Architettura di riferimento 3: riepilogo dei certificati per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware)
Ultima modifica dell'argomento: 2012-08-08
Prima di procedere, eseguire il mapping delle voci contenute nella tabella con i nomi FQDN/indirizzi IP illustrati nella figura della topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware) in Architettura di riferimento 3: topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware) in modo che le relazioni siano chiare. Esaminando ad esempio la tabella dei certificati necessari per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware), si noti che non è assegnato alcun certificato all'interfaccia esterna A/V Edge (av.contoso.com), ma è presente un certificato correlato ad A/V (avauth.contoso.net) assegnato al servizio di autenticazione multimediale.
I certificati elencati nella tabella dei certificati necessari per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware) sono necessari per supportare la topologia perimetrale illustrata nella figura della topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware). Vengono mostrati tre certificati per il server proxy inverso per evidenziare i requisiti relativi ai certificati per URL semplici dedicati, ad esempio https://dial-in.contoso.com. Per distribuzioni con un singolo pool o in cui più pool condividono gli stessi URL semplici di conferenza telefonica con accesso esterno o riunione, è possibile creare una singola regola di pubblicazione e il certificato corrispondente. Gli URL definiti in Generatore di topologie, ad esempio cs.contoso.com/dialin e cs.contoso.com/meet, possono condividere una singola regola di pubblicazione e un certificato con il nome soggetto cs.contoso.com. Per informazioni dettagliate, vedere Opzioni di URL semplici.
Nota
Nella tabella dei certificati necessari per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware) viene illustrata una seconda voce SIP nell'elenco dei nomi alternativi soggetto come riferimento. Per ogni dominio SIP presente nell'organizzazione, è necessario che nell'elenco dei nomi alternativi soggetto dei certificati sia incluso un FQDN corrispondente.
.gif "important") Importante: |
|---|
| Il certificato pubblico utilizzato nelle interfacce perimetrali deve essere creato come "esportabile" e lo stesso certificato deve essere assegnato a ogni server perimetrale nel pool. |
Certificati necessari per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware)
| Componente | Nome soggetto | Ordine/voci nome soggetto alternativo | Autorità di certificazione (CA) | Utilizzo chiavi avanzato (EKU) | Commenti |
|---|---|---|---|---|---|
Server perimetrale consolidato con scalabilità implementata |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
Pubblica |
Server* |
Assegnare ai ruoli del server perimetrale seguenti in ogni server nel pool di server perimetrali: Interfaccia esterna: Access Edge SIP Web Conferencing Edge A/V Edge |
Server perimetrale consolidato con scalabilità implementata |
lsedge.contoso.net |
Non applicabile |
Privata |
Server |
Assegnare al ruolo del server perimetrale seguente: Internal Interface: Edge |
Reverse proxy |
lsweb-ext.contoso.com |
lsweb-ext.contoso.com dialin.contoso.com meet.contoso.com lyncdiscover.contoso.com lyncdiscover.fabrikam.com (Optional approach using wildcard certificate): *.contoso.com *.fabrikam.com |
Public |
Server |
Address Book Service, distribution group expansion, and Lync IP device publishing rules. Subject alternative name includes: External Web Services FQDN Dial-in conferencing Online meeting publishing rule Mobility The wildcard replaces both meet and dialin SAN |
Next hop pool (on Front End 01) |
pool01.contoso.net (on Front End 01) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com meet.contoso.com fe01.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Optional approach using wildcard certificate): *.contoso.com *.fabrikam.com |
Private |
Server |
Assign to the following servers and roles in the next hop pool: Front End 01 in Pool01 The wildcard replaces admin, meet and dialin SAN |
Next hop pool (on Front End 02) |
pool01.contoso.net (on Front End 02) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com fe02.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Optional approach using wildcard certificate): *.contoso.com *.fabrikam.com |
Private |
Server |
Assign to the following servers and roles in the next hop pool: Front End 02 in Pool01 The wildcard replaces admin, meet and dialin SAN |
* Client EKU is required if public internet connectivity with AOL is enabled.