Развертывание сертификатов для единой системы обмена СООБЩЕНИЯМИDeploying certificates for UM

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

С помощью протокола TLS в единой системе обмена сообщениями можно включить шифрование данных, отправляемых между вашими серверами Microsoft Exchange 2013 и шлюзами VoIP, IP-УАТС, пограничными контроллерами сеансов и Microsoft Lync Server. Сертификаты связывают идентификатор владельца сертификата с парой электронных ключей (открытый и закрытый), которые используются для шифрования и цифровой подписи информации.You can use mutual Transport Layer Security (mutual TLS) to enable Unified Messaging (UM) to encrypt data sent between your Microsoft Exchange 2013 servers and VoIP gateways, IP PBXs, session border controllers (SBCs), and Microsoft Lync Server. Certificates bind the identity of the certificate owner to a pair of electronic keys (public and private) that are used to encrypt and sign information digitally.

Если в организации Exchange 2010 используются абонентские группы в режиме "с защитой SIP" или "защищенный", вам понадобится импортировать сертификаты, которые использовались для ваших серверов клиентского доступа Exchange 2013, на которых запущена служба маршрутизации вызовов единой системы обмена сообщениями Microsoft Exchange и серверах почтовых ящиков, на которых запущена служба единой системы обмена сообщениями Microsoft Exchange. Для службы единой системы обмена сообщениями и службы маршрутизации вызовов единой системы обмена сообщениями можно использовать один из следующих сертификатов:If you’re using SIP secured or Secured dial plans in your Exchange 2010 organization, you’ll need to import the certificates that were used to your Exchange 2013 Client Access servers running the Microsoft Exchange UM Call Router service and Mailbox servers running the Microsoft Exchange UM service. You can use one of the following certificates for the UM and UM Call Router services:

  • самозаверяющий сертификат (Exchange);A self-signed (Exchange) certificate

  • сертификат внутренней инфраструктуры открытого ключа;An internal public key infrastructure (PKI) certificate

  • коммерческий сертификат стороннего поставщика.A third-party commercial certificate

По умолчанию при установке единой системы обмена сообщениями создается и используется самозаверяющий сертификат. Самозаверяющий сертификат можно использовать со шлюзами VoIP, IP-УАТС и SBC, но не при интеграции единой системы обмена сообщениями с Lync Server. В случае развертывания сертификатов, которые будут использоваться с Lync Server, с помощью мастера сертификатов Exchange или командлета New-ExchangeCertificate нужно получить сертификат, выпущенный внутренним центром сертификации или инфраструктурой открытого ключа, либо приобрести коммерческий или сторонний сертификат, который является взаимно доверенным для единой системы обмена сообщениями и Lync Server.By default, when you install Unified Messaging, a self-signed certificate is created and used. This self-signed certificate can be used with VoIP gateways, IP PBXs, and SBCs, but not when you’re integrating UM with Lync Server. If you’re deploying certificates to be used with Lync Server, you need to use the Exchange certificate wizard or the New-ExchangeCertificate cmdlet to obtain a certificate that was issued by an internal or PKI certification authority (CA), or purchase a commercial or third-party certificate that is mutually trusted by Unified Messaging and Lync Server.

Развертывание сертификатов для шлюзов VoIP, IP-УАТС и SBCDeploying certificates for VoIP gateways, IP PBXs, and SBCs

Чтобы включить в единой системе обмена сообщениями возможность шифрования данных, отправляемых между шлюзами VoIP, IP-УАТС и SBC, сделайте следующее.To enable UM to encrypt data that's sent between VoIP gateways, IP PBXs, and SBCs you need to do the following:

  • Используйте замозаверяющий сертификат единой системы обмена сообщениями, создайте новый запрос на сертификат Exchange и получите сертификат внутренней инфраструктуры открытых ключей или приобретите коммерческий сертификат стороннего поставщика, который можно использовать для Mutual TLS между единой системой обмена сообщениями и шлюзами VoIP, IP-УАТС и SBC.Use the self-signed UM certificate, create a new Exchange certificate request and obtain an internal PKI certificate, or purchase a third-party commercial certificate that you can use for mutual TLS between UM and VoIP gateways, IP PBXs, and SBCs.

  • Импортируйте сертификат, который будет использоваться, на все серверы клиентского доступа и почтовых ящиков в своей организации.Import the certificate that will be used on all Client Access and Mailbox servers in your organization.

  • Включите сертификат, который будет использоваться службами единой системы обмена сообщениями.Enable the certificate to be used by UM services.

  • Импортируйте сертификат на свои шлюзы VoIP, IP-УАТС и SBC.Import the certificate on your VoIP gateways, IP PBXs, and SBCs.

  • Настройте абонентскую группу единой системы обмена сообщениями для работы в режиме "с защитой SIP" или "защищенный".Configure the UM dial plan as SIP secured or Secured.

  • Настройте режим запуска единой системы обмена сообщениями на серверах клиентского доступа и почтовых ящиков в своей организации.Configure the UM startup mode on Client Access and Mailbox servers in your organization.

