Lync Server 2013 における外部ユーザー アクセスに対する証明書要件
トピック最終更新日時: 2016-03-29
Microsoft Lync Server 2013 通信ソフトウェアでは、アクセスおよび Web 会議エッジ外部インターフェイスに加えて、A/V 認証サービスに対して 1 つのパブリック証明書を使用できます。 通常、Edge 内部インターフェイスは内部証明機関 (CA) によって発行されたプライベート証明書を使用しますが、信頼されたパブリック CA からの証明書である場合は、パブリック証明書を使用することもできます。 展開内のリバース プロキシは、パブリック証明書を使用し、HTTP (つまり、トランスポート層セキュリティ over HTTP) を使用して、リバース プロキシからクライアントへの通信と内部サーバーへのリバース プロキシの通信を暗号化します。
アクセスと Web 会議エッジ外部インターフェイス、および A/V 認証サービスに使用されるパブリック証明書の要件を次に示します。
証明書は、サブジェクトの別名をサポートする承認済みのパブリック CA によって発行される必要があります。 詳細については、Microsoft サポート技術情報の記事「Exchange Serverおよび通信サーバー用のユニファイド コミュニケーション証明書パートナー」https://go.microsoft.com/fwlink/p/?linkId=202834929395を参照してください。
証明書をエッジ プールで使用する場合は、エッジ プール内の各エッジ サーバーで使用されるのと同じ証明書を使用して、エクスポート可能として作成する必要があります。 エクスポート可能な秘密キーの要件は、A/V 認証サービスを目的としており、プール内のすべてのエッジ サーバーで同じ秘密キーを使用する必要があります。
オーディオ/ビデオ サービスのアップタイムを最大化する場合は、分離された A/V Edge サービス証明書 (つまり、他の外部エッジ証明書の目的とは別の A/V Edge サービス証明書) を実装するための証明書要件を確認します。 詳細については、「 Lync Server の計画に影響する Lync Server 2013 の変更」、Lync Server 2013でのエッジ サーバー証明書の計画、Lync Server 2013のステージング AV 証明書と OAuth 証明書の使用 -Roll in Set-CsCertificate に関するページを参照してください。
証明書のサブジェクト名は、Access Edge サービスの外部インターフェイス完全修飾ドメイン名 (FQDN) またはハードウェア ロード バランサー VIP (access.contoso.com など) です。 ). サブジェクト名にはワイルドカード文字を使用できません。明示的な名前にする必要があります。
注意
Lync Server 2013 の場合、これは要件ではなくなりましたが、Office Communications Server との互換性を確保するために推奨されます。
サブジェクトの別名の一覧には、次の FQDN が含まれています。
Access Edge サービスの外部インターフェイスまたはハードウェア ロード バランサー VIP (sip.contoso.com など)。
注意
証明書のサブジェクト名がアクセス エッジ FQDN と等しい場合でも、トランスポート層セキュリティ (TLS) はサブジェクト名を無視し、検証にサブジェクト代替名エントリを使用するため、サブジェクトの別名にもアクセス エッジ FQDN が含まれている必要があります。
Web 会議 Edge 外部インターフェイスまたはハードウェア ロード バランサー VIP (webcon.contoso.com など)。
クライアント自動構成またはフェデレーションを使用している場合は、社内で使用されるすべての SIP ドメイン FQDN (sip.contoso.com、sip.fabrikam.com など) も含めます。
A/V Edge サービスでは、サブジェクト名またはサブジェクトの別名エントリは使用されません。
注意
サブジェクトの別名リスト内の FQDN の順序は重要ではありません。
複数の負荷分散されたエッジ サーバーをサイトに展開する場合、各エッジ サーバーにインストールされている A/V 認証サービス証明書は、同じ CA の証明書であり、同じ秘密キーを使用する必要があります。 証明書の秘密キーは、1 つのエッジ サーバーまたは多数のエッジ サーバーで使用されているかどうかにかかわらず、エクスポート可能である必要があることに注意してください。 また、Edge Server 以外のコンピューターに証明書を要求する場合も、エクスポート可能である必要があります。 A/V 認証サービスではサブジェクト名またはサブジェクトの別名は使用されないため、アクセス エッジと Web 会議エッジのサブジェクト名とサブジェクトの別名の要件が満たされ、証明書の秘密キーがエクスポート可能な限り、アクセス エッジ証明書を再利用できます。
Edge 内部インターフェイスに使用されるプライベート (またはパブリック) 証明書の要件は次のとおりです。
証明書は、内部 CA または承認済みのパブリック証明書 CA によって発行できます。
証明書のサブジェクト名は、通常、Edge 内部インターフェイス FQDN またはハードウェア ロード バランサー VIP (lsedge.contoso.com など) です。 ただし、Edge 内部ではワイルドカード証明書を使用できます。
サブジェクトの別名リストは必要ありません。
デプロイ サービスのリバース プロキシでは、次のことが要求されます。
会議の会議コンテンツへの外部ユーザー アクセス
配布グループのメンバーを展開して表示するための外部ユーザー アクセス
アドレス帳サービスからダウンロード可能なファイルへの外部ユーザー アクセス
Lync Web App クライアントへの外部ユーザー アクセス
ダイヤルイン会議の設定 Web ページへの外部ユーザー アクセス
位置情報サービスへの外部ユーザー アクセス
デバイス更新サービスへの外部デバイス アクセスと更新プログラムの取得
リバース プロキシは、内部サーバー Web コンポーネント URL を公開します。 Web コンポーネント URL は、トポロジ ビルダーの 外部 Web サービス として、ディレクター、フロント エンド サーバー、またはフロントエンド プールで定義されます。
ワイルドカード エントリは、リバース プロキシに割り当てられた証明書のサブジェクト代替名フィールドでサポートされています。 リバース プロキシの証明書要求を構成する方法の詳細については、「 Lync Server 2013 でリバース HTTP プロキシの証明書を要求して構成する」を参照してください。