• Artikel

Zertifikate für Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2011-05-02

Edgeserver verfügen über Zertifikate und kommunizieren mit den internen Servern über MTLS. Zertifikate sind sowohl für die interne als auch die externe Schnittstelle jedes Edgeservers erforderlich.

Jeder Edgeserver benötigt ein öffentliches Zertifikat für die Schnittstellen zwischen dem Umkreisnetzwerk und dem Internet. Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle ausgestellt werden, und der alternative Antragstellername des Zertifikats muss die externen Namen des Zugriffs-Edgediensts und die vollqualifizierten Domänennamen (FQDNs) des Webkonferenz-Edgediensts enthalten. Der Bereitstellungs-Assistent vereinfacht die Konfiguration des alternativen Antragstellernamens, indem der Großteil des Prozesses automatisiert wird. Microsoft Lync Server 2010 unterstützt die Verwendung eines einzelnen öffentlichen Zertifikats für alle externen Schnittstellen. Der private Schlüssel des Zertifikats muss exportierbar sein, wenn das Zertifikat auf mehreren Edgeservern verwendet wird, und die Verwendung eines exportierbaren Schlüssels mit einem einzelnen Edgeserver wird empfohlen. Wenn Sie das Zertifikat von einem anderen Computer als dem Edgeserver anfordern, muss der Schlüssel ebenfalls exportierbar sein.

Ein Zertifikat ist auch für die A/V-Authentifizierung auf der externen Edgeschnittstelle erforderlich. Der private Schlüssel des Audio-Video-Authentifizierungszertifikats wird zum Generieren von Authentifizierungsanmeldeinformationen verwendet. Das von Ihnen verwendete Zertifikat muss von einer öffentlichen Zertifizierungsstelle ausgestellt sein. Standardmäßig wird für den externen Edge und die A/V-Authentifizierung dasselbe Zertifikat verwendet. Wenn Sie an einem Standort mehrere Edgeserver mit Lastenausgleich bereitstellen, muss auf allen Edgeservern dasselbe Zertifikat installiert sein. Das Zertifikat muss exportierbar sein, wenn Sie es auf mehreren Edgeservern verwenden, oder wenn Sie das Zertifikat von einem anderen Computer als dem Edgeserver anfordern.

Jeder Reverseproxyserver erfordert ein Webserverzertifikat. Der alternative Antragstellername des Webserverzertifikat muss alle webexternen FQDNs (aus allen Front-End-Pools und Directors) und alle einfachen URLs angeben, außer der Admin-URL. Dieses Zertifikat muss von einer öffentlichen Zertifizierungsstelle ausgestellt werden.

Ausführliche Informationen zu Zertifikatanforderungen für Edgeserver sowie zur Bereitstellung finden Sie unter Zertifikatanforderungen für den externen Benutzerzugriff in der Planungsdokumentation, Anfordern von Edgezertifikaten in der Bereitstellungsdokumentation sowie Einrichten von Edgezertifikaten in der Bereitstellungsdokumentation.

Bewährte Methoden für Zertifikate

Wenn Sie dasselbe Zertifikat auf mehreren Edgeservern verwenden, fordern Sie als Sicherheitsmaßnahme ein einziges Zertifikat für die Verwendung mit allen Edgeservern an, kennzeichnen den privaten Schlüssel als exportierbar, und führen Sie anschließend folgende Schritte aus:

  1. Fordern Sie auf einem Edgeserver ein Zertifikat mit einem exportierbaren privaten Schlüssel an.

  2. Importieren Sie das Zertifikat auf den ersten Edgeserver. Installieren Sie die Stammzertifikatkette, falls erforderlich.

  3. Exportieren Sie das Zertifikat mit seinem privaten Schlüssel. Das Zertifikat muss dafür gekennzeichnet sein.

  4. Importieren Sie das Zertifikat, das Sie in den Computerspeicher exportiert haben, auf jeden Edgeserver: Kennzeichnen Sie dabei jedoch nicht den privaten Schlüssel dieses Zertifikats als exportierbar.