  • Создайте необходимые IP-шлюзы единой системы обмена сообщениями с полным доменным именем (FQDN).Create the required UM IP gateways with a fully qualified domain name (FQDN).

  • Настройте прослушивающий порт на IP-шлюзах единой системы обмена сообщениями для использования TLS-порта 5061.Configure the listening port on the UM IP gateways to use TLS port 5061.

  • Перезапустите службу маршрутизации вызовов единой системы обмена сообщениями на всех серверах клиентского доступа и перезапустите службу единой системы обмена сообщениями Microsoft Exchange на всех серверах почтовых ящиков.Restart the Unified Messaging Call Router service on all Client Access servers and restart the Microsoft Exchange Unified Messaging service on all Mailbox servers.

Развертывание сертификатов для Lync ServerDeploying certificates for Lync Server

Чтобы зашифровать данные, которые отправляются между единой системой обмена сообщениями и Lync Server, выполните следующее.To encrypt data that's sent between UM and Lync Server, you need to do the following:

  • Создайте новый запрос на сертификат Exchange и получите сертификат внутренней инфраструктуры открытого ключа или приобретите коммерческий сертификат стороннего поставщика. Сертификат должен быть взаимно доверенным для единой системы обмена сообщениями и Lync Server.Create a new Exchange certificate request and obtain an internal PKI certificate, or purchase a third-party commercial certificate. The certificate must be mutually trusted by UM and Lync Server.

  • Импортируйте сертификат, который будет использоваться, на все серверы клиентского доступа и почтовых ящиков в своей организации.Import the certificate that will be used on all Client Access and Mailbox servers in your organization.

  • Включите сертификат, который будет использоваться службами единой системы обмена сообщениями.Enable the certificate to be used by UM services.

  • Импортируйте сертификат на все компьютеры, на которых работает Lync Server.Import the certificate on the computers running Lync Server.

  • Настройте абонентскую группу единой системы обмена сообщениями SIP URI для работы в режиме "с защитой SIP" или "защищенный".Configure the SIP URI UM dial plan as SIP secured or Secured.

  • Настройте режим запуска единой системы обмена сообщениями на серверах клиентского доступа и почтовых ящиков в своей организации.Configure the UM startup mode on Client Access and Mailbox servers in your organization.

  • Запустите OcsUmUtil.exe на компьютере с Lync Server.Run OcsUmUtil.exe from a Lync Server computer.

  • Перезапустите службу маршрутизации вызовов единой системы обмена сообщениями на всех серверах клиентского доступа и перезапустите службу единой системы обмена сообщениями Microsoft Exchange на всех серверах почтовых ящиков в своей организации. Дополнительные сведения см. в разделе Процедуры служб единой системы обмена СООБЩЕНИЯМИ.Restart the Unified Messaging Call Router service on all Client Access servers and restart the Microsoft Exchange Unified Messaging service on all Mailbox servers in your organization. For details, see UM services procedures.

  • Перезапустите службу переднего плана Lync Server на всех серверах Lync Servers, которые входят в пул переднего плана Enterprise Edition или перезапустите серверы переднего плана Standard Edition. С помощью командлета Stop-CsWindowsService можно остановить службы Lync Server, а с помощью командлета Start-CsWindowsService — запустить их.Restart the Lync Server Front-End service on all Lync Servers that are part of an Enterprise Edition Front End pool or restart the Standard Edition Front End Servers. You can use the Stop-CsWindowsService cmdlet to stop Lync Server services and the Start-CsWindowsService cmdlet to start Lync Server services.

    Командлеты Start-CsWindowsService и Stop-CsWindowsService похожи на универсальный командлетов Windows PowerShell, Служба запуска и Остановки службы. Если вы хотите, можно использовать командлеты Служба запуска или Остановки службы для запуска и остановки службы Lync Server. Тем не менее командлеты Start-CsWindowsService Stop-CsWindowsService включать параметр имя компьютера , который позволяет легко остановка и запуск службы Lync Server на удаленном компьютере. Для этого необходимо включить параметр ComputerName , а затем полное доменное имя (FQDN) удаленного компьютера. Командлеты Служба запуска и Остановки службы не имеют соответствующее параметр.The Start-CsWindowsService and Stop-CsWindowsService cmdlets are similar to the generic Windows PowerShell cmdlets Start-Service and Stop-Service. If you want, you could use the Start-Service or Stop-Service cmdlets to start and stop a Lync Server service. However, the Start-CsWindowsService Stop-CsWindowsService cmdlets include a ComputerName parameter that makes it easy to stop and start a Lync Server service on a remote computer. To do this, you include the ComputerName parameter followed by the fully qualified domain name (FQDN) of the remote computer. The Start-Service and Stop-Service cmdlets don’t have a comparable parameter.

    Примечание

    Чтобы полностью интегрировать единую систему обмена сообщениями и Lync Server, необходимо также запустить сценарий ExchUcUtil.ps1 на каждом сервере клиентского доступа или почтовых ящиков в своей организацииTo fully integrate UM and Lync Server, you must also run the ExchUcUtil.ps1 script on any Client Access or Mailbox server in your organization