Zertifikatzusammenfassung – AutoErmittlung in Lync Server 2013
Thema Letzte Änderung: 14.02.2013
Der Lync Server 2013 AutoErmittlungsdienst wird auf den Director- und Front-End-Poolservern ausgeführt und kann bei Veröffentlichung im DNS von Lync-Clients verwendet werden, um Server- und Benutzerdienste zu finden. Wenn Sie ein Upgrade von Lync Server 2010 durchführen und Mobility nicht bereitgestellt haben, müssen Sie, bevor Clients die automatische Ermittlung verwenden können, alternative Namenslisten für Zertifikatsbetreffs auf jedem Director- und Front-End-Server ändern, auf dem der AutoErmittlungsdienst ausgeführt wird. Darüber hinaus kann es erforderlich sein, die alternativen Antragstellernamenslisten für Zertifikate zu ändern, die für externe Webdienstveröffentlichungsregeln für Reverseproxys verwendet werden.
Die Entscheidung darüber, ob alternative Antragstellernamenslisten für Reverseproxys verwendet werden sollen, hängt davon ab, ob Sie den AutoErmittlungsdienst in Port 80 oder port 443 veröffentlichen:
Veröffentlicht am Port 80 Es sind keine Zertifikatänderungen erforderlich, wenn die erste Abfrage an den AutoErmittlungsdienst über Port 80 erfolgt. Dies liegt daran, dass mobile Geräte, auf denen Lync ausgeführt wird, extern auf den Reverseproxy an Port 80 zugreifen und dann intern zu einem Director oder Front-End-Server an Port 8080 überbrückt werden. Ausführliche Informationen finden Sie im Abschnitt "Anfänglicher AutoErmittlungsprozess mit Port 80" im Abschnitt "Technische Anforderungen für Mobilität in Lync Server 2013".
Veröffentlicht am Port 443 Die Liste alternativer Antragstellernamen für Zertifikate, die von der Veröffentlichungsregel für externe Webdienste verwendet werden, muss eine lyncdiscover enthalten.< sipdomain-Eintrag> für jede SIP-Domäne in Ihrer Organisation.
Wichtig
Wir empfehlen dringend die Verwendung von HTTPS über HTTP. HTTPS verwendet Zertifikate zum Verschlüsseln des Datenverkehrs. HTTP stellt keine Verschlüsselung bereit, und alle gesendeten Daten sind Nur-Text.
Das Erneute Aufstellen von Zertifikaten mithilfe einer internen Zertifizierungsstelle ist in der Regel ein einfacher Prozess. Bei öffentlichen Zertifikaten, die in der Webdienstveröffentlichungsregel verwendet werden, kann das Hinzufügen mehrerer Einträge für alternative Antragstellernamen jedoch teuer werden. Um dieses Problem zu umgehen, unterstützen wir die anfängliche automatische Ermittlungsverbindung über Port 80, die dann an Port 8080 auf dem Director oder Front-End-Server umgeleitet wird.
Hinweis
Wenn Ihre Lync Server 2013-Infrastruktur interne Zertifikate verwendet, die von einer internen Zertifizierungsstelle (Ca) ausgestellt wurden, und Sie planen, mobile Geräte zu unterstützen, die drahtlos verbunden sind, muss entweder die Stammzertifikatkette der internen Zertifizierungsstelle auf den mobilen Geräten installiert sein, oder Sie müssen zu einem öffentlichen Zertifikat in Ihrer Lync Server 2013-Infrastruktur wechseln.
In diesem Thema werden die hinzugefügten alternativen Antragstellernamen beschrieben, die für Director, Front-End-Server und Reverseproxy erforderlich sind. Nur auf die hinzugefügten alternativen Antragstellernamen (SAN) wird verwiesen. Anleitungen zu den anderen Einträgen zu Zertifikaten finden Sie in den Planungsabschnitten. Ausführliche Informationen finden Sie unter Szenarien für den Director in Lync Server 2013, Szenarien für den Zugriff externer Benutzer in Lync Server 2013 und Szenarien für Reverseproxy in Lync Server 2013.
Die folgenden Tabellen definieren die AutoErmittlungs-SAN-Einträge für den Directorpool, den Front-End-Pool und den Reverseproxy:
Zertifikatanforderungen für den Directorpool
| Beschreibung | Alternativer Antragstellernameneintrag |
|---|---|
Url des internen AutoErmittlungsdiensts |
SAN=lyncdiscoverinternal.< Interner Domänenname> |
Url des externen AutoErmittlungsdiensts |
SAN=lyncdiscover.< sipdomain> |
Hinweis
Sie weisen das neu aktualisierte Zertifikat mit dem neuen SAN-Eintrag dem Standardzertifikat zu. Alternativ können Sie SAN=* verwenden.< sipdomain>.
Anforderungen für Front-End-Poolzertifikate
| Beschreibung | Alternativer Antragstellernameneintrag |
|---|---|
Url des internen AutoErmittlungsdiensts |
SAN=lyncdiscoverinternal.< Interner Domänenname> |
Url des externen AutoErmittlungsdiensts |
SAN=lyncdiscover.< sipdomain> |
Hinweis
Sie weisen das neu aktualisierte Zertifikat mit dem neuen SAN-Eintrag dem Standardzertifikat zu. Alternativ können Sie SAN=* verwenden.< sipdomain>
Zertifikatanforderungen für Reverseproxyzertifikate (Public CA)
| Beschreibung | Alternativer Antragstellernameneintrag |
|---|---|
Url des externen AutoErmittlungsdiensts |
SAN=lyncdiscover.< sipdomain> |
Hinweis
Sie weisen das neu aktualisierte Zertifikat mit dem neuen SAN-Eintrag dem SSL-Listener auf dem Reverseproxy zu.