Zertifikatzusammenfassung für skalierte konsolidierte Edgetopologie mit Hardwarelastenausgleich in Lync Server 2013

Artikel
07/23/2014

Letztes Änderungsdatum des Themas: 2012-10-22

Microsoft Lync Server 2013 verwendet Zertifikate zur gegenseitigen Authentifizierung anderer Server und zum Verschlüsseln von Daten von Server zu Server und Server zu Client. Zertifikate erfordern einen Namensabgleich der DNS-Einträge (Domain Name System), die den Servern zugeordnet sind, sowie des Antragstellernamens (Subject Name, SN) und des alternativen Antragstellernamens (SAN) für das Zertifikat. Zum erfolgreichen Zuordnen von Servern, DNS-Einträgen und Zertifikateinträgen müssen Sie ihre beabsichtigten vollqualifizierten Domänennamen sorgfältig als in DNS registriert und den SN- und SAN-Einträgen im Zertifikat planen.

Das Zertifikat, das den externen Schnittstellen des Edgeservers zugewiesen ist, wird von einer öffentlichen Zertifizierungsstelle angefordert. Öffentliche Zertifizierungsstellen, die bei der Bereitstellung von Zertifikaten für Unified Communications erfolgreich waren, sind im folgenden Artikel aufgeführt: https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395. Beim Anfordern des Zertifikats können Sie die vom Lync Server-Bereitstellungs-Assistenten generierte Zertifikatanforderung verwenden oder die Anforderung manuell oder durch einen Prozess erstellen, der von der öffentlichen Zertifizierungsstelle bereitgestellt wird. Beim Zuweisen des Zertifikats wird das Zertifikat der Access Edge-Dienstschnittstelle, der Webkonferenz-Edge-Dienstschnittstelle und dem Audio/Video-Authentifizierungsdienst zugewiesen. Der Audio/Video-Authentifizierungsdienst sollte nicht mit dem A/V-Edgedienst verwechselt werden, der kein Zertifikat zum Verschlüsseln der Audio- und Videostreams verwendet. Die interne Edgeserverschnittstelle kann ein Zertifikat von einer internen (für Ihre organization) Zertifizierungsstelle oder ein Zertifikat von einer öffentlichen Zertifizierungsstelle verwenden. Das interne Schnittstellenzertifikat verwendet nur den SN und benötigt oder verwendet keine SAN-Einträge.

Hinweis

Die folgende Tabelle enthält einen zweiten SIP-Eintrag (sip.fabrikam.com) in der Liste alternativer Antragstellernamen zur Referenz. Für jede SIP-Domäne in Ihrem organization müssen Sie einen entsprechenden FQDN hinzufügen, der in der Liste des alternativen Zertifikatantragstellers aufgeführt ist.

Erforderliche Zertifikate für skalierte konsolidierte Edges mit Hardware-Lastenausgleichsmodulen

Komponente	Antragstellername	Alternative Antragstellernamen (SAN)/Order	Kommentare
Einzelner konsolidierter Edgeserver (externer Edge)	sip.contoso.com	webcon.contoso.com sip.contoso.com sip.fabrikam.com	Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und über die Server-EKU und die Client-EKU verfügen, wenn die Konnektivität zwischen öffentlichen Chatnachrichten und AOL bereitgestellt werden soll. Darüber hinaus muss für skalierte Edgeserver der private Schlüssel des Zertifikats exportierbar sein und das Zertifikat und der private Schlüssel auf jeden Edgeserver kopiert werden. Das Zertifikat wird den externen Edgeschnittstellen für Folgendes zugewiesen: Zugriffs-Edgedienst Webkonferenz-Edgedienst A/V-Edgedienst Beachten Sie, dass DEM Zertifikat basierend auf Ihren Definitionen im Topologie-Generator automatisch SANs hinzugefügt werden. Sie fügen nach Bedarf SAN-Einträge für zusätzliche SIP-Domänen und andere Einträge hinzu, die Sie unterstützen müssen. Der Antragstellername wird im SAN repliziert und muss für den korrekten Betrieb vorhanden sein.
Einzelner konsolidierter Edgeserver (interner Edgeserver)	lsedge.contoso.net	Kein SAN erforderlich	Das Zertifikat kann von einer öffentlichen oder privaten Zertifizierungsstelle ausgestellt werden und muss die Server-EKU enthalten. Das Zertifikat wird der internen Edgeserverschnittstelle zugewiesen.

