Zertifikatanforderungen für den Zugriff durch externe Benutzer in lync Server 2013Certificate requirements for external user access in Lync Server 2013

 

Letztes Änderungsstand des Themas: 2016-03-29Topic Last Modified: 2016-03-29

Microsoft lync Server 2013 Kommunikationssoftware unterstützt die Verwendung eines einzelnen öffentlichen Zertifikats für Access-und Webkonferenz-Edge-externe Schnittstellen sowie den a/V-Authentifizierungsdienst.Microsoft Lync Server 2013 communications software supports the use of a single public certificate for access and web conferencing Edge external interfaces, plus the A/V Authentication service. Die interne Edge-Schnittstelle verwendet in der Regel ein privates Zertifikat, das von einer internen Zertifizierungsstelle ausgestellt wurde, kann aber auch ein öffentliches Zertifikat verwenden, vorausgesetzt, es stammt von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle.The Edge internal interface typically uses a private certificate issued by an internal certification authority (CA), but can also use a public certificate, provided that it is from a trusted public CA. Der Reverseproxy in Ihrer Bereitstellung verwendet ein öffentliches Zertifikat und verschlüsselt die Kommunikation vom Reverseproxy zu Clients und dem Reverseproxy mit internen Servern mithilfe von http (also Transport Layer Security over HTTP).The reverse proxy in your deployment uses a public certificate and encrypts the communication from the reverse proxy to clients and the reverse proxy to internal servers by using HTTP (that is, Transport Layer Security over HTTP).

Im Folgenden finden Sie die Anforderungen für das öffentliche Zertifikat, das für die externen Edgeschnittstellen für Zugriff und Webkonferenzen sowie für den Audio-Video-Authentifizierungsdienst verwendet wird:Following are the requirements for the public certificate used for access and web conferencing Edge external interfaces, and the A/V authentication service:

  • Das Zertifikat muss von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle ausgestellt werden, die alternative Antragstellernamen unterstützt.The certificate must be issued by an approved public CA that supports subject alternative name. Ausführliche Informationen finden Sie im Microsoft Knowledge Base-Artikel 929395, "Unified Communications Zertifikat Partner für Exchange Server und für Communications Server" unter https://go.microsoft.com/fwlink/p/?linkId=202834 .For details, see Microsoft Knowledge Base article 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server," at https://go.microsoft.com/fwlink/p/?linkId=202834.

  • Wenn das Zertifikat in einem Edgepool verwendet werden soll, muss es als exportierbares Zertifikat erstellt werden, und es muss auf jedem Edgeserver im Edgepool das gleiche Zertifikat verwendet werden. Der private Schlüssel als exportierbarer Schlüssel ist für die Verwendung mit dem Audio-Video-Authentifizierungsdienst notwendig, der für alle Edgeserver des Pools den gleichen privaten Schlüssel verwenden muss.If the certificate will be used on an Edge pool, it must be created as exportable, with the same certificate used on each Edge Server in the Edge pool. The exportable private key requirement is for the purposes of the A/V Authentication service, which must use the same private key across all Edge Servers in the pool.

  • Wenn Sie die Verfügbarkeit Ihrer Audio/Video-Dienste maximieren möchten, überprüfen Sie die Zertifikatanforderungen für die Implementierung eines entkoppelten A/V-Edgedienst Zertifikats (ein separates A/V-Edgedienst Zertifikat aus dem anderen externen Edge-Zertifikat).If you want to maximize the uptime for your Audio/Video services, review the certificate requirements for implementing a decoupled A/V Edge service certificate (that is, a separate A/V Edge service certificate from the other External Edge certificate purposes). Ausführliche Informationen finden Sie unter Änderungen in lync Server 2013, die sich auf die Edgeserver Planung auswirken, Planen von Edgeserver Zertifikaten in lync Server 2013 und Staging von AV-und OAuth-Zertifikaten in lync Server 2013 using-Roll in der Gruppe CsCertificate.For details, see Changes in Lync Server 2013 that affect Edge Server planning, Plan for Edge Server certificates in Lync Server 2013 and Staging AV and OAuth certificates in Lync Server 2013 using -Roll in Set-CsCertificate.

  • Der Antragstellername des Zertifikats ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) der Zugriffs-Edgedienst externen Schnittstelle oder VIP des Hardwarelastenausgleichs (beispielsweise Access.contoso.com).The subject name of the certificate is the Access Edge service external interface fully qualified domain name (FQDN) or hardware load balancer VIP (for example, access.contoso.com). ).). Der Antragstellername darf kein Platzhalterzeichen sein, er muss ein expliziter Name sein.The subject name can’t have a wildcard character, it must be an explicit name.

    Hinweis

    Für lync Server 2013 ist dies nicht mehr erforderlich, wird aber weiterhin für die Kompatibilität mit Office Communications Server empfohlen.For Lync Server 2013, this is no longer a requirement, but it is still recommended for compatibility with Office Communications Server.

  • Die Liste der alternativen Antragstellernamen enthält folgende FQDNs:The subject alternative name list contains the FQDNs of the following:

    • Die Zugriffs-Edgedienst externe Schnittstelle oder Hardwaregerät zum Lastenausgleich (beispielsweise SIP.contoso.com).The Access Edge service external interface or hardware load balancer VIP (for example, sip.contoso.com).

      Hinweis

      Auch wenn der Antragstellername des Zertifikats dem FQDN des Zugriffsedges entspricht, muss der alternative Antragstellername auch den FQDN des Zugriffs-Edgeservers enthalten, da TLS (Transport Layer Security) den Antragstellernamen ignoriert und zur Überprüfung die Einträge für alternative Antragstellernamen verwendet.Even though the certificate subject name is equal to the access Edge FQDN, the subject alternative name must also contain the access Edge FQDN because Transport Layer Security (TLS) ignores the subject name and uses the subject alternative name entries for validation.

