Anfordern und Konfigurieren eines Zertifikats für den HTTP-Reverseproxy in Lync Server 2013

 

Thema Letzte Änderung: 14.02.2014

Sie müssen das Zertifikat der Stammzertifizierungsstelle (Ca) auf dem Server installieren, auf dem Microsoft Forefront Threat Management Gateway 2010 oder IIS ARR für die Zertifizierungsstelleninfrastruktur ausgeführt wird, die die Serverzertifikate an die internen Server mit Microsoft Lync Server 2013 ausgestellt hat.

Außerdem müssen Sie ein öffentliches Webserverzertifikat auf dem Reverseproxyserver installieren. Die alternativen Antragstellernamen dieses Zertifikats sollten die veröffentlichten externen vollqualifizierten Domänennamen (FQDNs) jedes Pools enthalten, in dem Benutzer für den Remotezugriff aktiviert sind, und die externen FQDNs aller Directors- oder Directorpools, die in dieser Edgeinfrastruktur verwendet werden. Der alternative Antragstellername muss auch die einfache Besprechungs-URL, die einfache EINWAHL-URL und, wenn Sie mobile Anwendungen bereitstellen und planen, die automatische Ermittlung zu verwenden, die url des externen AutoErmittlungsdiensts enthalten, wie in der folgenden Tabelle dargestellt.

Wert Beispiel

Antragstellername

Pool-FQDN

webext.contoso.com

Alternativer Antragstellername

Pool-FQDN

webext.contoso.com

Wichtig

Der Antragstellername muss auch im alternativen Antragstellernamen vorhanden sein.

Alternativer Antragstellername

Optionale Director-Webdienste (wenn Director bereitgestellt wird)

webdirext.contoso.com

Alternativer Antragstellername

Einfache Besprechungs-URL

Hinweis

Alle einfachen Besprechungs-URLs müssen den alternativen Betreffnamen aufweisen. Jede SIP-Domäne muss mindestens eine aktive, einfache Besprechungs-URL aufweisen.

meet.contoso.com

Alternativer Antragstellername

Einfache URLs vom Typ „Dialin“

dialin.contoso.com

Alternativer Antragstellername

Office Web Apps-Server

officewebapps01.contoso.com

Alternativer Antragstellername

Url des externen AutoErmittlungsdiensts

lyncdiscover.contoso.com

Hinweis

Wenn Sie auch Microsoft Exchange Server verwenden, müssen Sie auch Reverseproxyregeln für die URLs der Exchange-AutoErmittlung und Webdienste konfigurieren.

Hinweis

Wenn Ihre interne Bereitstellung aus mehreren Standard Edition-Servern oder Front-End-Pools besteht, müssen Sie Webveröffentlichungsregeln für jeden externen Webfarm-FQDN konfigurieren, und Sie benötigen entweder jeweils ein Zertifikat und einen Weblistener, oder Sie müssen ein Zertifikat abrufen, dessen alternativer Antragstellername die Namen enthält, die von allen Pools verwendet werden. Weisen Sie sie einem Weblistener zu, und geben Sie sie für mehrere Webveröffentlichungsregeln frei.

Erstellen einer Zertifikatanforderung

Sie erstellen eine Zertifikatanforderung auf dem Reverseproxy. Sie erstellen eine Anforderung auf einem anderen Computer, müssen das signierte Zertifikat jedoch mit dem privaten Schlüssel exportieren und in den Reverseproxy importieren, sobald Sie es von der öffentlichen Zertifizierungsstelle erhalten haben.

Hinweis

Eine Zertifikatanforderung oder eine Zertifikatsignaturanforderung (Certificate Signing Request, CSR) ist eine Anforderung an eine vertrauenswürdige öffentliche Zertifizierungsstelle (Ca), um den öffentlichen Schlüssel des anfordernden Computers zu überprüfen und zu signieren. Wenn ein Zertifikat generiert wird, werden ein öffentlicher Schlüssel und ein privater Schlüssel erstellt. Nur der öffentliche Schlüssel wird freigegeben und signiert. Wie der Name schon sagt, wird der öffentliche Schlüssel für jede öffentliche Anforderung zur Verfügung gestellt. Der öffentliche Schlüssel wird von Clients, Servern und anderen Anfordernden verwendet, die Informationen sicher austauschen und die Identität eines Computers überprüfen müssen. Der private Schlüssel wird gesichert und nur von dem Computer verwendet, der das Schlüsselpaar erstellt hat, um Nachrichten zu entschlüsseln, die mit seinem öffentlichen Schlüssel verschlüsselt sind. Der private Schlüssel kann für andere Zwecke verwendet werden. Für Reverseproxyzwecke ist die Datenchiffrement die primäre Verwendung. Zweitens ist die Zertifikatauthentifizierung auf Zertifikatschlüsselebene eine andere Verwendung und ist nur auf die Überprüfung beschränkt, dass ein Antragsteller über den öffentlichen Schlüssel des Computers verfügt oder dass der Computer, für den Sie einen öffentlichen Schlüssel haben, tatsächlich der Computer ist, für den er sich behauptet.

