Anforderungen an Zertifikate für interne Server
Letztes Änderungsdatum des Themas: 2012-10-13
Zu den internen Servern, auf denen die Microsoft Lync Server 2010-Kommunikationssoftware ausgeführt wird und die Zertifikate benötigen, gehören z. B. Standard Edition-Server, Enterprise Edition-Front-End-Server, A/V-Konferenzserver, Vermittlungsserver und Director. Die folgende Tabelle zeigt die Zertifikatanforderungen für diese Server. Sie können den Zertifikat-Assistenten von Microsoft Lync Server 2010 verwenden, um diese Zertifikate anzufordern.
.gif "tip") Tipp: |
|---|
| Platzhalterzertifikate werden für die alternativen Antragstellernamen unterstützt, die den einfachen URLs auf dem Front-End-Pool, dem Front-End-Server oder dem Director zugeordnet sind. Ausführliche Informationen zur Platzhalterzertifikatunterstützung finden Sie unter Unterstützung von Platzhalterzertifikaten. |
Wenngleich für interne Server die Verwendung einer internen Unternehmenszertifizierungsstelle empfohlen wird, können Sie auch eine öffentliche Zertifizierungsstelle verwenden. Eine Liste öffentlicher Zertifizierungsstellen, die Zertifikate bereitstellen, die den speziellen Anforderungen an Unified Communications-Zertifikate entsprechen und eine Partnerschaft mit Microsoft eingegangen sind, um sicherzustellen, dass ihre Zertifikate mit dem Zertifikat-Assistenten von Lync Server verwendet werden können, finden Sie im Microsoft Knowledge Base-Artikel 929395, "Partner für Unified Communications-Zertifikate für Exchange Server und Communications Server", unter https://support.microsoft.com/kb/929395/de-de.
In der folgenden Tabelle werden die Zertifikatanforderungen nach Serverrolle für Front-End-Pools und Standard Edition-Server aufgeführt. Es handelt sich in allen Fällen um standardmäßige, nicht exportierbare Webserverzertifikate mit privatem Schlüssel.
Beachten Sie, dass die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für Server automatisch konfiguriert wird, wenn Sie den Zertifikat-Assistenten zum Anfordern von Zertifikaten verwenden.
Zertifikate für Standard Edition-Server
| Zertifikat | Antragstellername/ Allgemeiner Name | Alternativer Antragstellername | Beispiel | Kommentare |
|---|---|---|---|---|
Standard |
Vollqualifizierter Domänenname (FQDN) des Pools |
FQDN des Pools und FQDN des Servers Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich (Domain Name System) festgelegt ist, benötigen Sie auch Einträge für "sip.sipDomäne" (für jede vorhandene SIP-Domäne). |
SN=se01.contoso.com; SAN=se01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch "SAN=sip.contoso.com; SAN=sip.fabrikam.com". |
Auf einem Standard Edition-Server entspricht der Server-FQDN dem Pool-FQDN. Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie dem alternativen Antragstellernamen (SAN) automatisch hinzu. |
Web, intern |
FQDN des Servers |
Jeder der folgenden:
|
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Der interne Web-FQDN kann im Topologie-Generator nicht überschrieben werden. Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Web, extern |
FQDN des Servers |
Jeder der folgenden:
|
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für Front-End-Server in einem Front-End-Pool
| Zertifikat | Antragstellername/ Allgemeiner Name | Alternativer Antragstellername | Beispiel | Kommentare |
|---|---|---|---|---|
Standard |
FQDN des Pools |
FQDN des Pools und FQDN des Servers Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch Einträge für "sip.sipDomäne" (für jede vorhandene SIP-Domäne). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch "SAN=sip.contoso.com; SAN=sip.fabrikam.com". |
Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie dem alternativen Antragstellernamen (SAN) automatisch hinzu. |
Web, intern |
FQDN des Servers |
Jeder der folgenden:
|
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Der interne Web-FQDN kann im Topologie-Generator nicht überschrieben werden. Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Web, extern |
FQDN des Servers |
Jeder der folgenden:
|
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für Director
| Zertifikat | Antragstellername/ Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
Standard |
FQDN des Director-Pools |
Director-FQDN, FQDN des Director-Pools Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch Einträge für "sip.sipDomäne" (für jede vorhandene SIP-Domäne). |
SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com Wenn es sich bei diesem Director-Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch "SAN=sip.contoso.com; SAN=sip.fabrikam.com". |
Web, intern |
FQDN des Servers |
Jeder der folgenden:
|
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web, extern |
FQDN des Servers |
Jeder der folgenden:
|
Der externe Web-FQDN für den Director muss anders lauten als der des Front-End-Pools oder des Front-End-Servers. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Wenn Sie über einen eigenständigen A/V-Konferenzserverpool verfügen, muss jeder der darin enthaltenen A/V-Konferenzserver über die in der folgenden Tabelle aufgelisteten Zertifikate verfügen. Wenn Sie einen A/V-Konferenzserver mit den Front-End-Servern verbinden, reichen die in der Tabelle "Zertifikate für Front-End-Server im Front-End-Pool" (weiter oben) aufgeführten Zertifikate aus.
Zertifikate für eigenständige A/V-Konferenzserver
| Zertifikat | Antragstellername/ Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
Standard |
FQDN des Pools |
Nicht zutreffend |
SN=av-pool.contoso.com |
Wenn Sie über einen eigenständigen Vermittlungsserverpool verfügen, muss jeder der darin enthaltenen Vermittlungsserver über die in der folgenden Tabelle aufgelisteten Zertifikate verfügen. Wenn Sie einen Vermittlungsserver mit den Front-End-Servern verbinden, reichen die in der Tabelle "Zertifikate für Front-End-Server im Front-End-Pool" (weiter oben) aufgeführten Zertifikate aus.
Zertifikate für eigenständige Vermittlungsserver
| Zertifikat | Antragstellername/ Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
Standard |
FQDN des Pools |
FQDN des Pools FQDN des Poolmitgliedsservers |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Zertifikate für eine Survivable Branch Appliance
| Zertifikat | Antragstellername/ Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
Standard |
FQDN der Appliance |
SIP.<SIP-Domäne> (ein Eintrag pro SIP-Domäne erforderlich) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |