인증서 요약-Lync Server 2013에서 NAT를 사용 하는 개인 IP 주소의 단일 통합에 지Certificate summary - Single consolidated edge with private IP addresses using NAT in Lync Server 2013

 

마지막으로 수정 된 항목: 2012-10-22Topic Last Modified: 2012-10-22

Microsoft Lync Server 2013에서는 인증서를 사용 하 여 다른 서버를 상호 인증 하 고 서버에서 서버 및 서버 간 데이터를 클라이언트로 암호화 합니다.Microsoft Lync Server 2013 uses certificates to mutually authenticate other servers and to encrypt data from server to server and server to client. 인증서는 서버와 연결된 DNS(Domain Name System) 레코드와 인증서에 적힌 SN(주체 이름) 및 SAN(주체 대체 이름)이 일치해야 합니다.Certificates require name matching of the domain name system (DNS) records associated with the servers and the subject name (SN) and subject alternative name (SAN) on the certificate. 서버, DNS 레코드 및 인증서 항목을 성공적으로 매핑하기 위해서는 DNS에 등록된 대로 의도한 서버의 FQDN(정규화된 도메인 이름)과 인증서의 SN 및 SAN 항목을 신중하게 계획해야 합니다.To successfully map servers, DNS records and certificate entries, you must carefully plan your intended server fully qualified domain names as registered in DNS and the SN and SAN entries on the certificate.

에 지 서버의 외부 인터페이스에 할당 된 인증서가 공용 CA (인증 기관)에서 요청 됩니다.The certificate assigned to the external interfaces of the Edge Server is requested from a public certification authority (CA). 통합 통신을 목적으로 인증서를 제공 하는 데 성공 했음을 보여 주는 공용 Ca는 다음 문서에 나와 https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 있습니다.Public CAs that have demonstrated success in supplying certificates for the purposes of Unified Communications are listed in the following article: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395. 인증서를 요청할 때 Lync Server 배포 마법사에서 생성 된 인증서 요청을 사용 하거나, Lync Server 관리 셸 cmdlet을 사용 하거나 공용 CA에서 제공 하는 프로세스를 통해 수동으로 요청을 만들 수 있습니다.When requesting the certificate, you can use the certificate request generated by the Lync Server Deployment Wizard or create the request manually using Lync Server Management Shell cmdlets or by a process provided by a public CA. 인증서 관리용 Lync Server 관리 셸 cmdlet에 대 한 자세한 내용은 certificate and authentication cmdlet In Lync server 2013 (인증서를 할당할 때) 인증서가 액세스에 지 서비스 인터페이스, 웹 회의에 지 서비스 인터페이스 및 오디오/비디오 인증 서비스에 할당 되어 있는지 확인 합니다.For details on Lync Server Management Shell cmdlets for certificate management, see Certificate and authentication cmdlets in Lync Server 2013 When assigning the certificate, the certificate is assigned to the Access Edge service interface, the Web Conferencing Edge service interface, and the Audio/Video Authentication service. 오디오/비디오 인증 서비스는 인증서를 사용 하 여 오디오 및 비디오 스트림을 암호화 하지 않는 A/V에 지 서비스와 혼동 해서는 안 됩니다.The Audio/Video Authentication service should not be confused with the A/V Edge service which does not use a certificate to encrypt the audio and video streams. 내부에 지 서버 인터페이스는 내부 (조직) CA의 인증서 또는 공용 CA의 인증서를 사용할 수 있습니다.The internal Edge Server interface can use a certificate from an internal (to your organization) CA or a certificate from a public CA. 내부 인터페이스 인증서에는 SN만 사용되고 SAN 항목은 필요하지 않고 사용되지 않습니다.The internal interface certificate uses only the SN and does not need or use SAN entries.

참고

다음 표의 주체 대체 이름 목록에는 참조용으로 두 번째 SIP 항목(sip.fabrikam.com)이 나와 있습니다. 조직의 각 SIP 도메인에 대해, 인증서 주체 대체 이름 목록에 나열된 해당 FQDN을 추가해야 합니다.The following table shows a second SIP entry (sip.fabrikam.com) in the subject alternative name list for reference. For each SIP domain in your organization, you need to add a corresponding FQDN listed in the certificate subject alternative name list.

