Anforderungen an Zertifikate für interne Server in Lync Server 2013

Letztes Änderungsdatum des Themas: 2017-02-17

Zu den internen Servern, auf denen lync Server ausgeführt wird und für die Zertifikate erforderlich sind, gehören Standard Edition-Server, Enterprise Edition-Front-End-Server, Vermittlungsserver und Director. In der folgenden Tabelle sind die Zertifikatanforderungen für diese Server aufgeführt. Sie können den lync Server-Zertifikat-Assistenten verwenden, um diese Zertifikate anzufordern.

Tipp

Platzhalterzertifikate werden für die alternativen Subjektnamen unterstützt, die mit den einfachen URLs im Front-End-Pool, Front-End-Server oder Director verknüpft sind. Details zur Unterstützung von Platzhalterzertifikaten finden Sie unter Unterstützung für Platzhalterzertifikate in lync Server 2013.

Obwohl eine interne Unternehmenszertifizierungsstelle für interne Server empfohlen wird, können Sie auch eine öffentliche Zertifizierungsstelle verwenden. Eine Liste der öffentlichen Zertifizierungsstellen, die Zertifikate zur Verfügung stellen, die bestimmte Anforderungen für Unified Communications (UC)-Zertifikate erfüllen und mit Microsoft zusammenarbeiten, um sicherzustellen, dass Sie mit dem lync Server-Zertifikat-Assistenten funktionieren, finden Sie im Artikel Microsoft Knowledge Base 929395, "Unified Communications Certificate Partners für Exchange Server und für Communications Server" unter https://go.microsoft.com/fwlink/p/?linkId=202834 .

Die Kommunikation mit anderen Anwendungen und Servern, wie etwa Exchange 2013, erfordert ein Zertifikat, das von den anderen Anwendungen und Produkten unterstützt wird. Für die 2013-Version unterstützen lync Server 2013 und andere Microsoft-Serverprodukte, einschließlich Exchange 2013 und SharePoint Server, das Open Authorization (OAuth)-Protokoll für die Server-zu-Server-Authentifizierung und-Autorisierung. Ausführliche Informationen finden Sie unter Verwalten der Server-zu-Server-Authentifizierung (OAuth) und der Partneranwendungen in lync Server 2013 in der Bereitstellungsdokumentation oder in der Betriebsdokumentation.

Für Verbindungen von Clients unter dem BetriebssystemWindows 7, dem BetriebssystemWindows Server 2008, dem BetriebssystemWindows Server 2008 R2, dem BetriebssystemWindows Vista und Microsoft lync Phone Edition bietet lync Server 2013 Unterstützung für (aber nicht erforderliche) Zertifikate, die mit der SHA-256-kryptografischen Hashfunktion signiert wurden. Um den externen Zugriff mithilfe von SHA-256 zu unterstützen, wird das externe Zertifikat von einer öffentlichen Zertifizierungsstelle mithilfe von SHA-256 ausgestellt.

In den folgenden Tabellen werden die Zertifikatanforderungen nach Serverrolle für Front-End-Pools und Standard Edition-Server angezeigt. Dies sind standardmäßige Webserverzertifikate, privater Schlüssel, nicht exportierbarer Server.

Beachten Sie, dass die erweiterte Schlüsselverwendung von Server automatisch konfiguriert wird, wenn Sie mit dem Zertifikat-Assistenten Zertifikate anfordern.

Hinweis

Jeder Zertifikatsanzeige Name muss im Computerspeicher eindeutig sein.

Hinweis

Wenn Sie sipinternal.contoso.com oder sipexternal.contoso.com in Ihrem DNS konfiguriert haben, müssen Sie diese im alternativen Antragstellernamen des Zertifikats hinzufügen.

Zertifikate für den Standard Edition-Server

Zertifikat Name des Antragstellers/gebräuchlicher Name Alternativer Antragstellername Beispiel Kommentare

Standard

Vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Pools

FQDN des Pools und der FQDN des Servers

Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich (Domain Name System) festgelegt ist, benötigen Sie auch Einträge für „sip.sipDomäne“ (für jede vorhandene SIP-Domäne).

SN=se01.contoso.com; SAN=se01.contoso.com

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“.

Auf dem Standard Edition-Server entspricht der Server-FQDN dem FQDN des Pools.

Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu.

Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden.

