通配符证书支持
上一次修改主题: 2012-10-18
Microsoft Lync Server 2010 使用证书来提供通信加密和服务器身份信息验证。在某些情况下,如通过反向代理的 Web 发布,不需要使用与提供服务的服务器的完全限定域名 (FQDN) 匹配的强主题备用名称 (SAN) 项。在这些情况下,可以使用具有通配符 SAN 项(通常称为“通配符证书”)的证书来减少从公共证书颁发机构请求证书的成本,并降低证书规划流程的复杂性。
.gif "warning") 警告: |
|---|
| 若要保留统一通信 (UC) 设备(例如,桌面电话)的功能,您应该小心测试已部署的证书,确保设备在实施通配符证书后可以正常运行。 |
不支持使用通配符项作为任何角色的主题名称(也称为公用名或 CN)。使用 SAN 中的通配符项时支持以下服务器角色:
**反向代理。**简单的 URL 发布证书支持通配符 SAN 项。
**控制器。**控制器 Web 组件中的简单 URL 支持通配符 SAN 项。
**前端服务器(标准版)和前端池(企业版)。**前端 Web 组件中的简单 URL 支持通配符 SAN 项。
**Exchange 统一消息 (UM)。**部署为独立的服务器时,服务器不使用 SAN 项。
**Microsoft Exchange Server 客户端访问服务器。**内部客户端和外部客户端支持 SAN 中的通配符项。
相同服务器上的 **Exchange 统一消息 (UM) 和 Microsoft Exchange Server 客户端访问服务器。**支持通配符 SAN 项。
该主题中未提到的服务器角色:
内部服务器角色(包括但不限于中介服务器、存档和监控服务器、Survivable Branch Appliance 或Survivable Branch Server)
外部边缘服务器界面
内部边缘服务器
.gif "note")
注意:对于内部边缘服务器界面,可以将通配符项分配到 SAN,支持该操作。不会在内部边缘服务器上查询 SAN,但通配符 SAN 项具有有限的值。
为了描述可能的通配符证书的使用,此处复制了规划文档中参考结构所使用的证书指南,以保持一致性。有关详细信息,请参阅参考体系结构。如前所述,UC 设备将利用强名称匹配,如果在 FQDN 项之前呈现通配符 SAN 项,将无法进行验证。按照以下表格中所示的顺序操作,可以限制 UC 设备和 SAN 中的通配符项可能发生的问题。
Lync Server 2010 的通配符证书配置
| 组件 | 主题名称 | SAN 项/顺序 | 证书颁发机构 (CA) | 增强型密钥使用 (EKU) | 组件 |
|---|---|---|---|---|---|
反向代理 |
lsrp.contoso.com |
lsweb-ext.contoso.com *.contoso.com |
公共 |
服务器 |
通讯簿服务、通讯组扩展和 Lync IP 设备发布规则。主题备用名称包括: 外部 Web 服务 FQDN 如果 meet 和 dialin 简单 URL 使用以下格式,通配符会取代 meet 和 dialin SAN: <FQDN>/meet <FQDN>/dialin 或 meet.<FQDN> dialin.<FQDN> |
控制器 |
dirpool01.contoso.net |
sip.contoso.com sip.fabrikam.com dirweb.contoso.net dirweb-ext.contoso.com <主机名称>.contoso.net,例如,池中控制器的 <主机名称> 是 director01 dirpool.contoso.net *.contoso.com |
私有 |
服务器 |
分配到控制器池中的以下服务器和角色: 池中的每部控制器或独立的控制器(未部署控制器池时)。 如果 meet 和 dialin 简单 URL 使用以下格式,通配符会取代 meet 和 dialin SAN: <FQDN>/admin <FQDN>/meet <FQDN>/dialin 或 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
企业版前端 |
pool01.contoso.net(对于负载平衡的池) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com <主机名称>.contoso.net,例如,池中前端服务器的 <主机名称> 是 fe01 pool01.contoso.net *.contoso.com |
私有 |
服务器 |
分配到下一个跃点池中的以下服务器和角色: Pool01 中的前端 如果 meet 和 dialin 简单 URL 使用以下格式,通配符会取代 meet 和 dialin SAN: <FQDN>/admin <FQDN>/meet <FQDN>/dialin 或 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
标准版前端 |
se01.contoso.net |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com se01.contoso.net *.contoso.com |
私有 |
服务器 |
分配到下一个跃点池中的以下服务器和角色: 如果 meet 和 dialin 简单 URL 使用以下格式,通配符会取代 meet 和 dialin SAN: <FQDN>/admin <FQDN>/meet <FQDN>/dialin 或 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Microsoft Exchange Server 2007 和 Exchange Server 2010
安装和配置 Microsoft Exchange Server 时,会创建并实施自签名证书。将 CA 提供的证书添加到服务器时,我们建议您不要删除自签名证书,除非已将所有服务和 Web 服务重新配置为成功使用新证书。在某些组件不能正常运行的情况下,自签名证书仍可用,因此可以重新配置原始设置和还原原始功能,尽管自签名证书将不会允许您需要的所有功能。这样可以在不影响所有生产功能的情况下为您提供更多的时间来解决配置问题。
有关在 Exchange 中使用证书的详细信息,请参阅以下内容:
了解数字证书和 SSL:https://go.microsoft.com/fwlink/?linkid=218233&clcid=0x804