Tipp

Wenn Sie Ihre Edgeserverzertifikate und Reverseproxyzertifikate gleichzeitig planen, sollten Sie feststellen, dass es eine große Ähnlichkeit zwischen den beiden Zertifikatanforderungen gibt. Wenn Sie Ihr Edgeserverzertifikat konfigurieren und anfordern, kombinieren Sie die alternativen Namen des Edgeservers und des Reverseproxy-Antragstellers. Sie können dasselbe Zertifikat für Ihren Reverseproxy verwenden, wenn Sie das Zertifikat und den privaten Schlüssel exportieren und die exportierte Datei in den Reverseproxy kopieren und dann das Zertifikat-/Schlüsselpaar importieren und nach Bedarf in den anstehenden Verfahren zuweisen. Lesen Sie die Zertifikatanforderungen für den Edgeserverplan für Edgeserverzertifikate in Lync Server 2013 und die Zusammenfassung des Reverseproxyzertifikats – Reverseproxy in Lync Server 2013. Stellen Sie sicher, dass Sie das Zertifikat mit einem exportierbaren privaten Schlüssel erstellen. Das Erstellen der Zertifikats- und Zertifikatanforderung mit einem exportierbaren privaten Schlüssel ist für gepoolte Edgeserver erforderlich. Daher ist dies eine normale Vorgehensweise, und mit dem Zertifikat-Assistenten im Lync Server-Bereitstellungs-Assistenten für den Edgeserver können Sie das Kennzeichen " Privaten Schlüssel exportierbar machen" festlegen. Sobald Sie die Zertifikatanforderung von der öffentlichen Zertifizierungsstelle erhalten haben, exportieren Sie das Zertifikat und den privaten Schlüssel. Weitere Informationen zum Erstellen und Exportieren ihres Zertifikats mit einem privaten Schlüssel finden Sie im Abschnitt "So exportieren Sie das Zertifikat mit dem privaten Schlüssel für Edgeserver in einem Pool" im Thema " Einrichten von Zertifikaten für die externe Edgeschnittstelle für Lync Server 2013 ". Die Erweiterung des Zertifikats sollte vom Typ PFX sein.

Gehen Sie wie folgt vor, um eine Zertifikatsignaturanforderung auf dem Computer zu generieren, auf dem das Zertifikat und der private Schlüssel zugewiesen werden:

Erstellen einer Zertifikatsignaturanforderung

  1. Öffnen Sie die Microsoft Management Console (MMC), fügen Sie das Zertifikat-Snap-In hinzu, wählen Sie "Computer" aus, und erweitern Sie dann "Persönlich". Ausführliche Informationen zum Erstellen einer Zertifikatkonsole in der Microsoft Management Console (MMC) finden Sie https://go.microsoft.com/fwlink/?LinkId=282616unter .

  2. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf "Alle Vorgänge", klicken Sie auf " Erweiterte Vorgänge" und dann auf " Benutzerdefinierte Anforderung erstellen".

  3. Klicken Sie auf der Seite " Zertifikatregistrierung " auf "Weiter".

  4. Wählen Sie auf der Seite " Zertifikatregistrierungsrichtlinie auswählen " unter "Benutzerdefinierte Anforderung" die Option "Ohne Registrierungsrichtlinie fortfahren" aus. Klicken Sie auf Weiter.

  5. Wählen Sie auf der Seite "Benutzerdefinierte Anforderung " für "Vorlage auswählen " (Keine Vorlage) den Legacyschlüssel aus. Sofern nicht anders von Ihrem Zertifikatanbieter angewiesen, lassen Sie "Standarderweiterungen unterdrücken" deaktiviert, und wählen Sie auf PKCS #10 das Anforderungsformat aus. Klicken Sie auf Weiter.

  6. Klicken Sie auf der Seite " Zertifikatinformationen " auf "Details" und dann auf "Eigenschaften".

  7. Geben Sie auf der Seite " Zertifikateigenschaften" auf der Registerkarte " Allgemein " im Feld " Anzeigename " einen Namen für dieses Zertifikat ein. Geben Sie optional eine Beschreibung in das Feld "Beschreibung " ein. Der Anzeigename und die Beschreibung werden in der Regel vom Administrator verwendet, um den Zweck des Zertifikats zu identifizieren, z. B . Reverseproxylistener für Lync Server.

  8. Wählen Sie die Registerkarte "Betreff " aus. Wählen Sie unter "Antragstellername " für den Typ " Allgemeiner Name " für den Antragstellernamentyp aus. Geben Sie für den Wert den Betreffnamen ein, den Sie für den Reverseproxy verwenden möchten, und klicken Sie dann auf "Hinzufügen". Im Beispiel in der Tabelle in diesem Thema wird der Antragstellername webext.contoso.com und würde in das Feld "Wert" für den Antragstellernamen eingegeben.

