Рекомендации по сертификатам для развертывания Exchange 2013 и Lync Server

 

Необходимо иметь сертификат,'S доверяет как компьютеры, работающие под управлением и компьютеров с работающим Exchange Lync Server. В среде с Lync Server и единой системой обмена сообщениями, используйте следующие рекомендации для развертывания доверенным сертификатом:

• Импортируйте на серверы Lync, серверы клиентского доступа, серверы почтовых ящиков, сервер-посредник Lync Server и медиашлюзы сертификат, подписанный частным или публичным центром сертификации (CA). Это должен быть доверенный сторонний коммерческий сертификат или сертификат (PKI) инфраструктуры открытого ключа.

• Это упрощение при импорте один и тот же сторонний коммерческий сертификат или сертификат PKI на каждый сервер Exchange. Кроме того, установите этот доверенный сертификат на каждый компьютер, на котором запущен Microsoft Lync Server и сервер-посредник Lync Server. Это сделает его более удобным Развертывание сертификатов и уменьшения административных затрат, связанных с развертыванием сертификаты. Однако, не забудьте получить доверенный сертификат, который поддерживает дополнительные имена субъекта (SAN).

  При развертывании единой системы обмена сообщениями с (TLS) Transport Layer Security, сертификаты, используемые сервером клиентского доступа и сервером почтовых ящиков должен находиться на локальном компьютере как'S (FQDN) полное доменное имя сертификата в имя субъекта. Чтобы обойти эту проблему, используйте публичный сертификат и импортируйте сертификат на всех серверах клиентского доступа и серверах почтовых ящиков, любые шлюзы VoIP, IP-УАТС, и всех серверов Lync.

  Если процесс развертывания включает в себя шлюзы VoIP, или IP-УАТС, а при использовании абонентской группы защищенная по протоколу SIP или как защищенная, доверенный сертификат необходим для преобразования адресов между сервером клиентского доступа и серверами почтовых ящиков и шлюзы VoIP, или IP-УАТС. Доверенный сертификат необходим также при использовании прямого SIP-подключения. Если используется защищенная по протоколу SIP или как защищенная абонентскую группу, можно использовать одного и того же доверенного сертификата на Lync и Exchange серверах, используемый в VoIP-шлюзов и IP-АТС.

• При подключении серверов клиентского доступа и серверов почтовых ящиков Exchange к серверам Microsoft Lync или SIP-шлюзам и УАТС сторонних производителей вы должны использовать действительный сертификат, подписанный внутренним или публичным сторонним центром сертификации для установления защищенных сеансов. Можно использовать один сертификат на всех серверах клиентского доступа и почтовых ящиков до тех пор, пока сертификат имеет FQDN всех серверах клиентского доступа и почтовых ящиков в своих SAN список. Или, вы можете создать другой сертификат для каждого сервера клиентского доступа и сервера почтовых ящиков, с полное доменное имя локального компьютера в общее имя субъекта или SAN список (CN) сертификата для этого сервера. Exchange UM не поддерживает сертификаты с Microsoft Lync Server.

  Без подстановочного имя субъекта необходимо для Lync Server и Exchange для совместной работы. ГМ и Lync Server использовать имя субъекта как способ показать, что они надежные, что участники SIP-сеанса. Lync Server необходимо также имя субъекта-подстановка в некоторых сценариях маршрутизации вызовов. В качестве значения «Выпустил» должен использоваться полное доменное имя.

  Для единой системы обмена сообщениями Exchange, не поддерживается приостановка в сертификате имя по шаблону. Однако вы можете поместить шаблон в SAN.

В следующей таблице перечислены требования к установке сертификатов и настройке сертификатов для единой системы обмена сообщениями Exchange.

Топология	Настройка сертификата
Серверы клиентского доступа и почтовых ящиков на одном сервере: Без Lync 2010 или Lync 2013 Абонентские группы, работающие без протокола SIP	Между серверами клиентского доступа и почтовых ящиков требуется сертификат. Это один и тот же сертификат, который используется между сервером клиентского доступа и серверами почтовых ящиков и шлюза VoIP, IP-УАТС, и SBC.
Серверы клиентского доступа и почтовых ящиков на разных серверах: Без Lync 2010 или Lync 2013 Абонентские группы, работающие без протокола SIP	Требуется сертификат. Сертификат должен соответствовать на серверах клиентского доступа и почтовых ящиков. Необходим также сертификат клиентского доступа и серверы почтовых ящиков между и шлюза VoIP, IP-УАТС, и SBC. Это может быть тот же сертификат или сертификат, отличающийся от используемого между серверами клиентского доступа и почтовых ящиков. Для серверов клиентского доступа и почтовых ящиков запустите командлет Create-ExchangeCertificate с любого сервера.
Серверы клиентского доступа и почтовых ящиков на одном сервере: С Lync 2010 или Lync 2013 Абонентские группы, работающие по протоколу SIP	Требуется сертификат. Серверы клиентского доступа и почтовых ящиков должны иметь тот же сертификат, что и серверы Lync 2010 или 2013.
Серверы клиентского доступа и почтовых ящиков на разных серверах: С Lync 2010 или Lync 2013 Абонентские группы, работающие по протоколу SIP	Требуется сертификат. Серверы клиентского доступа и почтовых ящиков должны иметь тот же сертификат, что и серверы Lync 2010 или 2013.