Zertifikatanforderungen für den Zugriff durch externe Benutzer in Lync Server 2013
Letzte Änderung: 29.03.2016
Microsoft Lync Server 2013-Kommunikationssoftware unterstützt die Verwendung eines einzelnen öffentlichen Zertifikats für zugriffs- und Webkonferenz-Edgeschnittstellen sowie den A/V-Authentifizierungsdienst. Die interne Edgeschnittstelle verwendet in der Regel ein privates Zertifikat, das von einer internen Zertifizierungsstelle ausgestellt wurde, kann aber auch ein öffentliches Zertifikat verwenden, vorausgesetzt, es stammt von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle. Der Reverseproxy in Ihrer Bereitstellung verwendet ein öffentliches Zertifikat und verschlüsselt die Kommunikation vom Reverseproxy zu Clients und den Reverseproxy mit internen Servern mithilfe von HTTP (d. a. Transport Layer Security über HTTP).
Es folgen die Anforderungen für das öffentliche Zertifikat, das für externe Schnittstellen für Zugriffs- und Webkonferenzen verwendet wird, und den A/V-Authentifizierungsdienst:
Das Zertifikat muss von einer genehmigten öffentlichen Zertifizierungsstelle ausgestellt werden, die alternativen Antragstellernamen unterstützt. Ausführliche Informationen finden Sie im Microsoft Knowledge Base-Artikel 929395 "Unified Communications Certificate Partners for Exchange Server and for Communications Server" unter https://go.microsoft.com/fwlink/p/?linkId=202834.
Wenn das Zertifikat in einem Edgepool verwendet wird, muss es als exportierbar erstellt werden, wobei das gleiche Zertifikat auf jedem Edgeserver im Edgepool verwendet wird. Die exportierbare Anforderung für private Schlüssel ist für die Zwecke des A/V-Authentifizierungsdiensts vorgesehen, der denselben privaten Schlüssel auf allen Edgeservern im Pool verwenden muss.
Wenn Sie die Betriebszeit für Ihre Audio-/Videodienste maximieren möchten, überprüfen Sie die Zertifikatanforderungen für die Implementierung eines entkoppelten A/V-Edgedienstzertifikats (d. a. ein separates A/V-Edgedienstzertifikat von den anderen Externen Edgezertifikaten). Weitere Informationen finden Sie unter Änderungen in Lync Server 2013, die sich auf die Planung von Edgeservern auswirken, Planen von Edgeserverzertifikaten in Lync Server 2013 und Staging von AV- und OAuth-Zertifikaten in Lync Server 2013 mithilfe von -Roll in Set-CsCertificate.
Der Antragstellername des Zertifikats ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Access Edge-Diensts oder die Hardwarelastenausgleichs-VIP (z. B. access.contoso.com). ). Der Antragstellername darf kein Platzhalterzeichen haben, er muss ein expliziter Name sein.
Hinweis
Für Lync Server 2013 ist dies keine Anforderung mehr, wird aber dennoch aus Gründen der Kompatibilität mit Office Communications Server empfohlen.
Die Liste der alternativen Antragstellernamen enthält die FQDNs der folgenden Elemente:
Die externe Schnittstelle des Access Edge-Diensts oder die Hardwarelastenausgleichs-VIP (z. B. sip.contoso.com).
Hinweis
Obwohl der Antragstellername des Zertifikats gleich dem Zugriffs-Edge-FQDN ist, muss der alternative Antragstellername auch den Zugriffs-Edge-FQDN enthalten, da Transport Layer Security (TLS) den Antragstellernamen ignoriert und die Einträge für alternative Antragstellernamen für die Überprüfung verwendet.
Die externe Webkonferenz-Edgeschnittstelle oder die Hardwarelastenausgleichs-VIP (z. B. webcon.contoso.com).
Wenn Sie die automatische Clientkonfiguration oder den Partnerverbund verwenden, schließen Sie auch alle SIP-Domänen-FQDNs ein, die in Ihrem Unternehmen verwendet werden (z. B. sip.contoso.com, sip.fabrikam.com).
Der A/V-Edgedienst verwendet weder den Antragstellernamen noch die Einträge für alternative Antragstellernamen.
Hinweis
Die Reihenfolge der FQDNs in der Liste alternativer Antragstellernamen spielt keine Rolle.
Wenn Sie mehrere Edgeserver mit Lastenausgleich an einem Standort bereitstellen, muss das A/V-Authentifizierungsdienstzertifikat, das auf jedem Edgeserver installiert ist, von derselben Zertifizierungsstelle stammen und denselben privaten Schlüssel verwenden. Beachten Sie, dass der private Schlüssel des Zertifikats exportierbar sein muss, unabhängig davon, ob er auf einem Edgeserver oder auf vielen Edgeservern verwendet wird. Sie muss auch exportiert werden können, wenn Sie das Zertifikat von einem anderen Computer als dem Edgeserver anfordern. Da der A/V-Authentifizierungsdienst weder den Antragstellernamen noch den alternativen Antragstellernamen verwendet, können Sie das Zugriffs-Edgezertifikat wiederverwenden, solange der Antragstellername und alternative Antragstellernamenanforderungen für den Zugriffs-Edge und den Webkonferenz-Edge erfüllt sind und der private Schlüssel des Zertifikats exportiert werden kann.
Die Anforderungen für das private (oder öffentliche) Zertifikat, das für die interne Edgeschnittstelle verwendet wird, lauten wie folgt:
Das Zertifikat kann von einer internen Zertifizierungsstelle oder einer genehmigten öffentlichen Zertifizierungsstelle ausgestellt werden.
Der Antragstellername des Zertifikats ist in der Regel der interne Edge-Schnittstellen-FQDN oder die Hardwarelastenausgleichs-VIP (z. B. lsedge.contoso.com). Sie können jedoch ein Platzhalterzertifikat auf dem internen Edge verwenden.
Es ist keine Liste alternativer Antragstellernamen erforderlich.
Der Reverseproxy in Ihren Bereitstellungsdiensten fordert Folgendes an:
Externer Benutzerzugriff auf Besprechungsinhalte für Besprechungen
Externer Benutzerzugriff zum Erweitern und Anzeigen von Mitgliedern von Verteilergruppen
Externer Benutzerzugriff auf herunterladbare Dateien aus dem Adressbuchdienst
Externer Benutzerzugriff auf den Lync Web App-Client
Externer Benutzerzugriff auf die Webseite "Einstellungen für Einwahlkonferenzen"
Externer Benutzerzugriff auf den Standortinformationsdienst
Zugriff externer Geräte auf den Geräteupdatedienst und Abrufen von Updates
Der Reverseproxy veröffentlicht die internen Serverwebkomponenten-URLs. Die Webkomponenten-URLs werden im Director-, Front-End-Server- oder Front-End-Pool als externe Webdienste im Topologie-Generator definiert.
Platzhaltereinträge werden im Feld "Alternativer Antragstellername" des Zertifikats unterstützt, das dem Reverseproxy zugewiesen ist. Ausführliche Informationen zum Konfigurieren der Zertifikatanforderung für den Reverseproxy finden Sie unter Anfordern und Konfigurieren eines Zertifikats für Ihren Reverse-HTTP-Proxy in Lync Server 2013.