Anforderungen an Zertifikate für interne Server in Lync Server 2013Certificate requirements for internal servers in Lync Server 2013

 

Letztes Änderungsdatum des Themas: 2017-02-17Topic Last Modified: 2017-02-17

Zu den internen Servern, auf denen lync Server ausgeführt wird und für die Zertifikate erforderlich sind, gehören Standard Edition-Server, Enterprise Edition-Front-End-Server, Vermittlungsserver und Director.Internal servers that are running Lync Server and that require certificates include Standard Edition server, Enterprise Edition Front End Server, Mediation Server, and Director. In der folgenden Tabelle sind die Zertifikatanforderungen für diese Server aufgeführt.The following table shows the certificate requirements for these servers. Sie können den lync Server-Zertifikat-Assistenten verwenden, um diese Zertifikate anzufordern.You can use the Lync Server certificate wizard to request these certificates.

Tipp

Platzhalterzertifikate werden für die alternativen Subjektnamen unterstützt, die mit den einfachen URLs im Front-End-Pool, Front-End-Server oder Director verknüpft sind.Wildcard certificates are supported for the subject alternative names associated with the simple URLs on the Front End pool, Front End Server, or Director. Details zur Unterstützung von Platzhalterzertifikaten finden Sie unter Unterstützung für Platzhalterzertifikate in lync Server 2013.For details about wildcard certificate support, see Wildcard certificate support in Lync Server 2013.

Obwohl eine interne Unternehmenszertifizierungsstelle für interne Server empfohlen wird, können Sie auch eine öffentliche Zertifizierungsstelle verwenden.Although an internal enterprise certification authority (CA) is recommended for internal servers, you can also use a public CA. Eine Liste der öffentlichen Zertifizierungsstellen, die Zertifikate zur Verfügung stellen, die bestimmte Anforderungen für Unified Communications (UC)-Zertifikate erfüllen und mit Microsoft zusammenarbeiten, um sicherzustellen, dass Sie mit dem lync Server-Zertifikat-Assistenten funktionieren, finden Sie im Artikel Microsoft Knowledge Base 929395, "Unified Communications Certificate Partners für Exchange Server und für Communications Server", unter https://go.microsoft.com/fwlink/p/?linkId=202834.For a list of public CAs that provide certificates that comply with specific requirements for unified communications (UC) certificates and have partnered with Microsoft to ensure they work with the Lync Server Certificate Wizard, see article Microsoft Knowledge Base 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server," at https://go.microsoft.com/fwlink/p/?linkId=202834.

Die Kommunikation mit anderen Anwendungen und Servern, wie etwa Exchange 2013, erfordert ein Zertifikat, das von den anderen Anwendungen und Produkten unterstützt wird.Communication with other applications and servers, such as Exchange 2013, requires a certificate that is supported by the other applications and products. Für die 2013-Version unterstützen lync Server 2013 und andere Microsoft-Serverprodukte, einschließlich Exchange 2013 und SharePoint Server, das Open Authorization (OAuth)-Protokoll für die Server-zu-Server-Authentifizierung und-Autorisierung.For the 2013 release, Lync Server 2013 and other Microsoft server products, including Exchange 2013 and SharePoint Server, support the Open Authorization (OAuth) protocol for server-to-server authentication and authorization. Ausführliche Informationen finden Sie unter Verwalten der Server-zu-Server-Authentifizierung (OAuth) und der Partneranwendungen in lync Server 2013 in der Bereitstellungsdokumentation oder in der Betriebsdokumentation.For details, see Managing server-to-server authentication (OAuth) and partner applications in Lync Server 2013 in the Deployment documentation or the Operations documentation.

Für Verbindungen von Clients mit Windows 7-Betriebssystem, Windows Server 2008-Betriebssystem, Windows Server 2008 R2-Betriebssystem, Windows Vista-Betriebssystem und Microsoft lync Phone Edition umfasst lync Server 2013 Unterstützung für (aber nicht require) Zertifikate, die mit der SHA-256-kryptografischen Hashfunktion signiert wurden.For connections from clients running Windows 7 operating system, Windows Server 2008 operating system, Windows Server 2008 R2 operating system, Windows Vista operating system, and Microsoft Lync Phone Edition, Lync Server 2013 includes support for (but does not require) certificates signed using the SHA-256 cryptographic hash function. Um den externen Zugriff mithilfe von SHA-256 zu unterstützen, wird das externe Zertifikat von einer öffentlichen Zertifizierungsstelle mithilfe von SHA-256 ausgestellt.To support external access using SHA-256, the external certificate is issued by a public CA using SHA-256.

In den folgenden Tabellen werden die Zertifikatanforderungen nach Serverrolle für Front-End-Pools und Standard Edition-Server angezeigt.The following tables show certificate requirements by server role for Front End pools and Standard Edition servers. Dies sind standardmäßige Webserverzertifikate, privater Schlüssel, nicht exportierbarer Server.All these are standard web server certificates, private key, non-exportable.

