Requisitos de certificado para el acceso de usuarios externos en Lync Server 2013Certificate requirements for external user access in Lync Server 2013

 

Última modificación del tema: 2016-03-29Topic Last Modified: 2016-03-29

El software de comunicaciones Microsoft Lync Server 2013 admite el uso de un único certificado público para las interfaces externas perimetrales de acceso y conferencia Web, además del servicio de autenticación A/V.Microsoft Lync Server 2013 communications software supports the use of a single public certificate for access and web conferencing Edge external interfaces, plus the A/V Authentication service. La interfaz interna perimetral utiliza generalmente un certificado privado que emite una autoridad de certificación (CA) interna, pero también puede utilizar un certificado público siempre y cuando sea de una CA pública de confianza.The Edge internal interface typically uses a private certificate issued by an internal certification authority (CA), but can also use a public certificate, provided that it is from a trusted public CA. El servidor proxy inverso de la implementación utiliza un certificado público y cifra la comunicación desde el proxy inverso hacia los clientes y del proxy inverso hacia los servidores internos utilizando HTTP (es decir, seguridad de la capa de transporte por HTTP).The reverse proxy in your deployment uses a public certificate and encrypts the communication from the reverse proxy to clients and the reverse proxy to internal servers by using HTTP (that is, Transport Layer Security over HTTP).

A continuación, se indican los requisitos para el certificado público usado para interfaces externas perimetrales, de conferencia web y de acceso, así como el servicio de autenticación A/V:Following are the requirements for the public certificate used for access and web conferencing Edge external interfaces, and the A/V authentication service:

  • El certificado debe ser emitido por una CA pública aprobada que admita el nombre alternativo de sujeto.The certificate must be issued by an approved public CA that supports subject alternative name. Para obtener más información, consulte el artículo 929395 de Microsoft Knowledge base, "asociados de certificados de comunicaciones unificadas para Exchange Server y para Communications Server" en https://go.microsoft.com/fwlink/p/?linkId=202834 .For details, see Microsoft Knowledge Base article 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server," at https://go.microsoft.com/fwlink/p/?linkId=202834.

  • Si el certificado se usará en un grupo de servidores perimetrales, debe crearse como exportable, con el mismo certificado usado en cada servidor perimetral en el grupo de servidores perimetrales. El requisito de clave privada exportable se debe al servicio de autenticación A/V, que debe usar la misma clave privada a través de todos los servidores perimetrales en el grupo.If the certificate will be used on an Edge pool, it must be created as exportable, with the same certificate used on each Edge Server in the Edge pool. The exportable private key requirement is for the purposes of the A/V Authentication service, which must use the same private key across all Edge Servers in the pool.

  • Si desea maximizar el tiempo de actividad de los servicios de audio y vídeo, revise los requisitos de certificado para implementar un certificado de servicio perimetral A/V desacoplado (es decir, un certificado de servicio perimetral A/V independiente de los otros propósitos de certificado perimetral externo).If you want to maximize the uptime for your Audio/Video services, review the certificate requirements for implementing a decoupled A/V Edge service certificate (that is, a separate A/V Edge service certificate from the other External Edge certificate purposes). Para obtener más información, vea cambios en Lync server 2013 que afectan a la planeación de los servidores perimetrales, Plan for Edge Server Certificates in Lync Server 2013 y staging de los certificados AV y OAuth en Lync Server 2013 usando-Roll en Set-CsCertificate.For details, see Changes in Lync Server 2013 that affect Edge Server planning, Plan for Edge Server certificates in Lync Server 2013 and Staging AV and OAuth certificates in Lync Server 2013 using -Roll in Set-CsCertificate.

  • El nombre de sujeto del certificado es el nombre de dominio completo (FQDN) de la interfaz externa del servicio perimetral de acceso o el VIP del equilibrador de carga de hardware (por ejemplo, access.contoso.com).The subject name of the certificate is the Access Edge service external interface fully qualified domain name (FQDN) or hardware load balancer VIP (for example, access.contoso.com). ).). El nombre del sujeto no puede tener un carácter comodín, debe ser un nombre explícito.The subject name can’t have a wildcard character, it must be an explicit name.

    Nota

    Para Lync Server 2013, ya no es un requisito, pero se sigue recomendando por compatibilidad con Office Communications Server.For Lync Server 2013, this is no longer a requirement, but it is still recommended for compatibility with Office Communications Server.

  • La lista de nombres alternativos de sujeto contiene los FQDN de:The subject alternative name list contains the FQDNs of the following:

    • La interfaz externa del servicio perimetral de acceso o VIP del equilibrador de carga de hardware (por ejemplo, sip.contoso.com).The Access Edge service external interface or hardware load balancer VIP (for example, sip.contoso.com).

