Exigences de certificat pour les serveurs internes dans Lync Server 2013

  • Article

 

Rubrique Dernière modification : 2017-02-17

Les serveurs internes qui exécutent Lync Server et qui nécessitent des certificats incluent le serveur Standard Edition, Êdition Entreprise serveur frontal, le serveur de médiation et le directeur. Le tableau suivant présente les exigences de certificat pour ces serveurs. Vous pouvez utiliser l’Assistant Certificat Lync Server pour demander ces certificats.

Pointe

Les certificats génériques sont pris en charge pour les autres noms d’objet associés aux URL simples sur le pool frontal, le serveur frontal ou le directeur. Pour plus d’informations sur la prise en charge des certificats génériques, consultez la prise en charge des certificats génériques dans Lync Server 2013.

Bien qu’une autorité de certification d’entreprise interne soit recommandée pour les serveurs internes, vous pouvez également utiliser une autorité de certification publique. Pour obtenir la liste des autorités de certification publiques qui fournissent des certificats conformes à des exigences spécifiques pour les certificats de communications unifiées (UC) et qui ont conclu un partenariat avec Microsoft pour s’assurer qu’elles fonctionnent avec l’Assistant Certificat Lync Server, consultez l’article Microsoft Knowledge Base 929395, « Unified Communications Certificate Partners for Exchange Server and for Communications Server », à l’adresse https://go.microsoft.com/fwlink/p/?linkId=202834.

La communication avec d’autres applications et serveurs, comme Exchange 2013, nécessite un certificat pris en charge par les autres applications et produits. Pour la version 2013, Lync Server 2013 et d’autres produits serveur Microsoft, notamment Exchange 2013 et SharePoint Server, prennent en charge le protocole OAuth (Open Authorization) pour l’authentification et l’autorisation de serveur à serveur. Pour plus d’informations, consultez La gestion de l’authentification de serveur à serveur (OAuth) et des applications partenaires dans Lync Server 2013 dans la documentation sur le déploiement ou les opérations.

Pour les connexions à partir de clients exécutant le système d’exploitation Windows 7, le système d’exploitation Windows Server 2008, le système d’exploitation Windows Server 2008 R2, le système d’exploitation Windows Vista et Microsoft Lync Phone Edition, Lync Server 2013 inclut la prise en charge des certificats signés à l’aide de la fonction de hachage de chiffrement SHA-256. Pour prendre en charge l’accès externe à l’aide de SHA-256, le certificat externe est émis par une autorité de certification publique à l’aide de SHA-256.

Les tableaux suivants montrent les exigences de certificat par rôle serveur pour les pools frontaux et les serveurs Standard Edition. Il s’agit tous de certificats de serveur web standard, de clé privée, non exportables.

Notez que l’utilisation améliorée de la clé serveur (EKU) est automatiquement configurée lorsque vous utilisez l’Assistant Certificat pour demander des certificats.

Remarque

Chaque nom convivial de certificat doit être unique dans le magasin d’ordinateurs.

Remarque

Si vous avez configuré sipinternal.contoso.com ou sipexternal.contoso.com dans votre DNS, vous devez les ajouter dans l’autre nom de l’objet du certificat.

Certificats pour le serveur Standard Edition

Certificat Nom de l’objet/ Nom commun Autre nom du sujet Exemple Commentaires

Par défaut

Nom de domaine complet (FQDN) du pool

Nom de domaine complet du pool et nom de domaine complet du serveur

Si vous disposez de plusieurs domaines SIP et avez activé la configuration automatique des clients, l’Assistant Certificat détecte et ajoute le nom complet de chaque domaine SIP pris en charge.

Si ce pool est le serveur d’ouverture de session automatique pour les clients et si la correspondance DNS (Domain Name System) stricte est requise dans la stratégie de groupe, vous avez également besoin d’entrées pour sip.sipdomain (pour chacun des domaines SIP dont vous disposez).

SN=se01.contoso.com; SAN=se01.contoso.com

Si ce pool est le serveur d’ouverture de session automatique pour les clients et si la correspondance DNS stricte est requise dans la stratégie de groupe, SAN=sip.contoso.com et SAN=sip.fabrikam.com sont également nécessaires.

Sur le serveur Standard Edition, le nom de domaine complet du serveur est le même que le nom de domaine complet du pool.

L’Assistant détecte les domaines SIP indiqués lors de l’installation et les ajoute automatiquement à l’autre nom du sujet.

Vous pouvez aussi utiliser ce certificat pour l’authentification de serveur à serveur.

Web interne

Nom de domaine complet du serveur

Pour chaque élément suivant :

  • Nom de domaine complet web interne (qui est le même que celui du serveur)

  • URL simples Meet

  • URL simple Dial-in

  • URL simple Admin

  • Ou une entrée générique pour les URL simples

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Utilisation d’un certificat de caractère générique :

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

Vous ne pouvez pas remplacer le nom de domaine complet web interne dans le Générateur de topologie.