NAT를 사용 하는 개인 IP 주소가 포함 된 단일 통합에 지에 필요한 인증서Certificates Required for Single Consolidated Edge with Private IP Addresses using NAT

구성 요소Component SN(주체 이름)Subject name (SN) SAN(주체 대체 이름)/순서Subject alternative names (SAN)/Order 설명Comments

단일 통합에 지 (외부에 지)Single consolidated Edge (External Edge)

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

인증서는 공용 CA의 인증서여야 하며, AOL과의 공용 IM 연결을 배포하려는 경우 서버 EKU 및 클라이언트 EKU를 포함해야 합니다. 인증서는 다음에 대한 외부 에지 인터페이스에 지정됩니다.Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • 액세스 에지Access Edge

  • 회의 에지Conferencing Edge

  • A/V 에지A/V Edge

SAN은 토폴로지 작성기에서 사용자의 정의에 따라 인증서에 자동으로 추가됩니다. 필요에 따라 추가 SIP 도메인 및 지원이 필요한 다른 항목에 대해 SAN 항목을 추가할 수 있습니다. 주체 이름은 SAN에 복제되며 올바른 작업을 위해서는 제공되어야 합니다.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

단일 통합에 지 (내부에 지)Single consolidated Edge (Internal Edge)

lsedge.contoso.netlsedge.contoso.net

SAN이 필요하지 않습니다.No SAN required

인증서는 공용 또는 개인 CA에서 발급할 수 있으며, 서버 EKU를 포함해야 합니다. 인증서는 내부 에지 인터페이스에 지정됩니다.Certificate can be issued by a public or private CA, and must contain the server EKU. The certificate is assigned to the internal Edge interface.

인증서 요약 - 공용 인스턴트 메시징 연결Certificate Summary – Public Instant Messaging Connectivity

구성 요소Component 주체 이름Subject name SAN(주체 대체 이름)/순서Subject alternative names (SAN)/Order 설명Comments

외부/액세스 에지External/Access Edge

sip.contoso.comsip.contoso.com

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.fabrikam.comsip.fabrikam.com

인증서는 공용 CA의 인증서여야 하며, AOL과의 공용 IM 연결을 배포하려는 경우 서버 EKU 및 클라이언트 EKU를 포함해야 합니다. 인증서는 다음에 대한 외부 에지 인터페이스에 지정됩니다.Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • 액세스 에지Access Edge

  • 회의 에지Conferencing Edge

  • A/V 에지A/V Edge

SAN은 토폴로지 작성기에서 사용자의 정의에 따라 인증서에 자동으로 추가됩니다. 필요에 따라 추가 SIP 도메인 및 지원이 필요한 다른 항목에 대해 SAN 항목을 추가할 수 있습니다. 주체 이름은 SAN에 복제되며 올바른 작업을 위해서는 제공되어야 합니다.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

XMPP(Extensible Messaging and Presence Protocol)의 인증서 요약Certificate Summary for Extensible Messaging and Presence Protocol

구성 요소Component 주체 이름Subject name SAN(주체 대체 이름)/순서Subject alternative names (SAN)/Order 설명Comments

에 지 서버 또는에 지 풀에 대 한 액세스에 지 서비스 할당Assign to Access Edge service of Edge Server or Edge pool

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

xmpp.contoso.comxmpp.contoso.com

\* contoso.com\*.contoso.com

처음 세 개의 SAN 항목은 전체에 지 서버에 대 한 일반 SAN 항목입니다.The first three SAN entries are the normal SAN entries for a full Edge Server. contoso.com은 루트 도메인 수준에서 XMPP 파트너와의 페더레이션을 위해 필요한 항목입니다.The contoso.com is the entry required for federation with the XMPP partner at the root domain level. 이 항목은 접미사가 \*.contoso.com인 모든 도메인에 대해 XMPP를 허용합니다.This entry will allow XMPP for all domains with the suffix \*.contoso.com.