证书摘要 - Lync Server 2013 中的自动发现
上次修改的主题: 2013-02-14
Lync Server 2013 自动发现服务在 Director 和前端池服务器上运行,在 DNS 中发布时,Lync 客户端可以使用它来查找服务器和用户服务。 如果要从 Lync Server 2010 升级但未部署移动性,则在客户端可以使用自动发现之前,必须在运行自动发现服务的任何 Director 和 Front End Server 上修改证书使用者替代名称列表。 此外,可能需要修改用于反向代理的外部 Web 服务发布规则的证书上的使用者替代名称列表。
决定是否在反向代理上使用使用者可选名称列表取决于是在端口 80 上还是在端口 443 上发布自动发现服务:
在端口 80 上发布 如果对自动发现服务的初始查询通过端口 80 进行,则无需更改证书。 这是因为运行 Lync 的移动设备将在外部访问端口 80 上的反向代理,然后在内部连接到端口 8080 上的 Director 或前端服务器。 有关详细信息,请参阅“使用端口 80 的初始自动发现过程”部分 :Lync Server 2013 中的移动性技术要求。
在端口 443 上发布 外部 Web 服务发布规则使用的证书上的使用者替代名称列表必须包含 lyncdiscover。<组织中每个 SIP 域的 sipdomain> 条目。
重要
强烈建议通过 HTTP 使用 HTTPS。 HTTPS 使用证书来加密流量。 HTTP 不提供加密,发送的任何数据都将是纯文本。
使用内部证书颁发机构重新颁发证书通常是一个简单的过程。 但对于 Web 服务发布规则上使用的公共证书,添加多个使用者替代名称条目可能会变得昂贵。 为了解决此问题,我们支持通过端口 80 建立初始自动发现连接,然后重定向到 Director 或前端服务器上的端口 8080。
注意
如果 Lync Server 2013 基础结构使用内部证书颁发机构颁发的内部证书 (CA) 并且你计划支持移动设备无线连接,则必须将内部 CA 中的根证书链安装在移动设备上,或者必须更改为 Lync Server 2013 基础结构上的公共证书。
本主题介绍目录、前端服务器和反向代理所需的添加的主题替代名称。 仅引用 (SAN) 添加的使用者替代名称。 有关证书上其他条目的指导,请参阅规划部分。 有关详细信息,请参阅 Lync Server 2013 中 Director 的方案、 Lync Server 2013 中外部用户访问的方案,以及 Lync Server 2013 中反向代理的方案。
下表定义了 Director 池、前端池和反向代理的自动发现 SAN 条目:
Director Pool 证书要求
| 说明 | 使用者替代名称条目 |
|---|---|
内部自动发现服务 URL |
SAN=lyncdiscoverinternal。<内部域名> |
外部自动发现服务 URL |
SAN=lyncdiscover.<sipdomain> |
注意
将新更新的证书与新的 SAN 条目分配到默认证书。 或者,可以使用 SAN=*。<sipdomain>.
前端池证书要求
| 说明 | 使用者替代名称条目 |
|---|---|
内部自动发现服务 URL |
SAN=lyncdiscoverinternal。<内部域名> |
外部自动发现服务 URL |
SAN=lyncdiscover.<sipdomain> |
注意
将新更新的证书与新的 SAN 条目分配到默认证书。 或者,可以使用 SAN=*。<sipdomain>
反向代理 (公共 CA) 证书要求
| 说明 | 使用者替代名称条目 |
|---|---|
外部自动发现服务 URL |
SAN=lyncdiscover.<sipdomain> |
注意
将新更新的证书与新的 SAN 条目分配给反向代理上的 SSL 侦听器。