Lync Server 2013 中的证书摘要 - 使用硬件负载平衡器的扩展的合并边缘
上一次修改主题: 2012-10-22
Microsoft Lync Server 2013 使用证书对其他服务器进行相互身份验证,以及从服务器到服务器和服务器到客户端的数据进行加密。 证书要求与服务器关联的域名系统 (DNS) 记录的名称匹配,并且证书上 (SAN) 的使用者名称 (SN) 和使用者可选名称。 若要成功映射服务器、DNS 记录和证书条目,必须仔细规划在 DNS 中注册的预期服务器完全限定的域名,以及证书上的 SN 和 SAN 条目。
分配给边缘服务器外部接口的证书是从公共证书颁发机构请求的, (CA) 。 以下文章列出了已证明成功提供用于统一通信的证书的公共 CA: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395。 请求证书时,您可以使用 Lync Server 部署向导生成的证书请求,或者手动创建请求,或者由公共 CA 提供的进程创建请求。 分配证书时,证书将分配给 Access Edge 服务接口、Web 会议边缘服务接口和音频/视频身份验证服务。 音频/视频身份验证服务不应与 A/V Edge 服务混淆,后者不使用证书来加密音频和视频流。 内部边缘服务器接口可以使用从内部 (到组织的证书) CA 或来自公共 CA 的证书。 内部接口证书仅使用 SN,不需要或使用 SAN 条目。
注意
下表显示了使用者可选名称列表中的第二个 SIP 条目 (sip.fabrikam.com) 以供参考。 对于组织中的每个 SIP 域,需要添加证书使用者可选名称列表中列出的相应 FQDN。
使用硬件负载均衡器进行缩放的合并边缘所需的证书
| 组件 | 使用者名称 | SAN) /Order (使用者可选名称 | 备注 |
|---|---|---|---|
单个合并的边缘服务器 (外部边缘) |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
如果要部署与 AOL 的公共 IM 连接,证书必须来自公共 CA,并且必须具有服务器 EKU 和客户端 EKU。 此外,对于缩放的边缘服务器,证书私钥必须是可导出的,并且证书和私钥必须复制到每个边缘服务器。证书分配给外部边缘接口,用于:
请注意,SAN 将根据拓扑生成器中的定义自动添加到证书。 根据需要为需要支持的其他 SIP 域和其他条目添加 SAN 条目。 使用者名称在 SAN 中复制,并且必须存在才能正确操作。 |
单个合并的边缘服务器 (内部边缘) |
lsedge.contoso.net |
无需 SAN |
证书可由公共或专用 CA 颁发,并且必须包含服务器 EKU。 证书分配给内部边缘服务器接口。 |
证书摘要 - 公共即时消息连接
| 组件 | 使用者名称 | SAN) /Order (使用者可选名称 | 备注 |
|---|---|---|---|
外部/访问边缘服务 |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
如果要部署与 AOL 的公共 IM 连接,证书必须来自公共 CA,并且必须具有服务器 EKU 和客户端 EKU。 证书分配给外部 Edge 接口,用于:
请注意,SAN 将根据拓扑生成器中的定义自动添加到证书。 根据需要为需要支持的其他 SIP 域和其他条目添加 SAN 条目。 使用者名称在 SAN 中复制,并且必须存在才能正确操作。 |
可扩展消息传送和状态协议的证书摘要
| 组件 | 使用者名称 | SAN) /Order (使用者可选名称 | 备注 |
|---|---|---|---|
分配给边缘服务器或边缘池的 Access Edge 服务 |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com xmpp.contoso.com *.contoso.com |
前三个 SAN 条目是完整边缘服务器的常规 SAN 条目。 contoso.com 是在根域级别与 XMPP 合作伙伴联合所需的条目。 此条目将允许所有后缀为 *.contoso.com 的域使用 XMPP。 |