証明書の概要 - Lync Server 2013 の拡張統合エッジ (ロードバランサー機器を使用)

[アーティクル]
07/23/2014

トピック最終更新日: 2012-10-22

Microsoft Lync Server 2013 では、証明書を使用して他のサーバーを相互に認証し、サーバーからサーバー、サーバーからクライアントにデータを暗号化します。証明書には、サーバーに関連付けられているドメインネームシステム (DNS) レコードの名前照合と、証明書のサブジェクト名 (SN) とサブジェクトの別名 (SAN) が必要です。サーバー、DNS レコード、証明書エントリを正常にマップするには、DNS に登録されている目的のサーバー完全修飾ドメイン名と、証明書の SN エントリと SAN エントリを慎重に計画する必要があります。

エッジサーバーの外部インターフェイスに割り当てられた証明書は、パブリック証明機関 (CA) から要求されます。ユニファイドコミュニケーションの目的で証明書を提供することに成功したことを示すパブリック CA は、次の記事 https://go.microsoft.com/fwlink/p/?linkid=3052&に記載されています。kbid=929395。証明書を要求するときは、Lync Server 展開ウィザードによって生成された証明書要求を使用するか、手動で、またはパブリック CA によって提供されるプロセスによって要求を作成できます。証明書を割り当てると、証明書は Access Edge サービスインターフェイス、Web 会議エッジサービスインターフェイス、およびオーディオ/ビデオ認証サービスに割り当てられます。オーディオ/ビデオ認証サービスは、オーディオおよびビデオストリームの暗号化に証明書を使用しない A/V Edge サービスと混同しないでください。内部エッジサーバーインターフェイスでは、内部 (organization) CA からの証明書、またはパブリック CA からの証明書を使用できます。内部インターフェイス証明書では SN のみが使用され、SAN エントリは必要ありません。

注意

次の表は、参照用のサブジェクトの別名リスト内の 2 つ目の SIP エントリ (sip.fabrikam.com) を示しています。 organization内の SIP ドメインごとに、証明書サブジェクトの別名リストに一覧表示されている対応する FQDN を追加する必要があります。

ハードウェアロードバランサーを使用した拡張統合エッジに必要な証明書

コンポーネント	サブジェクト名	サブジェクトの別名 (SAN)/Order	注釈
単一統合エッジサーバー (外部エッジ)	sip.contoso.com	webcon.contoso.com sip.contoso.com sip.fabrikam.com	証明書はパブリック CA からのものであり、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU とクライアント EKU が必要です。さらに、スケーリングされたエッジサーバーの場合、証明書の秘密キーはエクスポート可能であり、各エッジサーバーにコピーされた証明書と秘密キーが必要です。証明書は、次の目的で外部エッジインターフェイスに割り当てられます。アクセスエッジサービス Web 会議エッジサービス音声ビデオエッジサービス SAN は、トポロジビルダーの定義に基づいて証明書に自動的に追加されることに注意してください。サポートする必要がある追加の SIP ドメインやその他のエントリに必要に応じて SAN エントリを追加します。サブジェクト名は SAN にレプリケートされ、正しい操作のために存在する必要があります。
単一統合エッジサーバー (内部エッジ)	lsedge.contoso.net	SAN は必要ありません	証明書はパブリック CA またはプライベート CA によって発行でき、サーバー EKU が含まれている必要があります。証明書は、内部エッジサーバーインターフェイスに割り当てられます。

単一統合エッジサーバー (外部エッジ)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

証明書はパブリック CA からのものであり、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU とクライアント EKU が必要です。さらに、スケーリングされたエッジサーバーの場合、証明書の秘密キーはエクスポート可能であり、各エッジサーバーにコピーされた証明書と秘密キーが必要です。証明書は、次の目的で外部エッジインターフェイスに割り当てられます。

アクセスエッジサービス
Web 会議エッジサービス
音声ビデオエッジサービス

SAN は、トポロジビルダーの定義に基づいて証明書に自動的に追加されることに注意してください。サポートする必要がある追加の SIP ドメインやその他のエントリに必要に応じて SAN エントリを追加します。サブジェクト名は SAN にレプリケートされ、正しい操作のために存在する必要があります。

単一統合エッジサーバー (内部エッジ)

lsedge.contoso.net

SAN は必要ありません

証明書はパブリック CA またはプライベート CA によって発行でき、サーバー EKU が含まれている必要があります。証明書は、内部エッジサーバーインターフェイスに割り当てられます。

証明書の概要 – パブリックインスタントメッセージング接続

コンポーネント	サブジェクト名	サブジェクトの別名 (SAN)/Order	注釈
External/Access Edge サービス	sip.contoso.com	sip.contoso.com webcon.contoso.com sip.fabrikam.com	証明書はパブリック CA からのものであり、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU とクライアント EKU が必要です。証明書は、次の目的で外部 Edge インターフェイスに割り当てられます。アクセスエッジサービス Web 会議エッジサービス音声ビデオエッジサービス SAN は、トポロジビルダーの定義に基づいて証明書に自動的に追加されることに注意してください。サポートする必要がある追加の SIP ドメインやその他のエントリに必要に応じて SAN エントリを追加します。サブジェクト名は SAN にレプリケートされ、正しい操作のために存在する必要があります。

External/Access Edge サービス

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

証明書はパブリック CA からのものであり、AOL とのパブリック IM 接続を展開する場合は、サーバー EKU とクライアント EKU が必要です。証明書は、次の目的で外部 Edge インターフェイスに割り当てられます。

アクセスエッジサービス
Web 会議エッジサービス
音声ビデオエッジサービス

拡張可能メッセージングとプレゼンスプロトコルの証明書の概要

コンポーネント	サブジェクト名	サブジェクトの別名 (SAN)/Order	注釈
エッジサーバーまたはエッジプールの Access Edge サービスに割り当てる	sip.contoso.com	webcon.contoso.com sip.contoso.com sip.fabrikam.com xmpp.contoso.com *.contoso.com	最初の 3 つの SAN エントリは、完全なエッジサーバーの通常の SAN エントリです。 contoso.com は、ルートドメインレベルの XMPP パートナーとのフェデレーションに必要なエントリです。このエントリでは、サフィックス *.contoso.com を持つすべてのドメインに XMPP を許可します。

エッジサーバーまたはエッジプールの Access Edge サービスに割り当てる

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

最初の 3 つの SAN エントリは、完全なエッジサーバーの通常の SAN エントリです。 contoso.com は、ルートドメインレベルの XMPP パートナーとのフェデレーションに必要なエントリです。このエントリでは、サフィックス *.contoso.com を持つすべてのドメインに XMPP を許可します。

証明書の概要 - Lync Server 2013 の拡張統合エッジ (ロード バランサー機器を使用)

ハードウェア ロード バランサーを使用した拡張統合エッジに必要な証明書

証明書の概要 – パブリック インスタント メッセージング接続

拡張可能メッセージングとプレゼンス プロトコルの証明書の概要

その他のリソース

証明書の概要 - Lync Server 2013 の拡張統合エッジ (ロードバランサー機器を使用)

ハードウェアロードバランサーを使用した拡張統合エッジに必要な証明書

証明書の概要 – パブリックインスタントメッセージング接続

拡張可能メッセージングとプレゼンスプロトコルの証明書の概要