      Nota

      A pesar de que el nombre de sujeto del certificado equivale al FQDN del servidor perimetral de acceso, el nombre alternativo del sujeto también debe contener el FQDN del servidor perimetral de acceso porque Seguridad de la capa de transporte (TLS, Transport Layer Security) ignora el nombre de sujeto y usa las entradas del nombre alternativo del sujeto para la validación.Even though the certificate subject name is equal to the access Edge FQDN, the subject alternative name must also contain the access Edge FQDN because Transport Layer Security (TLS) ignores the subject name and uses the subject alternative name entries for validation.

    • La interfaz perimetral externa de conferencia web o la VIP del equilibrador de carga de hardware (por ejemplo, webcon.contoso.com).The web conferencing Edge external interface or hardware load balancer VIP (for example, webcon.contoso.com).

    • Si usa una federación o configuración automática de clientes, incluya también todos los FQDN de dominios SIP usados en la compañía (por ejemplo, sip.contoso.com, sip.fabrikam.com).If you are using client auto-configuration or federation, also include any SIP domain FQDNs used within your company (for example, sip.contoso.com, sip.fabrikam.com).

    • El servicio perimetral A/V no usa las entradas de nombre de sujeto o de nombres alternativos de sujeto.The A/V Edge service does not use the subject name or the subject alternative names entries.

    Nota

    El orden de los FQDN en la lista de nombres alternativos del sujeto no importa.The order of the FQDNs in the subject alternative names list does not matter.

Si va a implementar varios servidores perimetrales de carga equilibrada en un sitio, el certificado de servicio de autenticación A/V instalado en cada servidor perimetral debe ser de la misma CA y debe usar la misma clave privada. Tenga en cuenta que la clave privada del certificado debe poder exportarse, independientemente de si se usa en un servidor perimetral o en varios. También debe poder exportarse si solicita el certificado desde cualquier equipo que no sea el servidor perimetral.If you are deploying multiple, load-balanced Edge Servers at a site, the A/V authentication service certificate that is installed on each Edge Server must be from the same CA and must use the same private key. Note that the certificate's private key must be exportable, regardless of whether it is used on one Edge Server or many Edge Servers. It must also be exportable if you request the certificate from any computer other than the Edge Server. Because the A/V authentication service does not use the subject name or subject alternative name, you can reuse the access Edge certificate as long as the subject name and subject alternative name requirements are met for the access Edge and the web conferencing Edge and the certificate’s private key is exportable.

Estos son los requisitos para el certificado privado (o público) usado para la interfaz perimetral interna:Requirements for the private (or public) certificate used for the Edge internal interface are as follows:

  • El certificado puede ser emitido por una CA interna o por una CA pública de certificados aprobada.The certificate can be issued by an internal CA or an approved public certificate CA.

  • El nombre de sujeto del certificado suele ser el FQDN de la interfaz perimetral interna o la VIP del equilibrador de carga de hardware (por ejemplo, lsedge.contoso.com). No obstante, puede usar un certificado de comodín en la interfaz perimetral interna.The subject name of the certificate is typically the Edge internal interface FQDN or hardware load balancer VIP (for example, lsedge.contoso.com). However, you can use a wildcard certificate on the Edge internal.

  • No se necesita ningún nombre alternativo de sujeto.No subject alternative name list is required.

El servidor proxy inverso de los servicios de implementación solicitan que los usuarios externos puedan obtener acceso a:The reverse proxy in your deployment services requests for:

  • El contenido de las reunionesExternal user access to meeting content for meetings

  • Expandir y mostrar los miembros de los grupos de distribuciónExternal user access to expand and display members of distribution groups

  • Archivos descargables del servicio de libreta de direccionesExternal user access to downloadable files from the Address Book Service

  • Acceso de usuarios externos al cliente de Lync Web AppExternal user access to the Lync Web App client

  • La página web de configuración de las conferencias de acceso telefónicoExternal user access to the Dial-in Conferencing Settings web page

  • El servicio de información de ubicaciónExternal user access to the Location Information Service

  • Que los dispositivos externos obtengan acceso al servicio de actualización de dispositivos y obtengan las actualizacionesExternal device access to the Device Update Service and obtain updates

El servidor proxy inverso publique las direcciones URL de los componentes web del servidor interno.The reverse proxy publishes the internal server Web Components URLs. Las direcciones URL de los componentes Web se definen en el director, el servidor front-end o el grupo de servidores front-end como los servicios web externos en el generador de topologías.The Web Components URLs are defined on the Director, Front End Server or Front End pool as the External web services in Topology Builder.

Se pueden utilizar entradas de caracteres comodín en el campo de nombre alternativo de sujeto del certificado asignado al proxy inverso.Wildcard entries are supported in the subject alternative name field of the certificate assigned to the reverse proxy. Para obtener más información sobre cómo configurar la solicitud de certificado para el proxy inverso, vea solicitar y configurar un certificado para el proxy http inverso en Lync Server 2013.For details about how to configure the certificate request for the reverse proxy, see Request and configure a certificate for your reverse HTTP proxy in Lync Server 2013.