Resumo de certificado - borda consolidada em escala, balanceamento de carga de DNS com endereços IP privados usando NAT no Lync Server 2013

  • Artigo

 

Tópico Última Modificação: 2012-09-08

O Microsoft Lync Server 2013 usa certificados para autenticar mutuamente outros servidores e criptografar dados de servidor para servidor e servidor para cliente. Os certificados exigem a correspondência de nomes dos registros DNS (sistema de nomes de domínio) associados aos servidores e ao SN (nome da entidade) e nome alternativo do assunto (SAN) no certificado. Para mapear com êxito servidores, registros DNS e entradas de certificado, você deve planejar cuidadosamente os nomes de domínio totalmente qualificados do servidor pretendido conforme registrado em DNS e as entradas SN e SAN no certificado.

O certificado atribuído às interfaces externas do Edge Server é solicitado de uma autoridade de certificação pública (AC). Os CAs públicos que demonstraram êxito no fornecimento de certificados para fins de Comunicações Unificadas estão listados no seguinte artigo: https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395 Ao solicitar o certificado, você pode usar a solicitação de certificado gerada pelo Assistente de Implantação do Lync Server ou criar a solicitação manualmente ou por um processo fornecido pela AC pública. Ao atribuir o certificado, o certificado é atribuído à interface de serviço do Access Edge, à interface de serviço do Web Conferencing Edge e ao serviço de Autenticação de Áudio/Vídeo. O serviço de Autenticação de Áudio/Vídeo não deve ser confundido com o serviço A/V Edge que não usa um certificado para criptografar os fluxos de áudio e vídeo. A interface interna do Edge Server pode usar um certificado de uma AC interna (para sua organização) ou um certificado de uma AC pública. O certificado de interface interna usa apenas o SN e não precisa nem usa entradas SAN.

Nota

A tabela a seguir mostra uma segunda entrada SIP (sip.fabrikam.com) na lista de nomes alternativos do assunto para referência. Para cada domínio SIP em sua organização, você precisa adicionar um FQDN correspondente listado na lista de nomes alternativos da entidade de certificado.

Borda consolidada em escala, balanceamento de carga DNS com endereços IP privados usando NAT

Componente Nome da entidade (SN) Nomes alternativos de assunto (SAN)/Order Comentários

Borda consolidada em escala (Borda Externa)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. Além disso, para servidores de borda dimensionados, a chave privada de certificado deve ser exportável e o certificado e a chave privada copiados para cada Servidor de Borda. O certificado é atribuído às interfaces externas do Edge para:

  • Borda de Acesso

  • Borda de conferência

  • Borda A/V

Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta.

Borda consolidada em escala (Borda Interna)

lsedge.contoso.net

Nenhuma SAN necessária

O certificado pode ser emitido por uma AC pública ou privada e deve conter o EKU do servidor. O certificado é atribuído à interface interna do Edge.

Resumo do certificado – Conectividade pública de mensagens instantâneas

Componente Nome da entidade Nomes alternativos de assunto (SAN)/Order Comentários

Borda externa/de acesso

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. O certificado é atribuído às interfaces externas do Edge para:

  • Borda de Acesso

  • Borda de conferência

  • Borda A/V

Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta.

Resumo do certificado para o Protocolo de Presença e Mensagens Extensíveis

Componente Nome da entidade Nomes alternativos de assunto (SAN)/Order Comentários

Atribuir ao serviço Access Edge do Edge Server ou pool do Edge

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

As três primeiras entradas SAN são as entradas normais de SAN para um Servidor de Borda completo. O contoso.com é a entrada necessária para federação com o parceiro XMPP no nível de domínio raiz. Essa entrada permitirá XMPP para todos os domínios com o sufixo *.contoso.com.