Web, intern

FQDN des Servers

Jeder der folgenden:

  • Interner Web-FQDN (entspricht dem FQDN des Servers)

  • Einfache Besprechungs-URLs

  • Einfache URLs vom Typ „Dialin“

  • Einfache URLs vom Typ „Admin“

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Mit einem Platzhalterzertifikat:

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

Sie können den internen Web-FQDN im Topologie-Generator nicht außer Kraft setzen.

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Web, extern

FQDN des Servers

Jeder der folgenden:

  • Externer Web-FQDN

  • Einfache URLs vom Typ „Dialin“

  • Einfache Besprechungs-URLs pro SIP-Domäne

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Mit einem Platzhalterzertifikat:

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Zertifikate für den Front-End-Server in einem Front-End-Pool

Zertifikat Name des Antragstellers/gebräuchlicher Name Alternativer Antragstellername Beispiel Kommentare

Standard

FQDN des Pools

FQDN des Pools und FQDN des Servers.

Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.

Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in Gruppenrichtlinien strikter DNS-Abgleich erforderlich ist, benötigen Sie auch Einträge für SIP. sipdomain (für jede SIP-Domäne, die Sie haben).

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“.

Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu.

Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden.

Web-intern

FQDN des Pools

Jeder der folgenden:

  • Interner Web-FQDN (entspricht NICHT dem FQDN des Servers)

  • Server-FQDN

  • Lync-Pool-FQDN

  • Einfache Besprechungs-URLs

  • Einfache URLs vom Typ „Dialin“

  • Einfache URLs vom Typ „Admin“

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Mit einem Platzhalterzertifikat:

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Web, extern

FQDN des Pools

Jeder der folgenden:

  • Externer Web-FQDN

  • Einfache URLs vom Typ „Dialin“

  • Einfache URLs vom Typ „Admin“

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Mit einem Platzhalterzertifikat:

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Wenn Sie über mehrere einfache URLs für Besprechungen verfügen, müssen Sie diese als Alternativen Betreff-Namen angeben.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Zertifikate für Director

Zertifikat Name des Antragstellers/gebräuchlicher Name Alternativer Antragstellername Beispiel

Standard

FQDN des Director-Pools

FQDN des Directors, FQDN des Director-Pools

Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in Gruppenrichtlinien strikter DNS-Abgleich erforderlich ist, benötigen Sie auch Einträge für SIP. sipdomain (für jede SIP-Domäne, die Sie haben).

SN = dir-Pool.contoso.com; San = dir-Pool.contoso.com; San = dir01. contoso. com

Wenn dieser Director-Pool der Server für die automatische Anmeldung für Clients ist und in Gruppenrichtlinien strikter DNS-Abgleich erforderlich ist, benötigen Sie auch San = SIP. contoso. com; San = SIP. fabrikam. com

Web-intern

FQDN des Servers

Jeder der folgenden:

  • Interner Web-FQDN (entspricht dem FQDN des Servers)

  • Server-FQDN

  • Lync-Pool-FQDN

  • Einfache Besprechungs-URLs

  • Einfache URLs vom Typ „Dialin“

  • Einfache URLs vom Typ „Admin“

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Web, extern

FQDN des Servers

Jeder der folgenden:

  • Externer Web-FQDN

  • Einfache URLs vom Typ „Dialin“

  • Einfache URLs vom Typ „Admin“

  • Oder ein Platzhaltereintrag für die einfachen URLs

Der FQDN des Director External Web muss vom Front-End-Pool oder Front-End-Server abweichen.

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Wenn Sie über einen eigenständigen vermittlungsserverpool verfügen, benötigen die Vermittlungsserver jeweils die in der folgenden Tabelle aufgelisteten Zertifikate. Wenn Sie den Vermittlungs Server mit den Front-End-Servern collocate, genügen die Zertifikate, die in der Tabelle "Zertifikate für Front-End-Server im Front-End-Pool" weiter oben in diesem Thema aufgeführt sind.

Zertifikate für eigenständigen Vermittlungs Server

Zertifikat Name des Antragstellers/gebräuchlicher Name Alternativer Antragstellername Beispiel

Standard

FQDN des Pools

FQDN des Pools

FQDN des Pool Mitgliedsservers

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Zertifikate für Survivable Branch Appliance

Zertifikat Name des Antragstellers/gebräuchlicher Name Alternativer Antragstellername Beispiel

Standard

FQDN der Anwendung

SIP. < sipdomain > (benötigt einen Eintrag pro SIP-Domäne)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com