Beachten Sie, dass die erweiterte Schlüsselverwendung von Server automatisch konfiguriert wird, wenn Sie mit dem Zertifikat-Assistenten Zertifikate anfordern.Note that server enhanced key usage (EKU) is automatically configured when you use the certificate wizard to request certificates.

Hinweis

Jeder Zertifikatsanzeige Name muss im Computerspeicher eindeutig sein.Each certificate Friendly Name must be unique in the computer store.

Hinweis

Wenn Sie sipinternal.contoso.com oder sipexternal.contoso.com in Ihrem DNS konfiguriert haben, müssen Sie diese im alternativen Antragstellernamen des Zertifikats hinzufügen.If you have configured sipinternal.contoso.com or sipexternal.contoso.com in your DNS, you will need to add them in the certificate’s Subject Alternative Name.

Zertifikate für den Standard Edition-ServerCertificates for Standard Edition Server

ZertifikatCertificate Name des Antragstellers/gebräuchlicher NameSubject name/ Common name Alternativer AntragstellernameSubject alternative name BeispielExample KommentareComments

StandardDefault

Vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des PoolsFully qualified domain name (FQDN) of the pool

FQDN des Pools und der FQDN des ServersFQDN of the pool and the FQDN of the server

Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich (Domain Name System) festgelegt ist, benötigen Sie auch Einträge für „sip.sipDomäne“ (für jede vorhandene SIP-Domäne).If this pool is the auto-logon server for clients and strict Domain Name System (DNS) matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).

SN=se01.contoso.com; SAN=se01.contoso.comSN=se01.contoso.com; SAN=se01.contoso.com

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“.If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com

Auf dem Standard Edition-Server entspricht der Server-FQDN dem FQDN des Pools.On Standard Edition server, the server FQDN is the same as the pool FQDN.

Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu.The wizard detects any SIP domains you specified during setup and automatically adds them to the subject alternative name.

Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden.You can also use this certificate for Server-to-Server Authentication.

Web, internWeb internal

FQDN des ServersFQDN of the server

Jeder der folgenden:Each of the following:

  • Interner Web-FQDN (entspricht dem FQDN des Servers)Internal web FQDN (which is the same as the FQDN of the server)

  • Einfache Besprechungs-URLsMeet simple URLs

  • Einfache URLs vom Typ „Dialin“Dial-in simple URL

  • Einfache URLs vom Typ „Admin“Admin simple URL

  • Oder ein Platzhaltereintrag für die einfachen URLsOr, a wildcard entry for the simple URLs

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Mit einem Platzhalterzertifikat:Using a wildcard certificate:

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=\*.contoso.comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=\*.contoso.com

Sie können den internen Web-FQDN im Topologie-Generator nicht außer Kraft setzen.You cannot override the Internal web FQDN in Topology Builder.

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.If you have multiple Meet simple URLs, you must include all of them as subject alternative names.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.Wildcard entries are supported for the simple URL entries.

Web, externWeb external

FQDN des ServersFQDN of the server

Jeder der folgenden:Each of the following:

  • Externer Web-FQDNExternal web FQDN

  • Einfache URLs vom Typ „Dialin“Dial-in simple URL

  • Einfache Besprechungs-URLs pro SIP-DomäneMeet simple URLs per SIP domain

  • Oder ein Platzhaltereintrag für die einfachen URLsOr, a wildcard entry for the simple URLs

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Mit einem Platzhalterzertifikat:Using a wildcard certificate:

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=\*.contoso.comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=\*.contoso.com

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.If you have multiple Meet simple URLs, you must include all of them as subject alternative names.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.Wildcard entries are supported for the simple URL entries.

Zertifikate für den Front-End-Server in einem Front-End-PoolCertificates for Front End Server in a Front End Pool

ZertifikatCertificate Name des Antragstellers/gebräuchlicher NameSubject name/ Common name Alternativer AntragstellernameSubject alternative name BeispielExample KommentareComments

StandardDefault

FQDN des PoolsFQDN of the pool

FQDN des Pools und FQDN des Servers.FQDN of the pool and FQDN of the server.

Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.

Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in Gruppenrichtlinien strikter DNS-Abgleich erforderlich ist, benötigen Sie auch Einträge für SIP. sipdomain (für jede SIP-Domäne, die Sie haben).If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“.If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com

Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu.The wizard detects any SIP domains you specified during setup and automatically adds them to the subject alternative name.

Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden.You can also use this certificate for Server-to-Server Authentication.

Web-internWeb Internal

FQDN des PoolsFQDN of the pool

Jeder der folgenden:Each of the following:

  • Interner Web-FQDN (entspricht NICHT dem FQDN des Servers)Internal web FQDN (which is NOT the same as the FQDN of the server)

  • Server-FQDNServer FQDN

  • Lync-Pool-FQDNLync pool FQDN

  • Einfache Besprechungs-URLsMeet simple URLs

  • Einfache URLs vom Typ „Dialin“Dial-in simple URL

  • Einfache URLs vom Typ „Admin“Admin simple URL

  • Oder ein Platzhaltereintrag für die einfachen URLsOr, a wildcard entry for the simple URLs

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Mit einem Platzhalterzertifikat:Using a wildcard certificate:

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=\*.contoso.comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=\*.contoso.com

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.If you have multiple Meet simple URLs, you must include all of them as subject alternative names.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.Wildcard entries are supported for the simple URL entries.

