Resumen de certificado-perímetro consolidado de un solo consolidado con direcciones IP privadas mediante NAT en Lync Server 2013Certificate summary - Single consolidated edge with private IP addresses using NAT in Lync Server 2013

 

Última modificación del tema: 2012-10-22Topic Last Modified: 2012-10-22

Microsoft Lync Server 2013 usa certificados para autenticar mutuamente otros servidores y cifrar los datos del servidor al servidor y del servidor al cliente.Microsoft Lync Server 2013 uses certificates to mutually authenticate other servers and to encrypt data from server to server and server to client. Los certificados requieren que el nombre coincida con los registros del sistema de nombre de dominio (DNS) asociados con los servidores, el nombre de sujeto (SN) y el nombre alternativo del sujeto (SAN) en el certificado.Certificates require name matching of the domain name system (DNS) records associated with the servers and the subject name (SN) and subject alternative name (SAN) on the certificate. Para asignar servidores, registros de DNS y entradas de certificado correctamente, debe planificar con atención los nombres de dominio completo creados para el servidor tal como se registraron en las entradas de DNS, SN y SAN en el certificado.To successfully map servers, DNS records and certificate entries, you must carefully plan your intended server fully qualified domain names as registered in DNS and the SN and SAN entries on the certificate.

El certificado asignado a las interfaces externas del servidor perimetral se solicita desde una entidad de certificación (CA) pública.The certificate assigned to the external interfaces of the Edge Server is requested from a public certification authority (CA). En el siguiente artículo se enumeran las entidades de certificación públicas que han demostrado su éxito en el suministro de certificados para las comunicaciones unificadas: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 .Public CAs that have demonstrated success in supplying certificates for the purposes of Unified Communications are listed in the following article: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395. Al solicitar el certificado, puede usar la solicitud de certificado generada por el Asistente para la implementación de Lync Server o bien crear la solicitud manualmente con los cmdlets del shell de administración de Lync Server o mediante un proceso proporcionado por una CA pública.When requesting the certificate, you can use the certificate request generated by the Lync Server Deployment Wizard or create the request manually using Lync Server Management Shell cmdlets or by a process provided by a public CA. Para obtener más información sobre los cmdlets del shell de administración de Lync Server para la administración de certificados, consulte cmdlets de certificados y autenticación en Lync Server 2013 al asignar el certificado, el certificado se asigna a la interfaz del servicio perimetral de acceso, la interfaz del servicio perimetral de conferencia web y el servicio de autenticación de audio y vídeo.For details on Lync Server Management Shell cmdlets for certificate management, see Certificate and authentication cmdlets in Lync Server 2013 When assigning the certificate, the certificate is assigned to the Access Edge service interface, the Web Conferencing Edge service interface, and the Audio/Video Authentication service. El servicio de autenticación de audio y vídeo no debe confundirse con el servicio perimetral a/V, que no usa un certificado para cifrar las secuencias de audio y vídeo.The Audio/Video Authentication service should not be confused with the A/V Edge service which does not use a certificate to encrypt the audio and video streams. La interfaz del servidor perimetral interno puede usar un certificado de una entidad de certificación interna (para su organización) o un certificado de una entidad de certificación pública.The internal Edge Server interface can use a certificate from an internal (to your organization) CA or a certificate from a public CA. El certificado de la interfaz interna solamente usa el SN y no necesita ni utiliza entradas de SAN.The internal interface certificate uses only the SN and does not need or use SAN entries.

Nota

En la tabla siguiente se muestra una segunda entrada SIP en la lista de nombres alternativos de sujeto a modo de referencia. Para cada dominio SIP de la organización, es necesario que aparezca un FQDN correspondiente en la lista de nombres alternativos de sujeto del certificado.The following table shows a second SIP entry (sip.fabrikam.com) in the subject alternative name list for reference. For each SIP domain in your organization, you need to add a corresponding FQDN listed in the certificate subject alternative name list.

Certificados requeridos para la topología perimetral consolidada de un solo equipoCertificates Required for Single Consolidated Edge with Private IP Addresses using NAT

ComponenteComponent Nombre del sujetoSubject name (SN) Nombres alternativos del sujeto (SAN)/pedidoSubject alternative names (SAN)/Order ComentariosComments

Perímetro consolidado de un solo equipo (Perímetro externo)Single consolidated Edge (External Edge)

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

El certificado debe ser de una CA pública y debe tener el servidor EKU y cliente EKU si va a implementarse conectividad de MI pública con AOL. El certificado se asigna a las interfaces perimetrales externas para:Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • Servidor perimetral de accesoAccess Edge

  • Servidor perimetral de conferenciaConferencing Edge

  • Servidor perimetral A/VA/V Edge

Tenga en cuenta que las SAN automáticamente se agregan al certificado según las definiciones en el Generador de topologías. Agregue las entradas de la SAN según sea necesario para los dominios SIP adicionales y las otras entradas que necesita admitir. El nombre de sujeto se replica en la SAN y debe estar presente para funcionar correctamente.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

Perímetro consolidado de un solo equipo (Perímetro interno)Single consolidated Edge (Internal Edge)

lsedge.contoso.netlsedge.contoso.net

No se requiere SANNo SAN required

Una CA pública o privada puede otorgar un certificado que debe contener el servidor EKU. El certificado se asigna a la interfaz de perímetros internos.Certificate can be issued by a public or private CA, and must contain the server EKU. The certificate is assigned to the internal Edge interface.

Resumen del certificado: conectividad de mensajería instantánea públicaCertificate Summary – Public Instant Messaging Connectivity

ComponenteComponent Nombre de sujetoSubject name Nombres alternativos del sujeto (SAN)/ordenSubject alternative names (SAN)/Order ComentariosComments

Servidor perimetral de acceso/externoExternal/Access Edge

sip.contoso.comsip.contoso.com

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.fabrikam.comsip.fabrikam.com

El certificado debe ser de una CA pública y debe tener el servidor EKU y cliente EKU si va a implementarse conectividad de MI pública con AOL. El certificado se asigna a las interfaces perimetrales externas para:Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • Servidor perimetral de accesoAccess Edge

  • Servidor perimetral de conferenciaConferencing Edge

  • Servidor perimetral A/VA/V Edge

Tenga en cuenta que las SAN se agregan automáticamente al certificado basado en las definiciones del Generador de topologías. Agregue entradas SAN según sea necesario para dominios adicionales de SIP y otras entradas que necesite admitir. El nombre del sujeto se replica en la SAN y debe estar presente para el correcto funcionamiento.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

Resumen de certificado para el Protoloco extensible de mensajería y presenciaCertificate Summary for Extensible Messaging and Presence Protocol

ComponenteComponent Nombre de sujetoSubject name Nombres alternativos del sujeto (SAN)/ordenSubject alternative names (SAN)/Order ComentariosComments

Asignar a servicio perimetral de acceso del servidor perimetral o grupo de servidores perimetralesAssign to Access Edge service of Edge Server or Edge pool

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

xmpp.contoso.comxmpp.contoso.com

\*. contoso.com\*.contoso.com

Las tres primeras entradas de SAN son las entradas normales de SAN para un servidor perimetral completo.The first three SAN entries are the normal SAN entries for a full Edge Server. La entrada contoso.com es necesaria para la federación con el socio XMPP en el nivel raíz del dominio.The contoso.com is the entry required for federation with the XMPP partner at the root domain level. Esta entrada permitirá XMPP en todos los dominios con el sufijo \*.contoso.com.This entry will allow XMPP for all domains with the suffix \*.contoso.com.