  9. Wählen Sie auf der Registerkarte "Betreff" unter "Alternativer Name" in der Dropdownliste für "Typ" die Option "DNS" aus. Geben Sie für jeden definierten alternativen Antragstellernamen, den Sie für das Zertifikat benötigen, den vollqualifizierten Domänennamen ein, und klicken Sie dann auf "Hinzufügen". Beispielsweise gibt es in der Tabelle drei alternative Antragstellernamen, meet.contoso.com, dialin.contoso.com und lyncdiscover.contoso.com. Geben Sie im Feld "Wert " meet.contoso.com ein, und klicken Sie dann auf "Hinzufügen". Wiederholen Sie den Vorgang für jeden alternativen Antragstellernamen, den Sie definieren müssen.

  10. Klicken Sie auf der Seite "Zertifikateigenschaften" auf die Registerkarte "Erweiterungen". Auf dieser Seite definieren Sie die kryptografischen Schlüsselzwecke in der Schlüsselnutzung und die erweiterte Schlüsselnutzung in der erweiterten Schlüsselnutzung (Anwendungsrichtlinien).

  11. Klicken Sie auf den Schlüsselverwendungspfeil , um die verfügbaren Optionen anzuzeigen. Klicken Sie unter "Verfügbare Optionen" auf "Digitale Signatur" und dann auf "Hinzufügen". Klicken Sie auf "Schlüsselchiffrement" und dann auf "Hinzufügen". Wenn das Kontrollkästchen für "Wichtige Schlüsselverwendungen festlegen" deaktiviert ist, aktivieren Sie das Kontrollkästchen.

  12. Klicken Sie auf den Pfeil für die erweiterte Schlüsselverwendung (Anwendungsrichtlinien), um die verfügbaren Optionen anzuzeigen. Klicken Sie unter "Verfügbare Optionen" auf "Serverauthentifizierung" und dann auf "Hinzufügen". Klicken Sie auf "Clientauthentifizierung" und dann auf "Hinzufügen". Wenn das Kontrollkästchen " Erweiterte Schlüsselverwendungen kritisch machen" aktiviert ist, deaktivieren Sie das Kontrollkästchen. Im Gegensatz zum Kontrollkästchen "Schlüsselverwendung" (das aktiviert werden muss) müssen Sie sicherstellen, dass das Kontrollkästchen "Erweiterte Schlüsselverwendung" nicht aktiviert ist.

  13. Klicken Sie auf der Seite "Zertifikateigenschaften " auf die Registerkarte " Privater Schlüssel ". Klicken Sie auf den Pfeil "Schlüsseloptionen" . Wählen Sie für "Schlüsselgröße" in der Dropdownliste "2048 " aus. Wenn Sie dieses Schlüsselpaar und csr auf einem anderen Computer als dem Reverseproxy generieren, für den dieses Zertifikat vorgesehen ist, wählen Sie "Privaten Schlüssel exportierbar machen" aus.

    Sicherheitshinweis:
    Die Option " Privaten Schlüssel exportierbar machen " wird im Allgemeinen empfohlen, wenn Sie über mehrere Reverseproxys in einer Farm verfügen, da Sie das Zertifikat und den privaten Schlüssel auf jeden Computer in der Farm kopieren. Wenn Sie einen exportierbaren privaten Schlüssel zulassen, müssen Sie mit dem Zertifikat und dem Computer, auf dem er generiert wird, besonders vorsichtig sein. Wenn der private Schlüssel kompromittiert wird, macht das Zertifikat nutzlos und macht den Computer oder computer möglicherweise für externen Zugriff und andere Sicherheitslücken verfügbar.
  14. Klicken Sie auf der Registerkarte " Privater Schlüssel " auf den Pfeil "Schlüsseltyp ". Wählen Sie die Exchange-Option aus.

  15. Klicken Sie auf "OK ", um die von Ihnen festgelegten Zertifikateigenschaften zu speichern.

  16. Klicken Sie auf der Seite " Zertifikatregistrierung " auf "Weiter".

  17. Auf der Seite "Wo möchten Sie die Offlineanforderung speichern?" werden Sie aufgefordert, einen Dateinamen und ein Dateiformat zum Speichern der Zertifikatsignaturanforderung einzugeben.

  18. Geben Sie im Feld " Dateiname " einen Pfad und Dateinamen für die Anforderung ein, oder klicken Sie auf " Durchsuchen ", um einen Speicherort für die Datei auszuwählen, und geben Sie den Dateinamen für die Anforderung ein.

  19. Klicken Sie für das Dateiformat entweder auf "Base 64 " oder " Binary". Wählen Sie Basis 64 aus, es sei denn, Sie werden vom Anbieter für Ihre Zertifikate anderweitig angewiesen.

  20. Suchen Sie die Anforderungsdatei, die Sie im vorherigen Schritt gespeichert haben. Übermitteln Sie sie an Ihre öffentliche Zertifizierungsstelle.

    Wichtig

    Microsoft hat öffentliche CAs identifiziert, die die Anforderungen für Unified Communications-Zwecke erfüllen. Eine Liste wird im folgenden Wissensdatenbank Artikel verwaltet. https://go.microsoft.com/fwlink/?LinkId=282625