証明書の概要 - Lync Server 2013 内の NAT を使用したプライベート IP アドレスを持つ単一統合エッジ

[アーティクル]
07/23/2014

トピック最終更新日: 2012-10-22

Microsoft Lync Server 2013 では、証明書を使用して他のサーバーを相互に認証し、サーバーからサーバー、サーバーからクライアントにデータを暗号化します。証明書には、サーバーに関連付けられているドメインネームシステム (DNS) レコードの名前照合と、証明書のサブジェクト名 (SN) とサブジェクトの別名 (SAN) が必要です。サーバー、DNS レコード、証明書エントリを正常にマップするには、DNS に登録されている目的のサーバー完全修飾ドメイン名と、証明書の SN エントリと SAN エントリを慎重に計画する必要があります。

エッジサーバーの外部インターフェイスに割り当てられた証明書は、パブリック証明機関 (CA) から要求されます。ユニファイドコミュニケーションの目的で証明書を提供することに成功したことを示すパブリック CA は、次の記事 https://go.microsoft.com/fwlink/p/?linkid=3052&に記載されています。kbid=929395。証明書を要求するときは、Lync Server 展開ウィザードによって生成された証明書要求を使用するか、Lync Server Management Shell コマンドレットまたはパブリック CA によって提供されるプロセスを使用して、手動で要求を作成できます。証明書管理用の Lync Server 管理シェルコマンドレットの詳細については、「 Lync Server 2013 の証明書と認証コマンドレット」を参照してください。証明書を割り当てると、証明書は Access Edge サービスインターフェイス、Web 会議エッジサービスインターフェイス、およびオーディオ/ビデオ認証サービスに割り当てられます。オーディオ/ビデオ認証サービスは、オーディオおよびビデオストリームの暗号化に証明書を使用しない A/V Edge サービスと混同しないでください。内部エッジサーバーインターフェイスでは、内部 (organization) CA からの証明書、またはパブリック CA からの証明書を使用できます。内部インターフェイス証明書では SN のみが使用され、SAN エントリは必要ありません。

注意

次の表は、参照用のサブジェクトの別名リスト内の 2 つ目の SIP エントリ (sip.fabrikam.com) を示しています。 organization内の SIP ドメインごとに、証明書サブジェクトの別名リストに一覧表示されている対応する FQDN を追加する必要があります。

NAT を使用するプライベート IP アドレスを持つ単一統合エッジに必要な証明書

コンポーネント	サブジェクト名 (SN)	サブジェクトの別名 (SAN)/Order	注釈
単一統合エッジ (外部エッジ)	sip.contoso.com	webcon.contoso.com sip.contoso.com sip.fabrikam.com	証明書はパブリック CA からのものであり、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU とクライアント EKU が必要です。証明書は、次の目的で外部 Edge インターフェイスに割り当てられます。アクセスエッジ会議エッジ音声ビデオエッジ SAN は、トポロジビルダーの定義に基づいて証明書に自動的に追加されることに注意してください。サポートする必要がある追加の SIP ドメインやその他のエントリに必要に応じて SAN エントリを追加します。サブジェクト名は SAN にレプリケートされ、正しい操作のために存在する必要があります。
単一統合エッジ (内部エッジ)	lsedge.contoso.net	SAN は必要ありません	証明書はパブリック CA またはプライベート CA によって発行でき、サーバー EKU が含まれている必要があります。証明書は内部 Edge インターフェイスに割り当てられます。

単一統合エッジ (外部エッジ)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

証明書はパブリック CA からのものであり、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU とクライアント EKU が必要です。証明書は、次の目的で外部 Edge インターフェイスに割り当てられます。

アクセスエッジ
会議エッジ
音声ビデオエッジ

SAN は、トポロジビルダーの定義に基づいて証明書に自動的に追加されることに注意してください。サポートする必要がある追加の SIP ドメインやその他のエントリに必要に応じて SAN エントリを追加します。サブジェクト名は SAN にレプリケートされ、正しい操作のために存在する必要があります。

単一統合エッジ (内部エッジ)

lsedge.contoso.net

SAN は必要ありません

証明書はパブリック CA またはプライベート CA によって発行でき、サーバー EKU が含まれている必要があります。証明書は内部 Edge インターフェイスに割り当てられます。

証明書の概要 – パブリックインスタントメッセージング接続

コンポーネント	サブジェクト名	サブジェクトの別名 (SAN)/Order	注釈
外部/アクセスエッジ	sip.contoso.com	sip.contoso.com webcon.contoso.com sip.fabrikam.com	証明書はパブリック CA からのものであり、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU とクライアント EKU が必要です。証明書は、次の目的で外部 Edge インターフェイスに割り当てられます。アクセスエッジ会議エッジ音声ビデオエッジ SAN は、トポロジビルダーの定義に基づいて証明書に自動的に追加されることに注意してください。サポートする必要がある追加の SIP ドメインやその他のエントリに必要に応じて SAN エントリを追加します。サブジェクト名は SAN にレプリケートされ、正しい操作のために存在する必要があります。

外部/アクセスエッジ

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

アクセスエッジ
会議エッジ
音声ビデオエッジ

拡張可能メッセージングとプレゼンスプロトコルの証明書の概要

コンポーネント	サブジェクト名	サブジェクトの別名 (SAN)/Order	注釈
エッジサーバーまたはエッジプールの Access Edge サービスに割り当てる	sip.contoso.com	webcon.contoso.com sip.contoso.com sip.fabrikam.com xmpp.contoso.com *.contoso.com	最初の 3 つの SAN エントリは、完全なエッジサーバーの通常の SAN エントリです。 contoso.com は、ルートドメインレベルの XMPP パートナーとのフェデレーションに必要なエントリです。このエントリでは、サフィックス *.contoso.com を持つすべてのドメインに XMPP を許可します。

エッジサーバーまたはエッジプールの Access Edge サービスに割り当てる

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

最初の 3 つの SAN エントリは、完全なエッジサーバーの通常の SAN エントリです。 contoso.com は、ルートドメインレベルの XMPP パートナーとのフェデレーションに必要なエントリです。このエントリでは、サフィックス *.contoso.com を持つすべてのドメインに XMPP を許可します。

証明書の概要 - Lync Server 2013 内の NAT を使用したプライベート IP アドレスを持つ単一統合エッジ

NAT を使用するプライベート IP アドレスを持つ単一統合エッジに必要な証明書

証明書の概要 – パブリック インスタント メッセージング接続

拡張可能メッセージングとプレゼンス プロトコルの証明書の概要

その他のリソース

証明書の概要 – パブリックインスタントメッセージング接続

拡張可能メッセージングとプレゼンスプロトコルの証明書の概要