Si vous avez plusieurs URL simples Meet, vous devez les inclure toutes en tant que noms de sujet alternatifs.

Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples.

Web externe

Nom de domaine complet du serveur

Pour chaque élément suivant :

  • Nom de domaine complet web externe

  • URL simple Dial-in

  • URL simples de réunion par domaine SIP

  • Ou une entrée générique pour les URL simples

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Utilisation d’un certificat de caractère générique :

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Si vous avez plusieurs URL simples Meet, vous devez les inclure toutes en tant que noms de sujet alternatifs.

Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples.

Certificats pour le serveur frontal dans un pool frontal

Certificat Nom de l’objet/ Nom commun Autre nom du sujet Exemple Commentaires

Par défaut

Nom de domaine complet du pool

Nom de domaine complet du pool et nom de domaine complet du serveur.

Si vous disposez de plusieurs domaines SIP et avez activé la configuration automatique des clients, l’Assistant Certificat détecte et ajoute le nom complet de chaque domaine SIP pris en charge.

Si ce pool est le serveur d’ouverture de session automatique pour les clients et que des correspondances DNS strictes sont requises dans la stratégie de groupe, vous avez également besoin d’entrées pour sip.sipdomain (pour chaque domaine SIP dont vous disposez).

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

Si ce pool est le serveur d’ouverture de session automatique pour les clients et si la correspondance DNS stricte est requise dans la stratégie de groupe, SAN=sip.contoso.com et SAN=sip.fabrikam.com sont également nécessaires.

L’Assistant détecte les domaines SIP indiqués lors de l’installation et les ajoute automatiquement à l’autre nom du sujet.

Vous pouvez aussi utiliser ce certificat pour l’authentification de serveur à serveur.

Web Interne

Nom de domaine complet du pool

Pour chaque élément suivant :

  • Nom de domaine complet web interne (qui N’EST PAS le même que celui du serveur)

  • Nom de domaine complet du serveur

  • Nom de domaine complet du pool Lync

  • URL simples Meet

  • URL simple Dial-in

  • URL simple Admin

  • Ou une entrée générique pour les URL simples

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Utilisation d’un certificat de caractère générique :

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

Si vous avez plusieurs URL simples Meet, vous devez les inclure toutes en tant que noms de sujet alternatifs.

Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples.

Web externe

Nom de domaine complet du pool

Pour chaque élément suivant :

  • Nom de domaine complet web externe

  • URL simple Dial-in

  • URL simple Admin

  • Ou une entrée générique pour les URL simples

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Utilisation d’un certificat de caractère générique :

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Si vous avez plusieurs URL simples Meet, vous devez les inclure toutes en tant que noms de sujet alternatifs.

Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples.

Certificats pour le directeur

Certificat Nom de l’objet/ Nom commun Autre nom du sujet Exemple

Par défaut

Nom de domaine complet du pool d’administrateurs

Nom de domaine complet du directeur, nom de domaine complet du pool d’administrateurs

Si ce pool est le serveur d’ouverture de session automatique pour les clients et que des correspondances DNS strictes sont requises dans la stratégie de groupe, vous avez également besoin d’entrées pour sip.sipdomain (pour chaque domaine SIP dont vous disposez).

SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com

Si ce pool d’administrateurs est le serveur d’ouverture de session automatique pour les clients et que des correspondances DNS strictes sont requises dans la stratégie de groupe, vous avez également besoin de SAN=sip.contoso.com ; SAN=sip.fabrikam.com

Web Interne

Nom de domaine complet du serveur

Pour chaque élément suivant :

  • Nom de domaine complet web interne (qui est le même que celui du serveur)

  • Nom de domaine complet du serveur

  • Nom de domaine complet du pool Lync

  • URL simples Meet

  • URL simple Dial-in

  • URL simple Admin

  • Ou une entrée générique pour les URL simples

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Web externe

Nom de domaine complet du serveur

Pour chaque élément suivant :

  • Nom de domaine complet web externe

  • URL simple Dial-in

  • URL simple Admin

  • Ou une entrée générique pour les URL simples

Le nom de domaine complet du site web externe Director doit être différent du pool frontal ou du serveur frontal.

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Si vous disposez d’un pool de serveurs de médiation autonome, les serveurs de médiation qu’il contient ont chacun besoin des certificats répertoriés dans le tableau suivant. Si vous colocalisez le serveur de médiation avec les serveurs frontaux, les certificats répertoriés dans la table « Certificats pour le serveur frontal dans le pool frontal » plus haut dans cette rubrique sont suffisants.

Certificats pour le serveur de médiation autonome

Certificat Nom de l’objet/ Nom commun Autre nom du sujet Exemple

Par défaut

Nom de domaine complet du pool

Nom de domaine complet du pool

Nom de domaine complet du serveur membre du pool

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Certificats pour Survivable Branch Appliance

Certificat Nom de l’objet/ Nom commun Autre nom du sujet Exemple

Par défaut

Nom de domaine complet de l’appareil

SIP.< sipdomain> (besoin d’une entrée par domaine SIP)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com