    • Die externe Edgeschnittstelle für Webkonferenzen oder die VIP eines Hardwaregeräts zum Lastenausgleich (zum Beispiel "webcon.contoso.com").The web conferencing Edge external interface or hardware load balancer VIP (for example, webcon.contoso.com).

    • Wenn Sie die automatische Clientkonfiguration oder Partnerverbundfunktionen nutzen, geben Sie auch alle in Ihrem Unternehmen verwendeten FQDNs der SIP-Domäne an (zum Beispiel "sip.contoso.com", "sip.fabrikam.com").If you are using client auto-configuration or federation, also include any SIP domain FQDNs used within your company (for example, sip.contoso.com, sip.fabrikam.com).

    • Der A/V-Edgedienst verwendet nicht den Antragstellernamen oder die Einträge für alternative Antragstellernamen.The A/V Edge service does not use the subject name or the subject alternative names entries.

    Hinweis

    Die Reihenfolge der FQDNs in den alternativen Antragstellernamen spielt keine Rolle.The order of the FQDNs in the subject alternative names list does not matter.

Wenn Sie an einem Standort mehrere Edgeserver mit Lastenausgleich bereitstellen, müssen alle auf den Edgeservern installierten Zertifikate für den Audio-Video-Authentifizierungsdienst von der gleichen Zertifizierungsstelle stammen und den gleichen privaten Schlüssel verwenden. Beachten Sie, dass der private Schlüssel des Zertifikats exportierbar sein muss, unabhängig davon, ob das Zertifikat auf einem oder mehreren Edgeservern verwendet wird. Dies gilt auch, wenn Sie das Zertifikat von einem anderen Computer als dem Edgeserver anfordern.If you are deploying multiple, load-balanced Edge Servers at a site, the A/V authentication service certificate that is installed on each Edge Server must be from the same CA and must use the same private key. Note that the certificate's private key must be exportable, regardless of whether it is used on one Edge Server or many Edge Servers. It must also be exportable if you request the certificate from any computer other than the Edge Server. Because the A/V authentication service does not use the subject name or subject alternative name, you can reuse the access Edge certificate as long as the subject name and subject alternative name requirements are met for the access Edge and the web conferencing Edge and the certificate’s private key is exportable.

Folgende Anforderungen gelten für das private (oder öffentliche) Zertifikat für die interne Edgeschnittstelle:Requirements for the private (or public) certificate used for the Edge internal interface are as follows:

  • Das Zertifikat kann von einer internen Zertifizierungsstelle oder einer vertrauenswürdigen öffentlichen Zertifizierungsstelle ausgestellt werden.The certificate can be issued by an internal CA or an approved public certificate CA.

  • Beim Antragstellernamen des Zertifikats handelt es sich üblicherweise um den FQDN der internen Edgeschnittstelle oder um die VIP eines Hardwaregeräts zum Lastenausgleich (zum Beispiel "lsedge.contoso.com"). Für die interne Edgeschnittstelle können Sie jedoch auch ein Platzhalterzertifikat verwenden.The subject name of the certificate is typically the Edge internal interface FQDN or hardware load balancer VIP (for example, lsedge.contoso.com). However, you can use a wildcard certificate on the Edge internal.

  • Eine Liste mit alternativen Antragstellernamen ist nicht erforderlich.No subject alternative name list is required.

Der Reverseproxy Ihrer Bereitstellungsdienste erfordert Folgendes:The reverse proxy in your deployment services requests for:

  • Zugriff externer Benutzer auf Besprechungsinhalte bei BesprechungenExternal user access to meeting content for meetings

  • Zugriff externer Benutzer für das Erweitern und Anzeigen von Mitgliedern von VerteilergruppenExternal user access to expand and display members of distribution groups

  • Zugriff externer Benutzer auf herunterladbare Dateien vom AdressbuchdienstExternal user access to downloadable files from the Address Book Service

  • Zugriff externer Benutzer auf den lync Web App-ClientExternal user access to the Lync Web App client

  • Zugriff externer Benutzer auf die Webseite für EinwahlkonferenzeinstellungenExternal user access to the Dial-in Conferencing Settings web page

  • Zugriff externer Benutzer auf den StandortinformationsdienstExternal user access to the Location Information Service

  • Zugriff durch externe Geräte auf den Geräteaktualisierungsdienst und die Berechtigung, Updates anzufordernExternal device access to the Device Update Service and obtain updates

Der Reverseproxy veröffentlicht die URLs für die Webkomponenten auf internen Servern.The reverse proxy publishes the internal server Web Components URLs. Die Webkomponenten-URLs werden auf dem Director, Front-End-Server oder Front-End-Pool als externe Webdienste im Topologie-Generator definiert.The Web Components URLs are defined on the Director, Front End Server or Front End pool as the External web services in Topology Builder.

Einträge mit Platzhalterzeichen werden im Feld für den alternativen Antragstellernamen des für den Reverseproxy zugewiesenen Zertifikats unterstützt.Wildcard entries are supported in the subject alternative name field of the certificate assigned to the reverse proxy. Ausführliche Informationen dazu, wie Sie die Zertifikatanforderung für den Reverseproxy konfigurieren, finden Sie unter Anforderung und Konfigurieren eines Zertifikats für den Reverse-http-Proxy in lync Server 2013.For details about how to configure the certificate request for the reverse proxy, see Request and configure a certificate for your reverse HTTP proxy in Lync Server 2013.