Resumen de certificado - Perímetro consolidado de equipo único con direcciones IP públicas en Lync Server 2013

  • Artículo

 

Última modificación del tema: 2012-09-08

Microsoft Lync Server 2013 usa certificados para autenticar mutuamente otros servidores y cifrar datos de servidor a servidor y servidor a cliente. Los certificados requieren la coincidencia de nombres de los registros del sistema de nombres de dominio (DNS) asociados con los servidores y el nombre del asunto (SN) y el nombre alternativo del asunto (SAN) del certificado. Para asignar correctamente servidores, registros DNS y entradas de certificado, debe planear cuidadosamente los nombres de dominio completos del servidor previsto como registrados en DNS y las entradas de SN y SAN en el certificado.

El certificado asignado a las interfaces externas del servidor perimetral se solicita a una entidad de certificación pública (CA). Los CA públicos que han demostrado éxito en el suministro de certificados a efectos de las comunicaciones unificadas se enumeran en el artículo siguiente: https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395 Al solicitar el certificado, puede usar la solicitud de certificado generada por el Asistente para la implementación de Lync Server o crearla manualmente o mediante un proceso proporcionado por la CA pública. Al asignar el certificado, el certificado se asigna a la interfaz de servicio perimetral de acceso, la interfaz de servicio perimetral de conferencia web y el servicio de autenticación de audio y vídeo. No se debe confundir el servicio de autenticación de audio/vídeo con el servicio perimetral de A/V, que no usa un certificado para cifrar las secuencias de audio y vídeo. La interfaz del servidor perimetral interno puede usar un certificado de una CA interna (para su organización) o un certificado de una CA pública. El certificado de interfaz interna utiliza solamente el SN y no necesita o utiliza entradas SAN.

Nota

La tabla siguiente muestra una segunda entrada SIP (sip.fabrikam.com) en la lista de nombres alternativos del asunto para la referencia. Para cada dominio SIP de su organización, debe agregar un FQDN correspondiente enumerado en la lista de nombres alternativos del asunto del certificado.

Certificados necesarios para un único perímetro consolidado con direcciones IP públicas

Componente Nombre de sujeto Nombres alternativos de asunto (SAN)/pedido Comentarios

Borde consolidado único (borde externo)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

El certificado debe ser de una CA pública y debe tener el EKU del servidor y el EKU del cliente si se va a implementar la conectividad de mensajería instantánea pública con AOL. El certificado se asigna a las interfaces externas de Edge para:

  • Perímetro de acceso

  • Perímetro de conferencia

  • Servidor perimetral A/V

Tenga en cuenta que los SAN se agregan automáticamente al certificado en función de sus definiciones en el Generador de topologías. Agregue entradas SAN según sea necesario para dominios SIP adicionales y otras entradas que necesite admitir. El nombre del asunto se replica en el SAN y debe estar presente para una operación correcta.

Borde consolidado único (Borde interno)

lsedge.contoso.net

No se requiere SAN

El certificado puede ser emitido por una CA pública o privada, y debe contener el EKU del servidor. El certificado se asigna a la interfaz interna de Edge.

Resumen de certificados: conectividad de mensajería instantánea pública

Componente Nombre del asunto Nombres alternativos de asunto (SAN)/pedido Comentarios

Edge externo/de acceso

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

El certificado debe ser de una CA pública y debe tener el EKU del servidor y el EKU del cliente si se va a implementar la conectividad de mensajería instantánea pública con AOL. El certificado se asigna a las interfaces externas de Edge para:

  • Perímetro de acceso

  • Perímetro de conferencia

  • Servidor perimetral A/V

Tenga en cuenta que los SAN se agregan automáticamente al certificado en función de sus definiciones en el Generador de topologías. Agregue entradas SAN según sea necesario para dominios SIP adicionales y otras entradas que necesite admitir. El nombre del asunto se replica en el SAN y debe estar presente para una operación correcta.

Resumen de certificados para protocolo extensible de mensajería y presencia

Componente Nombre del asunto Nombres alternativos de asunto (SAN)/pedido Comentarios

Asignar a servicio perimetral de acceso del servidor perimetral o grupo de servidores perimetrales

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

Las tres primeras entradas de SAN son las entradas normales de SAN para un servidor perimetral completo. El contoso.com es la entrada necesaria para la federación con el partner XMPP en el nivel de dominio raíz. Esta entrada permitirá XMPP para todos los dominios con el sufijo *.contoso.com.