Requisitos de certificado para servidores internos no Lync Server 2013
Tópico última modificação: 17/02/2017
Os servidores internos que executam o Lync Server e que exigem certificados incluem o servidor Standard Edition, o Edição Enterprise Front-End Server, o Servidor de Mediação e o Diretor. A tabela a seguir mostra os requisitos de certificado para esses servidores. Você pode usar o assistente de certificado do Lync Server para solicitar esses certificados.
Ponta
Os certificados curinga têm suporte para os nomes alternativos da entidade associados às URLs simples no pool de Front-Ends, servidor front-end ou diretor. Para obter detalhes sobre o suporte a certificado curinga, consulte o suporte a certificado curinga no Lync Server 2013.
Embora uma AC (autoridade de certificação) corporativa interna seja recomendada para servidores internos, você também pode usar uma AC pública. Para obter uma lista de ACs públicas que fornecem certificados que estão em conformidade com requisitos específicos para certificados de UC (comunicações unificadas) e fizeram parceria com a Microsoft para garantir que eles trabalhem com o Assistente de Certificados do Lync Server, consulte o artigo microsoft knowledge base 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server", at https://go.microsoft.com/fwlink/p/?linkId=202834.
A comunicação com outros aplicativos e servidores, como o Exchange 2013, requer um certificado compatível com outros aplicativos e produtos. Para a versão 2013, o Lync Server 2013 e outros produtos de servidor da Microsoft, incluindo o Exchange 2013 e o SharePoint Server, dão suporte ao protocolo OAuth (Autorização Aberta) para autenticação e autorização de servidor para servidor. Para obter detalhes, consulte Gerenciando a OAuth (autenticação de servidor para servidor) e aplicativos parceiros no Lync Server 2013 na documentação de implantação ou na documentação de Operações.
Para conexões de clientes que executam o sistema operacional Windows 7, o sistema operacional Windows Server 2008, o sistema operacional Windows Server 2008 R2, o sistema operacional Windows Vista e o Microsoft Lync Phone Edition, o Lync Server 2013 inclui suporte para certificados assinados usando a função de hash criptográfico SHA-256. Para dar suporte ao acesso externo usando SHA-256, o certificado externo é emitido por uma AC pública usando SHA-256.
As tabelas a seguir mostram os requisitos de certificado por função de servidor para pools de Front-End e servidores Standard Edition. Todos eles são certificados de servidor Web padrão, chave privada, não exportáveis.
Observe que o EKU (uso avançado de chave) do servidor é configurado automaticamente quando você usa o assistente de certificado para solicitar certificados.
Nota
Cada nome amigável do certificado deve ser exclusivo no repositório do computador.
Nota
Se você tiver configurado sipinternal.contoso.com ou sipexternal.contoso.com no DNS, precisará adicioná-los ao Nome Alternativo da Entidade do certificado.
Certificados para o Servidor Standard Edition
| Certificado | Nome da entidade/Nome comum | Nome alternativo de entidade | Exemplo | Comentários |
|---|---|---|---|---|
Padrão |
FQDN (nome de domínio totalmente qualificado) do pool |
FQDN do pool e do FQDN do servidor Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se esse pool for o servidor de logon automático para clientes, e a combinação estrita do Sistema de Nome de Domínio (DNS) for exigida na política do grupo, também serão necessárias entradas para o sip.sipdomain (para cada domínio de SIP que você tiver). |
SN=se01.contoso.com; SAN=se01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
No servidor Standard Edition, o FQDN do servidor é o mesmo que o FQDN do pool. O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
Web interna |
FQDN do servidor |
Cada um dos seguintes:
|
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Não é possível substituir o FQDN da Web interno no Construtor de Topologias. Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Web externa |
FQDN do servidor |
Cada um dos seguintes:
|
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para o servidor front-end em um pool de front-end
| Certificado | Nome da entidade/Nome comum | Nome alternativo de entidade | Exemplo | Comentários |
|---|---|---|---|---|
Padrão |
FQDN do pool |
FQDN do pool e FQDN do servidor. Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se esse pool for o servidor de logon automático para clientes e a correspondência de DNS estrita for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tem). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
Interno da Web |
FQDN do pool |
Cada um dos seguintes:
|
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Web externa |
FQDN do pool |
Cada um dos seguintes:
|
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para Diretor
| Certificado | Nome da entidade/Nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
Padrão |
FQDN do pool de diretores |
FQDN do Diretor, FQDN do pool de Diretores Se esse pool for o servidor de logon automático para clientes e a correspondência de DNS estrita for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tem). |
SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com Se esse pool de Diretores for o servidor de logon automático para clientes e a correspondência de DNS estrita for necessária na política de grupo, você também precisará de SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Interno da Web |
FQDN do servidor |
Cada um dos seguintes:
|
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web externa |
FQDN do servidor |
Cada um dos seguintes:
|
O FQDN da Web externo do Diretor deve ser diferente do pool de Front-Ends ou do Servidor Front-End. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Se você tiver um pool autônomo do Servidor de Mediação, os Servidores de Mediação nele precisarão dos certificados listados na tabela a seguir. Se você colocar o Servidor de Mediação com os Servidores Front-End, os certificados listados na tabela "Certificados para o Servidor Front-End no Pool de Front-Ends" anteriormente neste tópico serão suficientes.
Certificados para o Servidor de Mediação Autônomo
| Certificado | Nome da entidade/Nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
Padrão |
FQDN do pool |
FQDN do pool FQDN do servidor membro do pool |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificados para Aparelho de Filial Persistente
| Certificado | Nome da entidade/Nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
Padrão |
FQDN do aplicativo |
SIP.< sipdomain> (precisa de uma entrada por domínio SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Confira também