用者替代名称。 每个 SIP 域必须至少有一个活动会议简单 URL。 |
meet.contoso.com |
使用者替代名称 |
拨入简单 URL |
dialin.contoso.com |
使用者替代名称 |
Office Web Apps Server |
officewebapps01.contoso.com |
使用者替代名称 |
外部自动发现服务 URL |
lyncdiscover.contoso.com 注意 如果还使用Microsoft Exchange Server还需要为 Exchange 自动发现和 Web 服务 URL 配置反向代理规则。 |
注意
如果内部部署包含多个 Standard Edition 服务器或前端池,则必须为每个外部 Web 场 FQDN 配置 Web 发布规则,并且需要每个服务器场的证书和 Web 侦听器,或者必须获取证书,其使用者可选名称包含所有池使用的名称, 将其分配给 Web 侦听器,并在多个 Web 发布规则之间共享。
创建证书请求
在反向代理上创建证书请求。 你在另一台计算机上创建请求,但必须使用私钥导出已签名的证书,并在从公共证书颁发机构收到后将其导入反向代理。
注意
证书请求或证书签名请求 (CSR) 是向受信任的公共证书颁发机构发出的请求, (CA) 验证请求计算机的公钥并对其进行签名。 生成证书时,将创建公钥和私钥。 仅共享和签名公钥。 顾名思义,公钥可供任何公共请求使用。 公钥供需要安全交换信息并验证计算机标识的客户端、服务器和其他请求者使用。 私钥受到保护,并且仅由创建密钥对的计算机使用,以解密使用公钥加密的消息。 私钥可用于其他目的。 出于反向代理目的,数据加密是主要用途。 其次,证书密钥级别的证书身份验证是另一种用途,仅限于验证请求者是否具有计算机的公钥,或者您拥有公钥的计算机实际上是它声称为的计算机。
提示
如果同时规划 Edge Server 证书和反向代理证书,应注意到这两个证书要求之间有很大的相似性。 配置并请求 Edge Server 证书时,请合并 Edge Server 和反向代理使用者替代名称。 如果导出证书和私钥并将导出的文件复制到反向代理,然后导入证书/密钥对,并在后续过程中根据需要分配证书/密钥对,则可以对反向代理使用相同的证书。 请参阅 Lync Server 2013 中 Edge Server 证书边缘服务器计划的 证书要求和反向代理 证书摘要 - Lync Server 2013 中的反向代理。 请确保使用可导出的私钥创建证书。 使用可导出的私钥创建证书和证书请求对于共用边缘服务器是必需的,因此这是一种常规做法,而“边缘服务器的 Lync Server 部署向导”中的证书向导将允许你设置 “使私钥可导出” 标志。 收到来自公共证书颁发机构的证书请求后,将导出证书和私钥。 有关如何使用私钥创建和导出证书的详细信息,请参阅主题中的“在池中使用边缘服务器的私钥导出证书”部分, 为 Lync Server 2013 的外部边缘接口设置证书 。 证书的扩展名应为 .pfx 类型。
若要在分配证书和私钥的计算机上生成证书签名请求,请执行以下操作:
创建证书签名请求
打开 MMC) (Microsoft 管理控制台,并添加证书管理单元并选择 “计算机”,然后展开 “个人”。 有关如何在 Microsoft 管理控制台 (MMC) 中创建证书控制台的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=282616。
右键单击 “证书”,单击 “所有任务”,单击 “高级操作”,然后单击 “创建自定义请求”。
在 “证书注册 ”页上,单击 “下一步”。
在“自定义请求”下的“选择证书注册策略”页上,选择“继续而不注册策略”。 单击" 下一步"。
在 “自定义请求 ”页上,对于 模板 ,请选择 (旧密钥) 没有模板。 除非由证书提供程序以其他方式指示,否则在 PKCS #10 上保留“取消选中默认扩展名”和“请求格式选择”。 单击" 下一步"。
在 “证书信息 ”页上,单击 “详细信息”,然后单击 “属性”。
在“友好名称”字段的“常规”选项卡上的“证书属性”页上,键入此证书的名称。 (可选)在 “说明” 字段中键入说明。 管理员通常使用友好名称和说明来标识证书用途,例如 Lync Server 的反向代理侦听器。
选择“主题”选项卡。在“类型”的“使用者名称”下,选择“使用者名称”类型的通用名称。 对于 “值”,键入要用于反向代理的主题名称,然后单击 “添加”。 在本主题的表中提供的示例中,主题名称 webext.contoso.com,并将键入“主题名称”的“值”字段中。
在“可选名称”下的“主题”选项卡上,从“类型”的下拉列表中选择 DNS。 对于证书上需要的每个定义的使用者替代名称,键入完全限定的域名,然后单击 “添加”。 例如,表中有三个使用者替代名称,meet.contoso.com、dialin.contoso.com 和 lyncdiscover.contoso.com。 在 “值 ”字段中键入 meet.contoso.com,然后单击 “添加”。 针对需要定义的每个使用者替代名称重复操作。
在 “证书属性 ”页上,单击 “扩展” 选项卡。在此页上,你将定义 密钥使用 情况中的加密密钥用途,以及 扩展密钥使用 (应用程序策略中的扩展密钥使用) 。
单击 “密钥使用情况 ”箭头以显示 “可用”选项。 在“可用”选项下,单击 “数字签名”,然后单击 “添加”。 单击 “密钥加密”,然后单击 “添加”。 如果未选中 “使这些密钥使用情况至关重要”的 复选框,请选中该复选框。
单击 应用程序策略) 箭头 (扩展密钥使用 情况,以显示 可用选项。 在“可用”选项下,单击 “服务器身份验证”,然后单击 “添加”。 单击 “客户端身份验证”,然后单击 “添加”。 如果选 中了“使扩展密钥使用情况至关重要 ”的复选框,请取消选中该复选框。 与密钥使用情况复选框相反 (必须) 必须确保未选中扩展密钥使用情况复选框。
在 “证书属性” 页上,单击 “私钥 ”选项卡。单击 “键选项 ”箭头。 对于 键大小,请从下拉列表中选择 2048 。 如果要在此证书专用的反向代理之外的计算机上生成此密钥对和 CSR,请选择 “使私钥可导出”。
.gif "安全性")
安全说明:如果服务器场中有多个反向代理,通常建议选择“ 使私钥可导出” ,因为会将证书和私钥复制到场中的每个计算机。 如果确实允许使用可导出的私钥,则必须特别注意证书及其生成的计算机。 私钥(如果遭到入侵)会使证书无用,并可能使计算机或计算机面临外部访问和其他安全漏洞。 在“ 私钥 ”选项卡上,单击 “键类型 ”箭头。 选择 Exchange 选项。
单击 “确定 ”以保存已设置的 证书属性 。
在 “证书注册 ”页上,单击 “下一步”。
在 “要在何处保存脱机请求? ”页上,系统会提示你输入 文件名 和 文件格式 以保存证书签名请求。
在 “文件名” 条目字段中,键入请求的路径和文件名,或单击 “浏览” 选择该文件的位置,然后键入请求的文件名。
对于 文件格式,请单击 Base 64 或 二进制文件。 选择 Base 64 ,除非供应商指示你获取证书。
找到在上一步中保存的请求文件。 提交到公共证书颁发机构。
重要
Microsoft 已确定符合统一通信要求的公共 CA。 以下知识库文章中维护了一个列表。 https://go.microsoft.com/fwlink/?LinkId=282625