Resumo de certificado - Única borda consolidada com endereços IP públicos no Lync Server 2013

  • Artigo

 

Tópico Última Modificação: 2012-09-08

O Microsoft Lync Server 2013 usa certificados para autenticar mutuamente outros servidores e criptografar dados de servidor para servidor e servidor para cliente. Os certificados exigem a correspondência de nomes dos registros DNS (sistema de nomes de domínio) associados aos servidores e ao SN (nome da entidade) e nome alternativo do assunto (SAN) no certificado. Para mapear com êxito servidores, registros DNS e entradas de certificado, você deve planejar cuidadosamente os nomes de domínio totalmente qualificados do servidor pretendido conforme registrado em DNS e as entradas SN e SAN no certificado.

O certificado atribuído às interfaces externas do Edge Server é solicitado de uma autoridade de certificação pública (AC). Os CAs públicos que demonstraram êxito no fornecimento de certificados para fins de Comunicações Unificadas estão listados no seguinte artigo: https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395 Ao solicitar o certificado, você pode usar a solicitação de certificado gerada pelo Assistente de Implantação do Lync Server ou criar a solicitação manualmente ou por um processo fornecido pela AC pública. Ao atribuir o certificado, o certificado é atribuído à interface de serviço do Access Edge, à interface de serviço do Web Conferencing Edge e ao serviço de Autenticação de Áudio/Vídeo. O serviço de Autenticação de Áudio/Vídeo não deve ser confundido com o serviço A/V Edge que não usa um certificado para criptografar os fluxos de áudio e vídeo. A interface interna do Edge Server pode usar um certificado de uma AC interna (para sua organização) ou um certificado de uma AC pública. O certificado de interface interna usa apenas o SN e não precisa nem usa entradas SAN.

Nota

A tabela a seguir mostra uma segunda entrada SIP (sip.fabrikam.com) na lista de nomes alternativos do assunto para referência. Para cada domínio SIP em sua organização, você precisa adicionar um FQDN correspondente listado na lista de nomes alternativos da entidade de certificado.

Certificados necessários para a borda consolidada única com endereços IP públicos

Componente Nome da entidade (SN) Nomes alternativos de assunto (SAN)/Order Comentários

Borda consolidada única (Borda Externa)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. O certificado é atribuído às interfaces externas do Edge para:

  • Borda de Acesso

  • Borda de conferência

  • Borda A/V

Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta.

Borda consolidada única (Borda Interna)

lsedge.contoso.net

Nenhuma SAN necessária

O certificado pode ser emitido por uma AC pública ou privada e deve conter o EKU do servidor. O certificado é atribuído à interface interna do Edge.

Resumo do certificado – Conectividade pública de mensagens instantâneas

Componente Nome da entidade Nomes alternativos de assunto (SAN)/Order Comentários

Borda externa/de acesso

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

O certificado deve ser de uma AC pública e deve ter o EKU do servidor e o EKU do cliente se a conectividade de IM pública com o AOL for implantada. O certificado é atribuído às interfaces externas do Edge para:

  • Borda de Acesso

  • Borda de conferência

  • Borda A/V

Observe que as SANs são adicionadas automaticamente ao certificado com base em suas definições no Construtor de Topologia. Você adiciona entradas SAN conforme necessário para domínios SIP adicionais e outras entradas que você precisa dar suporte. O nome do assunto é replicado na SAN e deve estar presente para a operação correta.

Resumo do certificado para o Protocolo de Presença e Mensagens Extensíveis

Componente Nome da entidade Nomes alternativos de assunto (SAN)/Order Comentários

Atribuir ao serviço Access Edge do Edge Server ou pool do Edge

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

As três primeiras entradas SAN são as entradas normais de SAN para um Servidor de Borda completo. O contoso.com é a entrada necessária para federação com o parceiro XMPP no nível de domínio raiz. Essa entrada permitirá XMPP para todos os domínios com o sufixo *.contoso.com.