Résumé du certificat - Découverte automatique dans Lync Server 2013
Rubrique Dernière modification : 2013-02-14
Le service de découverte automatique Lync Server 2013 s’exécute sur les serveurs de pool d’administrateurs et frontaux et, lorsqu’il est publié dans DNS, peut être utilisé par les clients Lync pour localiser les services serveur et utilisateur. Si vous effectuez une mise à niveau à partir de Lync Server 2010 et que vous n’avez pas déployé Mobility, avant que les clients puissent utiliser la découverte automatique, vous devez modifier les listes de noms de l’objet du certificat sur n’importe quel serveur d’administration et de serveur frontal exécutant le service de découverte automatique. En outre, il peut être nécessaire de modifier les autres listes de noms d’objet sur les certificats utilisés pour les règles de publication de service web externe sur les proxys inverses.
La décision d’utiliser ou non des listes de noms alternatifs de sujet sur des proxys inverses est basée sur la publication du service de découverte automatique sur le port 80 ou sur le port 443 :
Publié sur le port 80 Aucune modification de certificat n’est requise si la requête initiale du service de découverte automatique se produit sur le port 80. En effet, les appareils mobiles exécutant Lync accèdent au proxy inverse sur le port 80 en externe, puis sont connectés à un serveur principal ou frontal sur le port 8080 en interne. Pour plus d’informations, consultez la section « Processus de découverte automatique initiale à l’aide du port 80 » : conditions techniques requises pour la mobilité dans Lync Server 2013.
Publié sur le port 443 L’autre liste de noms d’objet sur les certificats utilisés par la règle de publication des services web externes doit contenir une découverte lyncdiscover.< entrée sipdomain> pour chaque domaine SIP au sein de votre organisation.
Important
Nous vous recommandons vivement d’utiliser HTTPS sur HTTP. HTTPS utilise des certificats pour chiffrer le trafic. HTTP ne fournit pas de chiffrement et toutes les données envoyées sont du texte brut.
La rééditation des certificats à l’aide d’une autorité de certification interne est généralement un processus simple. Toutefois, pour les certificats publics utilisés sur la règle de publication de service web, l’ajout de plusieurs entrées de nom de remplacement de sujet peut devenir coûteux. Pour contourner ce problème, nous prenons en charge la connexion de découverte automatique initiale sur le port 80, qui est ensuite redirigé vers le port 8080 sur le serveur directeur ou frontal.
Remarque
Si votre infrastructure Lync Server 2013 utilise des certificats internes émis par une autorité de certification interne et que vous envisagez de prendre en charge les appareils mobiles qui se connectent sans fil, soit la chaîne de certificats racine de l’autorité de certification interne doit être installée sur les appareils mobiles, soit vous devez passer à un certificat public sur votre infrastructure Lync Server 2013.
Cette rubrique décrit les autres noms de sujet ajoutés requis pour le directeur, le serveur frontal et le proxy inverse. Seuls les autres noms d’objet ajoutés (SAN) sont référencés. Reportez-vous aux sections de planification pour obtenir des conseils sur les autres entrées sur les certificats. Pour plus d’informations, consultez Scénarios pour le directeur dans Lync Server 2013, Scénarios d’accès des utilisateurs externes dans Lync Server 2013 et Scénarios pour le proxy inverse dans Lync Server 2013.
Les tableaux suivants définissent les entrées SAN de découverte automatique pour le pool de directeurs, le pool frontal et le proxy inverse :
Configuration requise pour les certificats du pool d’administrateurs
| Description | Autre entrée de nom de l’objet |
|---|---|
URL interne du service de découverte automatique |
SAN=lyncdiscoverinternal.< nom de domaine interne> |
URL du service de découverte automatique externe |
SAN=lyncdiscover.< sipdomain> |
Remarque
Vous affectez le certificat nouvellement mis à jour avec la nouvelle entrée SAN au certificat par défaut. Vous pouvez également utiliser SAN=*.< sipdomain>.
Configuration requise pour les certificats de pool frontal
| Description | Autre entrée de nom de l’objet |
|---|---|
URL interne du service de découverte automatique |
SAN=lyncdiscoverinternal.< nom de domaine interne> |
URL du service de découverte automatique externe |
SAN=lyncdiscover.< sipdomain> |
Remarque
Vous affectez le certificat nouvellement mis à jour avec la nouvelle entrée SAN au certificat par défaut. Vous pouvez également utiliser SAN=*.< sipdomain>
Exigences en matière de certificat de proxy inverse (autorité de certification publique)
| Description | Autre entrée de nom de l’objet |
|---|---|
URL du service de découverte automatique externe |
SAN=lyncdiscover.< sipdomain> |
Remarque
Vous affectez le certificat nouvellement mis à jour avec la nouvelle entrée SAN à l’écouteur SSL sur le proxy inverse.