Web, externWeb external

FQDN des PoolsFQDN of the pool

Jeder der folgenden:Each of the following:

  • Externer Web-FQDNExternal web FQDN

  • Einfache URLs vom Typ „Dialin“Dial-in simple URL

  • Einfache URLs vom Typ „Admin“Admin simple URL

  • Oder ein Platzhaltereintrag für die einfachen URLsOr, a wildcard entry for the simple URLs

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Mit einem Platzhalterzertifikat:Using a wildcard certificate:

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=\*.contoso.comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=\*.contoso.com

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.If you have multiple Meet simple URLs, you must include all of them as subject alternative names.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.Wildcard entries are supported for the simple URL entries.

Zertifikate für DirectorCertificates for Director

ZertifikatCertificate Name des Antragstellers/gebräuchlicher NameSubject name/ Common name Alternativer AntragstellernameSubject alternative name BeispielExample

StandardDefault

FQDN des Director-PoolsFQDN of the Director pool

FQDN des Directors, FQDN des Director-PoolsFQDN of the Director, FQDN of the Director pool

Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in Gruppenrichtlinien strikter DNS-Abgleich erforderlich ist, benötigen Sie auch Einträge für SIP. sipdomain (für jede SIP-Domäne, die Sie haben).If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).

SN = dir-Pool.contoso.com; San = dir-Pool.contoso.com; San = dir01. contoso. comSN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com

Wenn dieser Director-Pool der Server für die automatische Anmeldung für Clients ist und in Gruppenrichtlinien strikter DNS-Abgleich erforderlich ist, benötigen Sie auch San = SIP. contoso. com; San = SIP. fabrikam. comIf this Director pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com

Web-internWeb Internal

FQDN des ServersFQDN of the server

Jeder der folgenden:Each of the following:

  • Interner Web-FQDN (entspricht dem FQDN des Servers)Internal web FQDN (which is the same as the FQDN of the server)

  • Server-FQDNServer FQDN

  • Lync-Pool-FQDNLync pool FQDN

  • Einfache Besprechungs-URLsMeet simple URLs

  • Einfache URLs vom Typ „Dialin“Dial-in simple URL

  • Einfache URLs vom Typ „Admin“Admin simple URL

  • Oder ein Platzhaltereintrag für die einfachen URLsOr, a wildcard entry for the simple URLs

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=\*.contoso.comSN=dir01.contoso.com; SAN=dir01.contoso.com SAN=\*.contoso.com

Web, externWeb external

FQDN des ServersFQDN of the server

Jeder der folgenden:Each of the following:

  • Externer Web-FQDNExternal web FQDN

  • Einfache URLs vom Typ „Dialin“Dial-in simple URL

  • Einfache URLs vom Typ „Admin“Admin simple URL

  • Oder ein Platzhaltereintrag für die einfachen URLsOr, a wildcard entry for the simple URLs

Der FQDN des Director External Web muss vom Front-End-Pool oder Front-End-Server abweichen.The Director external web FQDN must be different from the Front End pool or Front End Server.

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=\*.contoso.comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=\*.contoso.com

Wenn Sie über einen eigenständigen vermittlungsserverpool verfügen, benötigen die Vermittlungsserver jeweils die in der folgenden Tabelle aufgelisteten Zertifikate.If you have a stand-alone Mediation Server pool, the Mediation Servers in it each need the certificates listed in the following table. Wenn Sie den Vermittlungs Server mit den Front-End-Servern collocate, genügen die Zertifikate, die in der Tabelle "Zertifikate für Front-End-Server im Front-End-Pool" weiter oben in diesem Thema aufgeführt sind.If you collocate Mediation Server with the Front End Servers, the certificates listed in the “Certificates for Front End Server in Front End Pool” table earlier in this topic are sufficient.

Zertifikate für eigenständigen Vermittlungs ServerCertificates for Stand-alone Mediation Server

ZertifikatCertificate Name des Antragstellers/gebräuchlicher NameSubject name/ Common name Alternativer AntragstellernameSubject alternative name BeispielExample

StandardDefault

FQDN des PoolsFQDN of the pool

FQDN des PoolsFQDN of the pool

FQDN des Pool MitgliedsserversFQDN of pool member server

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.netSN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Zertifikate für Survivable Branch ApplianceCertificates for Survivable Branch Appliance

ZertifikatCertificate Name des Antragstellers/gebräuchlicher NameSubject name/ Common name Alternativer AntragstellernameSubject alternative name BeispielExample

StandardDefault

FQDN der AnwendungFQDN of the appliance

SIP. <sipdomain> (benötigt einen Eintrag pro SIP-Domäne)SIP.<sipdomain> (need one entry per SIP domain)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.comSN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com