証明書の概要-Lync Server 2013 で NAT を使用するプライベート IP アドレスを持つ単一統合エッジCertificate summary - Single consolidated edge with private IP addresses using NAT in Lync Server 2013

 

トピックの最終更新日: 2012-10-22Topic Last Modified: 2012-10-22

Microsoft Lync Server 2013 は、証明書を使用して、他のサーバーを相互に認証し、サーバーからサーバーおよびサーバーからクライアントへデータを暗号化します。Microsoft Lync Server 2013 uses certificates to mutually authenticate other servers and to encrypt data from server to server and server to client. 証明書では、サーバーに関連付けられているドメイン ネーム システム (DNS) レコードの名前と、証明書のサブジェクト名 (SN) およびサブジェクトの別名 (SAN) の名前が一致している必要があります。Certificates require name matching of the domain name system (DNS) records associated with the servers and the subject name (SN) and subject alternative name (SAN) on the certificate. サーバー、DNS レコード、および証明書のエントリを正常にマッピングするには、DNS に登録される目的のサーバーの完全修飾ドメイン名、および証明書の SN エントリと SAN エントリを慎重に計画する必要があります。To successfully map servers, DNS records and certificate entries, you must carefully plan your intended server fully qualified domain names as registered in DNS and the SN and SAN entries on the certificate.

エッジサーバーの外部インターフェイスに割り当てられた証明書は、パブリック証明機関 (CA) から要求されます。The certificate assigned to the external interfaces of the Edge Server is requested from a public certification authority (CA). ユニファイドコミュニケーションの目的で証明書の提供が成功したことを示すパブリック Ca は、次の記事に記載されています https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395Public CAs that have demonstrated success in supplying certificates for the purposes of Unified Communications are listed in the following article: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395. 証明書を要求するときは、Lync Server 展開ウィザードによって生成された証明書要求を使用することも、Lync Server 管理シェルコマンドレットまたはパブリック CA によって提供されるプロセスを使用して要求を手動で作成することもできます。When requesting the certificate, you can use the certificate request generated by the Lync Server Deployment Wizard or create the request manually using Lync Server Management Shell cmdlets or by a process provided by a public CA. 証明書管理用の Lync Server 管理シェルコマンドレットの詳細については、「 証明書と認証のコマンドレット (Lync server 2013 )」を参照してください。証明書を割り当てるときは、アクセスエッジサービスインターフェイス、Web 会議エッジサービスインターフェイス、および音声ビデオ認証サービスに証明書が割り当てられます。For details on Lync Server Management Shell cmdlets for certificate management, see Certificate and authentication cmdlets in Lync Server 2013 When assigning the certificate, the certificate is assigned to the Access Edge service interface, the Web Conferencing Edge service interface, and the Audio/Video Authentication service. 音声ビデオ認証サービスを音声ビデオエッジサービスと混同しないようにしてください。これは、オーディオおよびビデオストリームを暗号化するために証明書を使用しません。The Audio/Video Authentication service should not be confused with the A/V Edge service which does not use a certificate to encrypt the audio and video streams. 内部エッジサーバーインターフェイスは、内部 (組織の場合) CA またはパブリック CA からの証明書からの証明書を使用できます。The internal Edge Server interface can use a certificate from an internal (to your organization) CA or a certificate from a public CA. 内部インターフェイス証明書は SN のみを使用し、SAN エントリを必要としたり使用したりすることはありません。The internal interface certificate uses only the SN and does not need or use SAN entries.

注意

次の表では、参考のためにサブジェクトの別名一覧の 2 つ目の SIP エントリ (sip.fabrikam.com) を示しています。組織内の各 SIP ドメインに対して、証明書のサブジェクトの別名一覧に記載されている対応する FQDN を追加する必要があります。The following table shows a second SIP entry (sip.fabrikam.com) in the subject alternative name list for reference. For each SIP domain in your organization, you need to add a corresponding FQDN listed in the certificate subject alternative name list.

NAT を使用したプライベート IP アドレスを持つ単一統合エッジで必要な証明書Certificates Required for Single Consolidated Edge with Private IP Addresses using NAT

コンポーネントComponent サブジェクト名 (SN)Subject name (SN) サブジェクトの別名 (SAN)/順序Subject alternative names (SAN)/Order CommentsComments

単一の統合エッジ (外部エッジ)Single consolidated Edge (External Edge)

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

証明書は公的 CA のものである必要があります。また、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU およびクライアント EKU が必要です。証明書は、次のエッジの外部エッジ インターフェイスに割り当てられます。Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • アクセス エッジAccess Edge

  • 会議エッジConferencing Edge

  • 音声ビデオ エッジA/V Edge

SAN は、トポロジ ビルダーの定義に基づいて自動的に証明書に追加されます。追加の SIP ドメインで必要な SAN エントリや、サポートする必要がある他のエントリを追加します。SAN にはサブジェクト名がレプリケートされるため、正常に動作するためにはサブジェクト名が存在している必要があります。Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

単一の統合エッジ (内部エッジ)Single consolidated Edge (Internal Edge)

lsedge.contoso.netlsedge.contoso.net

SAN 必要なしNo SAN required

証明書は、公的 CA またはプライベート CA が発行でき、サーバー EKU が含まれている必要があります。証明書は、内部エッジ インターフェイスに割り当てられます。Certificate can be issued by a public or private CA, and must contain the server EKU. The certificate is assigned to the internal Edge interface.

証明書の概要 - パブリック インスタント メッセージング接続Certificate Summary – Public Instant Messaging Connectivity

コンポーネントComponent サブジェクト名Subject name サブジェクトの別名 (SAN)/順序Subject alternative names (SAN)/Order CommentsComments

外部/アクセス エッジExternal/Access Edge

sip.contoso.comsip.contoso.com

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.fabrikam.comsip.fabrikam.com

証明書は公的 CA のものである必要があります。また、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU およびクライアント EKU が必要です。証明書は、次のエッジの外部エッジ インターフェイスに割り当てられます。Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • アクセス エッジAccess Edge

  • 会議エッジConferencing Edge

  • 音声ビデオ エッジA/V Edge

SAN は、トポロジ ビルダーの定義に基づいて自動的に証明書に追加されます。追加の SIP ドメインで必要な SAN エントリや、サポートする必要がある他のエントリを追加します。SAN にはサブジェクト名がレプリケートされるため、正常に動作するためにはサブジェクト名が存在している必要があります。Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

XMPP (eXtensible Messaging and Presence Protocol) の証明書の概要Certificate Summary for Extensible Messaging and Presence Protocol

コンポーネントComponent サブジェクト名Subject name サブジェクトの別名 (SAN)/順序Subject alternative names (SAN)/Order CommentsComments

エッジサーバーまたはエッジプールのアクセスエッジサービスへの割り当てAssign to Access Edge service of Edge Server or Edge pool

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

xmpp.contoso.comxmpp.contoso.com

\*. contoso.com\*.contoso.com

最初の3つの SAN エントリは、完全なエッジサーバーの通常の SAN エントリです。The first three SAN entries are the normal SAN entries for a full Edge Server. contoso.com は、ルート ドメイン レベルでの XMPP パートナーとのフェデレーションに必要なエントリです。The contoso.com is the entry required for federation with the XMPP partner at the root domain level. このエントリは、suffix \*.contoso.com ですべてのドメインに対する XMPP を許可します。This entry will allow XMPP for all domains with the suffix \*.contoso.com.