Résumé des certificats - Serveur Edge unique consolidé avec adresses IP privées avec la conversion d’adresses réseau dans Lync Server 2013

  • Article

 

Dernière modification de la rubrique : 22-10-2012

Microsoft Lync Server 2013 utilise des certificats pour authentifier mutuellement d’autres serveurs et chiffrer les données de serveur à serveur et de serveur à client. Les certificats nécessitent une correspondance de nom entre les enregistrements DNS (Domain Name System) associés aux serveurs et le nom de l’objet (SN) et l’autre nom de l’objet (SAN) sur le certificat. Pour mapper correctement les serveurs, les enregistrements DNS et les entrées de certificat, vous devez planifier soigneusement les noms de domaine complets de votre serveur prévu comme étant inscrits dans DNS et les entrées SN et SAN sur le certificat.

Le certificat affecté aux interfaces externes du serveur Edge est demandé à une autorité de certification publique. Les autorités de certification publiques qui ont réussi à fournir des certificats aux fins des communications unifiées sont répertoriées dans l’article suivant : https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395. Lorsque vous demandez le certificat, vous pouvez utiliser la demande de certificat générée par l’Assistant Déploiement de Lync Server ou créer la demande manuellement à l’aide d’applets de commande Lync Server Management Shell ou d’un processus fourni par une autorité de certification publique. Pour plus d’informations sur les applets de commande Lync Server Management Shell pour la gestion des certificats, consultez Applets de commande de certificat et d’authentification dans Lync Server 2013 Lors de l’attribution du certificat, le certificat est affecté à l’interface du service Edge Access, à l’interface du service Edge de conférence web et au service d’authentification audio/vidéo. Le service d’authentification audio/vidéo ne doit pas être confondu avec le service Edge A/V qui n’utilise pas de certificat pour chiffrer les flux audio et vidéo. L’interface de serveur Edge interne peut utiliser un certificat d’une autorité de certification interne (vers votre organization) ou un certificat d’une autorité de certification publique. Le certificat d’interface interne utilise uniquement le SN et n’a pas besoin ou n’utilise pas d’entrées SAN.

Remarque

Le tableau suivant montre une deuxième entrée SIP (sip.fabrikam.com) dans la liste des autres noms de l’objet pour référence. Pour chaque domaine SIP de votre organization, vous devez ajouter un nom de domaine complet correspondant répertorié dans la liste des autres noms de l’objet du certificat.

Certificats requis pour la périphérie consolidée unique avec des adresses IP privées à l’aide de NAT

Composant Nom du sujet (SN) Autres noms d’objet (SAN)/Ordre Commentaires

Edge unique consolidé (périphérie externe)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

Le certificat doit provenir d’une autorité de certification publique et doit avoir la référence EKU serveur et la référence EKU cliente si la connectivité de messagerie instantanée publique avec AOL doit être déployée. Le certificat est affecté aux interfaces Edge externes pour :

  • Serveur Edge d’accès

  • Edge de conférence

  • Edge A/V

Notez que les SAN sont automatiquement ajoutés au certificat en fonction de vos définitions dans le Générateur de topologie. Vous ajoutez des entrées SAN en fonction des besoins pour les domaines SIP supplémentaires et d’autres entrées que vous devez prendre en charge. Le nom de l’objet est répliqué dans le san et doit être présent pour une opération correcte.

Edge unique consolidé (edge interne)

lsedge.contoso.net

Aucun SAN requis

Le certificat peut être émis par une autorité de certification publique ou privée et doit contenir la référence EKU du serveur. Le certificat est affecté à l’interface Edge interne.

Résumé du certificat – Connectivité de messagerie instantanée publique

Composant Nom de l’objet Autres noms d’objet (SAN)/Ordre Commentaires

Périphérie externe/d’accès

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Le certificat doit provenir d’une autorité de certification publique et doit avoir la référence EKU serveur et la référence EKU cliente si la connectivité de messagerie instantanée publique avec AOL doit être déployée. Le certificat est affecté aux interfaces Edge externes pour :

  • Serveur Edge d’accès

  • Edge de conférence

  • Edge A/V

Notez que les SAN sont automatiquement ajoutés au certificat en fonction de vos définitions dans le Générateur de topologie. Vous ajoutez des entrées SAN en fonction des besoins pour les domaines SIP supplémentaires et d’autres entrées que vous devez prendre en charge. Le nom de l’objet est répliqué dans le san et doit être présent pour une opération correcte.

Résumé du certificat pour le protocole de présence et de messagerie extensible

Composant Nom de l’objet Autres noms d’objet (SAN)/Ordre Commentaires

Attribuer au service Edge d’accès du serveur Edge ou du pool Edge

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

Les trois premières entrées SAN sont les entrées SAN normales pour un serveur Edge complet. Le contoso.com est l’entrée requise pour la fédération avec le partenaire XMPP au niveau du domaine racine. Cette entrée autorise XMPP pour tous les domaines avec le suffixe *.contoso.com.