Resumo de certificado - Borda consolidada em escala com balanceadores de carga de hardware no Lync Server 2013

Tópico da última modificação: 2012-10-22

O Microsoft Lync Server 2013 usa certificados para autenticar mutuamente outros servidores e criptografar dados do servidor para o servidor e o servidor para o cliente. Os certificados exigem correspondência de nome dos registros de sistema de nomes de domínio (DNS) associados aos servidores e o nome da entidade (SN) e o nome alternativo do assunto (SAN) no certificado. Para mapear com êxito os servidores, registros DNS e entradas de certificado, você deve planejar cuidadosamente os nomes de domínio totalmente qualificados do servidor conforme registrado no DNS e as entradas de SN e SAN no certificado.

O certificado atribuído às interfaces externas do servidor de borda é solicitado a partir de uma autoridade de certificação pública (CA). As CAs públicas que demonstraram sucesso no fornecimento de certificados para a finalidade de comunicações unificadas são listadas no seguinte artigo: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 . Ao solicitar o certificado, você pode usar a solicitação de certificado gerada pelo assistente de implantação do Lync Server ou criar a solicitação manualmente ou por um processo fornecido pela CA pública. Ao atribuir o certificado, o certificado é atribuído à interface do serviço de borda de acesso, à interface do serviço de borda de Webconferência e ao serviço de autenticação de áudio/vídeo. O serviço de autenticação de áudio/vídeo não deve ser confundido com o serviço de borda A/V, que não usa um certificado para criptografar os fluxos de áudio e vídeo. A interface do servidor de borda interna pode usar um certificado de uma autoridade de certificação interna (para a sua organização) ou de um certificado de uma autoridade de certificação pública. O certificado de interface interna usa apenas o SN e não precisa ou usa entradas de SAN.

Observação

A tabela a seguir mostra uma segunda entrada SIP (sip.fabrikam.com) na lista nome alternativo do assunto como referência. Para cada domínio SIP em sua organização, você precisa adicionar um FQDN correspondente listado na lista nome alternativo do requerente do certificado.

Certificados necessários para a borda consolidada dimensionada com balanceadores de carga de hardware

Componente Nome do assunto Nomes alternativos de assunto (SAN)/Order Comentários

Servidor de borda consolidado único (borda externa)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

O certificado deve ser de uma CA pública e deve ter o EKU do servidor e o cliente EKU se a conectividade de IM pública com AOL for implantada. Além disso, para servidores de borda em escala, a chave privada do certificado deve ser exportável e a chave privada e de certificado copiada para cada servidor de borda. o certificado é atribuído às interfaces de borda externa para:

  • Serviço de Borda de Acesso

  • Serviço de Borda de Webconferência

  • Serviço de Borda A/V

Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no construtor de topologias. Você adiciona entradas de SAN conforme necessário para domínios SIP adicionais e outras entradas de que você precisa para dar suporte. O nome do requerente é replicado na SAN e deve estar presente para a operação correta.

Servidor de borda consolidado único (borda interna)

lsedge.contoso.net

Sem necessidade de SAN

O certificado pode ser emitido por uma autoridade de certificação pública ou privada e deve conter o EKU do servidor. O certificado é atribuído à interface interna do servidor de borda.

Resumo do certificado – conectividade de mensagens instantâneas públicas

Componente Nome do assunto Nomes alternativos de assunto (SAN)/Order Comentários

Serviço de borda de acesso externo

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

O certificado deve ser de uma CA pública e deve ter o EKU do servidor e o cliente EKU se a conectividade de IM pública com AOL for implantada. O certificado é atribuído às interfaces de borda externa para:

  • Serviço de Borda de Acesso

  • Serviço de Borda de Webconferência

  • Serviço de Borda A/V

Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no construtor de topologias. Você adiciona entradas de SAN conforme necessário para domínios SIP adicionais e outras entradas de que você precisa para dar suporte. O nome do requerente é replicado na SAN e deve estar presente para a operação correta.

Resumo do certificado de mensagens extensíveis e protocolo de presença

Componente Nome do assunto Nomes alternativos de assunto (SAN)/Order Comentários

Atribuir ao serviço Edge para acessar o servidor de borda ou o pool de bordas

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

As três primeiras entradas de SAN são as entradas de SAN normais para um servidor de perímetro completo. O contoso.com é a entrada necessária para federação com o parceiro XMPP no nível do domínio raiz. Essa entrada permitirá XMPP para todos os domínios com o sufixo *. contoso.com.