Zertifikatzusammenfassung für einen einzelnen konsolidierten Edgeserver mit privaten IP-Adressen mithilfe von NAT in lync Server 2013Certificate summary - Single consolidated edge with private IP addresses using NAT in Lync Server 2013

 

Letztes Änderungsstand des Themas: 2012-10-22Topic Last Modified: 2012-10-22

Microsoft lync Server 2013 verwendet Zertifikate, um andere Server gegenseitig zu authentifizieren und Daten von Server zu Server und Server auf dem Client zu verschlüsseln.Microsoft Lync Server 2013 uses certificates to mutually authenticate other servers and to encrypt data from server to server and server to client. Zertifikate erfordern einen Namensabgleich der Datensätze des Domain Name System (DNS), die den Servern und dem Antragstellernamen (SN) und dem alternativen Antragstellernamen (SAN) auf dem Zertifikat zugewiesen sind.Certificates require name matching of the domain name system (DNS) records associated with the servers and the subject name (SN) and subject alternative name (SAN) on the certificate. Um Serverpfade, DNS-Datensätze und Zertifikateinträge erfolgreich zuzuordnen, müssen Sie die vorgesehenen vollständig qualifizierten Domänennamen Ihrer Server sorgfältig so planen, wie sie im DNS sowie den SN- und SAN-Einträgen im Zertifikat registriert sind.To successfully map servers, DNS records and certificate entries, you must carefully plan your intended server fully qualified domain names as registered in DNS and the SN and SAN entries on the certificate.

Das Zertifikat, das den externen Schnittstellen des Edgeserver zugewiesen ist, wird von einer öffentlichen Zertifizierungsstelle angefordert.The certificate assigned to the external interfaces of the Edge Server is requested from a public certification authority (CA). Öffentliche Zertifizierungsstellen, die den Erfolg bei der Bereitstellung von Zertifikaten für Unified Communications bewiesen haben, sind im folgenden Artikel aufgeführt: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 .Public CAs that have demonstrated success in supplying certificates for the purposes of Unified Communications are listed in the following article: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395. Wenn Sie das Zertifikat anfordern, können Sie die vom lync Server-Bereitstellungs-Assistenten generierte Zertifikatanforderung verwenden oder die Anforderung manuell mithilfe von lync Server-Verwaltungsshell-Cmdlets oder durch einen Prozess erstellen, der von einer öffentlichen Zertifizierungsstelle bereitgestellt wird.When requesting the certificate, you can use the certificate request generated by the Lync Server Deployment Wizard or create the request manually using Lync Server Management Shell cmdlets or by a process provided by a public CA. Ausführliche Informationen zu lync Server-Verwaltungsshell-Cmdlets für die Zertifikatverwaltung finden Sie unter Certificate and Authentication Cmdlets in lync Server 2013 beim Zuweisen des Zertifikats wird das Zertifikat der Zugriffs-Edgedienst-Schnittstelle, der Webkonferenz-Edgedienst-Schnittstelle und dem Audio/Video-Authentifizierungsdienst zugewiesen.For details on Lync Server Management Shell cmdlets for certificate management, see Certificate and authentication cmdlets in Lync Server 2013 When assigning the certificate, the certificate is assigned to the Access Edge service interface, the Web Conferencing Edge service interface, and the Audio/Video Authentication service. Der Audio/Video-Authentifizierungsdienst sollte nicht mit dem A/V-Edgedienst verwechselt werden, der kein Zertifikat zum Verschlüsseln der Audio-und Videodatenströme verwendet.The Audio/Video Authentication service should not be confused with the A/V Edge service which does not use a certificate to encrypt the audio and video streams. Die interne Edgeserver Schnittstelle kann ein Zertifikat von einer internen Zertifizierungsstelle (in Ihrer Organisation) oder ein Zertifikat von einer öffentlichen Zertifizierungsstelle verwenden.The internal Edge Server interface can use a certificate from an internal (to your organization) CA or a certificate from a public CA. Das Zertifikat für die interne Schnittstelle verwendet nur den Antragstellernamen und benötigt und verwendet keine Einträge für alternative Antragstellernamen.The internal interface certificate uses only the SN and does not need or use SAN entries.

Hinweis

Die folgende Tabelle zeigt zu Referenzzwecken einen sekundären SIP-Eintrag in der Liste für alternative Antragstellernamen. Für jede SIP-Domäne in Ihrer Organisation muss ein entsprechender FQDN in der Liste der alternativen Antragstellernamen des Zertifikats aufgeführt sein.The following table shows a second SIP entry (sip.fabrikam.com) in the subject alternative name list for reference. For each SIP domain in your organization, you need to add a corresponding FQDN listed in the certificate subject alternative name list.

