Сводка по сертификатам — единая Объединенная пограничная с общедоступными IP-адресами в Lync Server 2013Certificate summary - Single consolidated edge with public IP addresses in Lync Server 2013

 

Последнее изменение темы: 2012-09-08Topic Last Modified: 2012-09-08

Microsoft Lync Server 2013 использует сертификаты для взаимной проверки подлинности других серверов и для шифрования данных от сервера к серверу и к клиенту.Microsoft Lync Server 2013 uses certificates to mutually authenticate other servers and to encrypt data from server to server and server to client. Для сертификатов требуется сопоставление записей DNS, связанных с серверами, именем субъекта (SN) и альтернативным именем субъекта (SAN) в сертификате.Certificates require name matching of the domain name system (DNS) records associated with the servers and the subject name (SN) and subject alternative name (SAN) on the certificate. Для успешного сопоставления серверов, DNS-записей и записей сертификатов необходимо тщательно спланировать полные доменные имена серверов как зарегистрированные записях DNS, SN и SAN в сертификате.To successfully map servers, DNS records and certificate entries, you must carefully plan your intended server fully qualified domain names as registered in DNS and the SN and SAN entries on the certificate.

Сертификат, назначенный внешним интерфейсам пограничного сервера, запрашивается от общедоступного центра сертификации (CA).The certificate assigned to the external interfaces of the Edge Server is requested from a public certification authority (CA). Общедоступные центры сертификации, которые продемонстрировали успешные попытки предоставления сертификатов для единой системы обмена сообщениями, перечислены в следующей статье: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 при запросе сертификата можно использовать запрос на сертификат, созданный мастером развертывания Lync Server, или создать запрос вручную или процессом, предоставленным общедоступным центром сертификации.Public CAs that have demonstrated success in supplying certificates for the purposes of Unified Communications are listed in the following article: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 When requesting the certificate, you can use the certificate request generated by the Lync Server Deployment Wizard or create the request manually or by a process provided by the public CA. При назначении сертификата сертификату назначается интерфейс пограничной службы доступа, интерфейс пограничной службы веб-конференций и служба проверки подлинности аудио-и видеоданных.When assigning the certificate, the certificate is assigned to the Access Edge service interface, the Web Conferencing Edge service interface, and the Audio/Video Authentication service. Службу проверки подлинности аудио и видео не следует путать с пограничной службой аудио-и видеоданных, которая не использует сертификат для шифрования аудио-и видеопотоков.The Audio/Video Authentication service should not be confused with the A/V Edge service which does not use a certificate to encrypt the audio and video streams. Внутренний интерфейс пограничного сервера может использовать сертификат из внутреннего ЦС организации или сертификата из общедоступного центра сертификации.The internal Edge Server interface can use a certificate from an internal (to your organization) CA or a certificate from a public CA. Сертификат внутреннего интерфейса использует только SN и ему не требуются записи SAN.The internal interface certificate uses only the SN and does not need or use SAN entries.

Примечание

В следующей таблице в списке альтернативных имен субъектов для справки показана вторая запись SIP (sip.fabrikam.com). Для каждого домена SIP организации вам нужно добавить соответствующее полное доменное имя, указанное в списке альтернативных имен субъектов сертификата.The following table shows a second SIP entry (sip.fabrikam.com) in the subject alternative name list for reference. For each SIP domain in your organization, you need to add a corresponding FQDN listed in the certificate subject alternative name list.

