Resumo do certificado – Descoberta automática no Lync Server 2013

 

Tópico última modificação: 14/02/2013

O Serviço de Descoberta Automática do Lync Server 2013 é executado nos servidores do pool de Diretor e Front-End e, quando publicado no DNS, pode ser usado por clientes do Lync para localizar serviços de servidor e usuário. Se você estiver atualizando do Lync Server 2010 e não tiver implantado o Mobility, antes que os clientes possam usar a descoberta automática, você deverá modificar as listas de nomes alternativos da entidade do certificado em qualquer Diretor e Servidor Front-End executando o Serviço de Descoberta Automática. Além disso, pode ser necessário modificar as listas de nomes alternativos da entidade em certificados usados para regras de publicação de serviço Web externo em proxies reverso.

A decisão sobre se as listas de nomes alternativos de entidade devem ser usadas em proxies reverso se você publica o Serviço de Descoberta Automática na porta 80 ou na porta 443:

  • Publicado na porta 80 Nenhuma alteração de certificado será necessária se a consulta inicial ao Serviço de Descoberta Automática ocorrer pela porta 80. Isso ocorre porque os dispositivos móveis que executam o Lync acessarão o proxy reverso na porta 80 externamente e, em seguida, serão conectados a um Diretor ou Servidor Front-End na porta 8080 internamente. Para obter detalhes, consulte a seção "Processo inicial de descoberta automática usando a porta 80" Requisitos técnicos para mobilidade no Lync Server 2013.

  • Publicado na porta 443 A lista de nomes alternativos da entidade em certificados usados pela regra de publicação de serviços Web externos deve conter uma lyncdiscover.< Entrada sipdomain> para cada domínio SIP em sua organização.

    Importante

    É altamente recomendável usar HTTPS sobre HTTP. O HTTPS usa certificados para criptografar o tráfego. O HTTP não fornece criptografia e todos os dados enviados serão texto sem formatação.

A emissão de certificados usando uma autoridade de certificação interna normalmente é um processo simples. No entanto, para certificados públicos usados na regra de publicação do serviço Web, a adição de várias entradas de nome alternativo de entidade pode se tornar cara. Para contornar esse problema, damos suporte à conexão de descoberta automática inicial pela porta 80, que é redirecionada para a porta 8080 no Diretor ou servidor front-end.

Nota

Se sua infraestrutura do Lync Server 2013 usa certificados internos emitidos de uma AC (autoridade de certificação interna) e você planeja dar suporte a dispositivos móveis que se conectam sem fio, a cadeia de certificados raiz da AC interna deve ser instalada nos dispositivos móveis ou você deve alterar para um certificado público em sua infraestrutura do Lync Server 2013.

Este tópico descreve os nomes alternativos de assunto adicionados necessários para o Diretor, o Servidor Front-End e o proxy reverso. Somente os nomes alternativos de entidade adicionados (SAN) são referenciados. Consulte as seções de planejamento para obter diretrizes sobre as outras entradas em certificados. Para obter detalhes, consulte Cenários para o Diretor no Lync Server 2013, Cenários para acesso de usuário externo no Lync Server 2013 e Cenários para proxy reverso no Lync Server 2013.

As tabelas a seguir definem as entradas SAN de Descoberta Automática para o pool de Diretores, o pool de Front-Ends e o proxy reverso:

Requisitos de certificado do pool de diretores

Descrição Entrada de nome alternativo da entidade

URL do Serviço de Descoberta Automática Interna

SAN=lyncdiscoverinternal.< nome de domínio interno>

URL do Serviço de Descoberta Automática Externa

SAN=lyncdiscover.< sipdomain>

Nota

Você atribui o certificado recém-atualizado com a nova entrada SAN ao certificado padrão. Como alternativa, você pode usar SAN=*.< sipdomain>.

Requisitos de certificado do pool de front-end

Descrição Entrada de nome alternativo da entidade

URL do Serviço de Descoberta Automática Interna

SAN=lyncdiscoverinternal.< nome de domínio interno>

URL do Serviço de Descoberta Automática Externa

SAN=lyncdiscover.< sipdomain>

Nota

Você atribui o certificado recém-atualizado com a nova entrada SAN ao certificado padrão. Como alternativa, você pode usar SAN=*.< sipdomain>

Requisitos de certificado de proxy reverso (AC pública)

Descrição Entrada de nome alternativo da entidade

URL do Serviço de Descoberta Automática Externa

SAN=lyncdiscover.< sipdomain>

Nota

Atribua o certificado recém-atualizado com a nova entrada SAN ao Ouvinte SSL no proxy reverso.