了解客户端访问服务器命名空间:https://go.microsoft.com/fwlink/?linkid=218234&clcid=0x804
了解自动发现服务:https://go.microsoft.com/fwlink/?linkid=217012&clcid=0x804
对于使用 Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署的 Microsoft Exchange Server,此处有四个可能的部署应用场景:
**应用场景 1:**Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署在不同的服务器上,客户端访问服务器面向 Internet。
**应用场景 2:**Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器并置在相同的服务器上并且面向 Internet。
**应用场景 3:**Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署在不同的服务器(具有用于发布的反向代理)上。
**应用场景 4:**Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器并置在相同的服务器(具有用于发布的反向代理)上。
应用场景 1:Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署在不同的服务器上(客户端访问服务器面向 Internet)
| Microsoft Exchange 组件 | 主题名称 | SAN 项/顺序 | 证书颁发机构 (CA) | 增强型密钥使用 (EKU) | 组件 |
|---|---|---|---|---|---|
Exchange 统一消息 (UM) 服务器名称:exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 角色不应该包含 SAN 项 |
私有 |
服务器 |
Exchange UM 服务器仅与内部客户端和服务器通信。 将私有 CA 根证书导入到每个 Exchange UM 服务器。 为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。 必须在 Exchange UM 服务器上启用传输层安全性 (TLS),才能将证书分配到 Exchange UM 角色。 分配该证书,以用于在 Exchange 客户端访问服务器上与 Outlook Web Access 和即时消息 (IM) 集成。 |
Exchange 客户端访问服务器 面向 Internet 的 Active Directory 站点客户端访问服务器 服务器名称:exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公共 |
服务器 |
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。 主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。 需要使用 autodiscover SAN 项才能支持外部 UC 设备。 |
Exchange 客户端访问服务器 非面向 Internet 的 Active Directory 站点客户端访问服务器 服务器名称:internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私有 |
服务器 |
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。 非面向 Internet 的 Active Directory 站点上的 EWS 和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。 |
应用场景 2:Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器并置在相同的服务器(面向 Internet)上
| Microsoft Exchange 组件 | 主题名称 | SAN 项/顺序 | 证书颁发机构 (CA) | 增强型密钥使用 (EKU) | 组件 |
|---|---|---|---|---|---|
Exchange 统一消息 (UM) 服务器名称:exchcas01.contoso.com |
exchcas01.contoso.com |
Exchange UM 角色不应该包含 SAN 项 |
私有 |
服务器 |
Exchange UM 服务器仅与内部客户端和服务器通信。 将私有 CA 根证书导入到每个 Exchange UM 服务器。 必须在 Exchange UM 服务器上启用 TLS,才能将证书分配到 Exchange UM 角色。 分配该证书,以用于在客户端访问服务器上与 Outlook Web Access 和 IM 集成。 |
Exchange 客户端访问服务器和 面向 Internet 的 Active Directory 站点客户端访问服务器 服务器名称:exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公共 |
服务器 |
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。 主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。 需要使用 autodiscover.<域命名空间> SAN 项才能支持外部 UC 设备。 |
Exchange 客户端访问服务器 非面向 Internet 的 Active Directory 站点客户端访问服务器 服务器名称:internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私有 |
服务器 |
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。 非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。 |
应用场景 3:Exchange 统一消息 (UM)/Exchange 客户端访问服务器部署在不同的服务器(具有用于发布的反向代理)上
| Microsoft Exchange 组件 | 主题名称 | SAN 项/顺序 | 证书颁发机构 (CA) | 增强型密钥使用 (EKU) | 组件 |