Erforderliche Zertifikate für einen einzelnen konsolidierten Edgeserver mit privaten IP-Adressen bei Verwendung von NATCertificates Required for Single Consolidated Edge with Private IP Addresses using NAT

KomponenteComponent Antragstellername (SN)Subject name (SN) Alternative Antragstellernamen (SAN)/ReihenfolgeSubject alternative names (SAN)/Order KommentareComments

Einzelner konsolidierter Edgeserver (externer Edge)Single consolidated Edge (External Edge)

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und über die Server-EKU und die Client-EKU verfügen, wenn eine Verbindung mit öffentlichen Instant Messaging-Diensten von AOL bereitgestellt werden soll. Das Zertifikat ist den externen Edgeschnittstellen für Folgendes zugewiesen:Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • Zugriffs-EdgeserverAccess Edge

  • Konferenz-EdgeserverConferencing Edge

  • A/V-EdgeserverA/V Edge

Beachten Sie, dass SANs dem Zertifikat automatisch gemäß Ihrer Definitionen im Topologie-Generator hinzugefügt werden. Sie fügen nach Bedarf SAN-Einträge für weitere SIP-Domänen und andere Einträge, die unterstützt werden müssen, hinzu. Der Antragstellername wird im SAN repliziert und muss für einen ordnungsgemäßen Betrieb vorhanden sein.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

Einzelner konsolidierter Edgeserver (interner Edge)Single consolidated Edge (Internal Edge)

lsedge.contoso.netlsedge.contoso.net

Kein SAN erforderlichNo SAN required

Ein Zertifikat kann von einer öffentlichen oder privaten Zertifizierungsstelle ausgegeben werden und muss die Server-EKU enthalten. Das Zertifikat ist der internen Edgeschnittstelle zugewiesen.Certificate can be issued by a public or private CA, and must contain the server EKU. The certificate is assigned to the internal Edge interface.

Zertifikatzusammenfassung – Verbindung mit öffentlichen Instant Messaging-DienstenCertificate Summary – Public Instant Messaging Connectivity

KomponenteComponent AntragstellernameSubject name Alternative Antragstellernamen (SAN)/ReihenfolgeSubject alternative names (SAN)/Order KommentareComments

Externer Edgeserver/ZugriffsedgeExternal/Access Edge

sip.contoso.comsip.contoso.com

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.fabrikam.comsip.fabrikam.com

Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und über die Server-EKU und die Client-EKU verfügen, wenn eine Verbindung mit öffentlichen Instant Messaging-Diensten von AOL bereitgestellt werden soll. Das Zertifikat ist den externen Edgeschnittstellen für Folgendes zugewiesen:Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • Zugriffs-EdgeserverAccess Edge

  • Konferenz-EdgeserverConferencing Edge

  • A/V-EdgeserverA/V Edge

Beachten Sie, dass SANs dem Zertifikat automatisch hinzugefügt werden, basierend auf Ihren Definitionen im Topologie-Generator. Sie können SAN-Einträge für zusätzliche SIP-Domänen und andere Einträge, die Sie unterstützen müssen, nach Bedarf hinzufügen. Der Antragstellername wird im SAN repliziert und muss zum korrekten Betrieb vorhanden sein.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

Zertifikatzusammenfassung für Extensible Messaging and Presence ProtocolCertificate Summary for Extensible Messaging and Presence Protocol

KomponenteComponent AntragstellernameSubject name Alternative Antragstellernamen (SAN)/ReihenfolgeSubject alternative names (SAN)/Order KommentareComments

Zuweisen zu Zugriffs-Edgedienst von Edgeserver oder EdgepoolAssign to Access Edge service of Edge Server or Edge pool

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

xmpp.contoso.comxmpp.contoso.com

\*. contoso.com\*.contoso.com

Die ersten drei San-Einträge sind die normalen San-Einträge für eine vollständige Edgeserver.The first three SAN entries are the normal SAN entries for a full Edge Server. "contoso.com" ist der erforderliche Eintrag für den Partnerverbund mit dem XMPP-Partner auf Stammdomänenebene.The contoso.com is the entry required for federation with the XMPP partner at the root domain level. Dieser Eintrag ermöglicht die Verwendung von XMPP für alle Domänen mit dem Suffix \*.contoso.com.This entry will allow XMPP for all domains with the suffix \*.contoso.com.