Einzelner konsolidierter Edgeserver (externer Edge)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und über die Server-EKU und die Client-EKU verfügen, wenn die Konnektivität zwischen öffentlichen Chatnachrichten und AOL bereitgestellt werden soll. Darüber hinaus muss für skalierte Edgeserver der private Schlüssel des Zertifikats exportierbar sein und das Zertifikat und der private Schlüssel auf jeden Edgeserver kopiert werden. Das Zertifikat wird den externen Edgeschnittstellen für Folgendes zugewiesen:

Zugriffs-Edgedienst
Webkonferenz-Edgedienst
A/V-Edgedienst

Beachten Sie, dass DEM Zertifikat basierend auf Ihren Definitionen im Topologie-Generator automatisch SANs hinzugefügt werden. Sie fügen nach Bedarf SAN-Einträge für zusätzliche SIP-Domänen und andere Einträge hinzu, die Sie unterstützen müssen. Der Antragstellername wird im SAN repliziert und muss für den korrekten Betrieb vorhanden sein.

Einzelner konsolidierter Edgeserver (interner Edgeserver)

lsedge.contoso.net

Kein SAN erforderlich

Das Zertifikat kann von einer öffentlichen oder privaten Zertifizierungsstelle ausgestellt werden und muss die Server-EKU enthalten. Das Zertifikat wird der internen Edgeserverschnittstelle zugewiesen.

Zertifikatzusammenfassung – Öffentliche Chatkonnektivität

Komponente	Antragstellername	Alternative Antragstellernamen (SAN)/Order	Kommentare
Externer/Access Edge-Dienst	sip.contoso.com	sip.contoso.com webcon.contoso.com sip.fabrikam.com	Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und über die Server-EKU und die Client-EKU verfügen, wenn die Konnektivität zwischen öffentlichen Chatnachrichten und AOL bereitgestellt werden soll. Das Zertifikat wird den externen Edgeschnittstellen für Folgendes zugewiesen: Zugriffs-Edgedienst Webkonferenz-Edgedienst A/V-Edgedienst Beachten Sie, dass DEM Zertifikat basierend auf Ihren Definitionen im Topologie-Generator automatisch SANs hinzugefügt werden. Sie fügen nach Bedarf SAN-Einträge für zusätzliche SIP-Domänen und andere Einträge hinzu, die Sie unterstützen müssen. Der Antragstellername wird im SAN repliziert und muss für den korrekten Betrieb vorhanden sein.

Externer/Access Edge-Dienst

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Zugriffs-Edgedienst
Webkonferenz-Edgedienst
A/V-Edgedienst

Zertifikatzusammenfassung für Extensible Messaging and Presence Protocol

Komponente	Antragstellername	Alternative Antragstellernamen (SAN)/Order	Kommentare
Zuweisen zum Access Edge-Dienst des Edgeservers oder Edgepools	sip.contoso.com	webcon.contoso.com sip.contoso.com sip.fabrikam.com xmpp.contoso.com *.contoso.com	Die ersten drei SAN-Einträge sind die normalen SAN-Einträge für einen vollständigen Edgeserver. Der contoso.com ist der Eintrag, der für den Verbund mit dem XMPP-Partner auf Stammdomänenebene erforderlich ist. Dieser Eintrag lässt XMPP für alle Domänen mit dem Suffix *.contoso.com zu.

Zuweisen zum Access Edge-Dienst des Edgeservers oder Edgepools

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

Die ersten drei SAN-Einträge sind die normalen SAN-Einträge für einen vollständigen Edgeserver. Der contoso.com ist der Eintrag, der für den Verbund mit dem XMPP-Partner auf Stammdomänenebene erforderlich ist. Dieser Eintrag lässt XMPP für alle Domänen mit dem Suffix *.contoso.com zu.

Zertifikatzusammenfassung für skalierte konsolidierte Edgetopologie mit Hardwarelastenausgleich in Lync Server 2013

Erforderliche Zertifikate für skalierte konsolidierte Edges mit Hardware-Lastenausgleichsmodulen

Zertifikatzusammenfassung – Öffentliche Chatkonnektivität

Zertifikatzusammenfassung für Extensible Messaging and Presence Protocol

Zusätzliche Ressourcen