|---|---|---|---|---|---|
Exchange 统一消息 (UM) 服务器名称:exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 角色不应该包含 SAN 项 |
私有 |
服务器 |
Exchange UM 服务器仅与内部客户端和服务器通信。 将私有 CA 根证书导入到每个 Exchange UM 服务器。 为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。 必须在 Exchange UM 服务器上启用 TLS,才能将证书分配到 Exchange UM 角色。 分配该证书,以用于在客户端访问服务器上与 Outlook Web Access 和 IM 集成。 |
Exchange 客户端访问服务器 服务器名称:exchcas01.contoso.com |
exchcas01.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
私有 |
服务器 |
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。 将私有 CA 根证书导入到每个 Exchange 客户端访问服务器。 主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。 需要使用 autodiscover SAN 项才能支持外部 UC 设备。 必须存在计算机名称(在该示例中为 exchcas01.contoso.com)的项,才能与 Outlook Web Access 和 IM 集成。 |
反向代理 服务器名称:rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公共 |
服务器 |
另外,主题名称的匹配项必须在证书的 SAN 内。 在反向代理位置终止 TLS 或 SSL 后重新建立客户端访问服务器的 TLS 或 SSL,将导致 UC 设备发生故障。如果要支持 UC 设备,则不能使用某些产品(如 Microsoft Internet Security、Acceleration (ISA) Server 和 Microsoft Forefront Threat Management Gateway)的功能以及其他第三方实施、TLS 或 SSL 终止。 必须存在 autodiscover 的 SAN 项,才能使 UC 设备正常运行。 |
Exchange 客户端访问服务器 非面向 Internet 的 Active Directory 站点客户端访问服务器 服务器名称:internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私有 |
服务器 |
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询此 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。 非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。 |
应用场景 4:Exchange 统一消息 (UM)/Exchange 客户端访问服务器并置在相同的服务器(具有用于发布的反向代理)上
| Microsoft Exchange 组件 | 主题名称 | SAN 项/顺序 | 证书颁发机构 (CA) | 增强型密钥使用 (EKU) | 组件 |
|---|---|---|---|---|---|
Exchange 统一消息 (UM) 服务器名称:exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 角色不应该包含 SAN 项 |
私有 |
服务器 |
Exchange UM 服务器仅与内部客户端和服务器通信。 将私有 CA 根证书导入到每个 Exchange UM 服务器。 为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。无需使用 SAN。 必须在 Exchange UM 服务器上启用 TLS,才能将证书分配到 Exchange UM 角色。 |
Exchange 客户端访问服务器 Exchange 统一消息 (UM) 服务器名称:exchcas01.contoso.com |
mail.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
私有 |
服务器 |
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。 将私有 CA 根证书导入到每个 Exchange 客户端访问服务器。 主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。 需要使用 autodiscover SAN 项才能支持外部 UC 设备。 必须存在计算机名称(在该示例中为 exchcas01.contoso.com)的项,才能与 Outlook Web Access 和 IM 集成。 |
反向代理 服务器名称:rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公共 |
服务器 |
另外,主题名称的匹配项必须在证书的 SAN 内。 在反向代理位置终止 TLS 或 SSL 后重新建立至客户端访问服务器的 TLS 或 SSL,将导致 UC 设备发生故障。如果要支持 UC 设备,则不能使用某些产品(如 ISA Server 和 Forefront Threat Management Gateway (TMG))的功能,以及其他第三方实施、TLS 或 SSL 终止。 必须存在 autodiscover 的 SAN 项,才能使 UC 设备正常运行。 |
Exchange 客户端访问服务器 非面向 Internet 的 Active Directory 站点客户端访问服务器 服务器名称:internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私有 |
服务器 |
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。 非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。 |