Сертификаты, необходимые для отдельного консолидированного пограничного сервера с общедоступными IP-адресамиCertificates Required for Single Consolidated Edge with Public IP Addresses

КомпонентComponent Имя субъекта (SN)Subject name (SN) Альтернативные имена субъектов (SAN)/заказSubject alternative names (SAN)/Order CommentsComments

Единая консолидированная среда пограничных серверов (внешний периметр)Single consolidated Edge (External Edge)

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

Сертификат должен быть выдан общедоступным центром сертификации и иметь расширенное использование ключа "клиент" и "сервер", если необходимо настроить взаимодействие с общедоступной системой обмена сообщениями AOL. Сертификат назначается внешним пограничным интерфейсам:Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • Сервер пограничного доступаAccess Edge

  • Пограничный сервер конференцийConferencing Edge

  • Пограничный сервер аудио- и видеоконференцийA/V Edge

Следует отметить, что имена SAN автоматически добавляются в сертификат на основе ваших определений в построителе топологий. По мере необходимости добавляются записи SAN для дополнительных доменов SIP и другие записи, которые требуется поддерживать. Имя субъекта реплицируется в SAN и должно присутствовать для правильного функционирования.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

Единая консолидированная среда пограничных серверов (внутренний периметр)Single consolidated Edge (Internal Edge)

lsedge.contoso.netlsedge.contoso.net

SAN не требуетсяNo SAN required

Сертификат может быть выдан открытым или закрытым центром сертификации и должен содержать ключ EKU сервера. Сертификат назначается внутреннему пограничному интерфейсу.Certificate can be issued by a public or private CA, and must contain the server EKU. The certificate is assigned to the internal Edge interface.

Сводка по сертификату– подключение к общедоступным системам обмена мгновенными сообщениямиCertificate Summary – Public Instant Messaging Connectivity

КомпонентComponent Имя субъектаSubject name Альтернативные имена субъекта (SAN)/порядокSubject alternative names (SAN)/Order CommentsComments

Внешний/пограничный доступExternal/Access Edge

sip.contoso.comsip.contoso.com

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.fabrikam.comsip.fabrikam.com

Сертификат должен быть выдан общедоступным центром сертификации и иметь расширенное использование ключа "клиент" и "сервер", если необходимо настроить взаимодействие с общедоступной системой обмена сообщениями AOL. Сертификат назначается внешним пограничным интерфейсам:Certificate must be from a Public CA, and must have the server EKU and client EKU if public IM connectivity with AOL is to be deployed. The certificate is assigned to the external Edge interfaces for:

  • Сервер пограничного доступаAccess Edge

  • Пограничный сервер конференцийConferencing Edge

  • Пограничный сервер аудио- и видеоконференцийA/V Edge

Обратите внимание, что альтернативные имена субъекта автоматически добавляются в сертификат на основе определений в построителе топологий. Записи альтернативных имен необходимы для дополнительных доменов SIP и прочих записей, которые должны поддерживаться. Имя субъекта копируется в одно из альтернативных имен, что необходимо для правильного выполнения операций.Note that SANs are automatically added to the certificate based on your definitions in Topology Builder. You add SAN entries as needed for additional SIP domains and other entries that you need to support. The subject name is replicated in the SAN and must be present for correct operation.

Сводка по сертификатам для расширяемого протокола XMPPCertificate Summary for Extensible Messaging and Presence Protocol

КомпонентComponent Имя субъектаSubject name Альтернативные имена субъекта (SAN)/порядокSubject alternative names (SAN)/Order CommentsComments

Назначение доступа к пограничной службе пограничного сервера или пограничного пулаAssign to Access Edge service of Edge Server or Edge pool

sip.contoso.comsip.contoso.com

webcon.contoso.comwebcon.contoso.com

sip.contoso.comsip.contoso.com

sip.fabrikam.comsip.fabrikam.com

xmpp.contoso.comxmpp.contoso.com

\*. contoso.com\*.contoso.com

Первые три записи SAN — это обычные записи SAN для полного пограничного сервера.The first three SAN entries are the normal SAN entries for a full Edge Server. Contoso.com — это запись, необходимая для федерации с партнером XMPP на корневом уровне домена.The contoso.com is the entry required for federation with the XMPP partner at the root domain level. Эта запись позволит использовать XMPP для всех доменов с суффиксом \*.contoso.com.This entry will allow XMPP for all domains with the suffix \*.contoso.com.