Compartir a través de


Requisitos de certificado para el acceso de usuarios externos en Lync Server 2013

 

Última modificación del tema: 2016-03-29

El software de comunicaciones Microsoft Lync Server 2013 admite el uso de un único certificado público para las interfaces externas perimetrales de conferencia web y acceso, además del servicio de autenticación A/V. La interfaz interna de Edge normalmente usa un certificado privado emitido por una entidad de certificación interna (CA), pero también puede usar un certificado público, siempre que provenga de una CA pública de confianza. El proxy inverso de la implementación usa un certificado público y cifra la comunicación desde el proxy inverso a los clientes y el proxy inverso a los servidores internos mediante HTTP (es decir, seguridad de la capa de transporte a través de HTTP).

Estos son los requisitos para el certificado público usado para las interfaces externas del perímetro de conferencia web y acceso, y el servicio de autenticación A/V:

  • El certificado debe ser emitido por una CA pública aprobada que admita el nombre alternativo del asunto. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 929395 "Asociados de certificados de comunicaciones unificadas para Exchange Server y para Communications Server", en https://go.microsoft.com/fwlink/p/?linkId=202834.

  • Si el certificado se va a usar en un grupo de servidores perimetrales, debe crearse como exportable, con el mismo certificado usado en cada servidor perimetral del grupo de servidores perimetrales. El requisito de clave privada exportable es para los fines del servicio de autenticación A/V, que debe usar la misma clave privada en todos los servidores perimetrales del grupo.

  • Si quieres maximizar el tiempo de actividad de los servicios de audio y vídeo, revisa los requisitos del certificado para implementar un certificado de servicio perimetral A/V desacoplado (es decir, un certificado de servicio perimetral A/V independiente de los demás fines de los certificados de perímetro externo). Para obtener más información, vea Cambios en Lync Server 2013 que afectan a la planeación del servidor perimetral, Planear certificados de servidor perimetral en Lync Server 2013 y Ensayo de certificados AV y OAuth en Lync Server 2013 con -Roll in Set-CsCertificate.

  • El nombre del asunto del certificado es la interfaz externa de servicio perimetral de acceso (FQDN) o VIP del equilibrador de carga de hardware (por ejemplo, access.contoso.com). ). El nombre del asunto no puede tener un carácter comodín, debe ser un nombre explícito.

    Nota

    Para Lync Server 2013, este ya no es un requisito, pero se sigue recomendando para la compatibilidad con Office Communications Server.

  • La lista de nombres alternativos de asunto contiene los FQDN de los siguientes:

    • La interfaz externa del servicio perimetral de Access o la VIP del equilibrador de carga de hardware (por ejemplo, sip.contoso.com).

      Nota

      Aunque el nombre del asunto del certificado sea igual al FQDN del perímetro de acceso, el nombre alternativo del asunto también debe contener el FQDN del perímetro de acceso porque Seguridad de la capa de transporte (TLS) omite el nombre del asunto y usa las entradas del nombre alternativo del asunto para la validación.

    • La interfaz externa de Edge de conferencias web o la VIP del equilibrador de carga de hardware (por ejemplo, webcon.contoso.com).

    • Si usa la configuración automática o la federación de cliente, incluya también los FQDN de dominio SIP usados en su empresa (por ejemplo, sip.contoso.com, sip.fabrikam.com).

    • El servicio perimetral A/V no usa el nombre del asunto ni las entradas de nombres alternativos de asunto.

    Nota

    El orden de los FQDN en la lista de nombres alternativos de asunto no es importante.

Si va a implementar varios servidores perimetrales con carga equilibrada en un sitio, el certificado de servicio de autenticación A/V que está instalado en cada servidor perimetral debe ser de la misma CA y debe usar la misma clave privada. Tenga en cuenta que la clave privada del certificado debe poder exportarse, independientemente de si se usa en un servidor perimetral o en muchos servidores perimetrales. También debe poder exportarse si solicita el certificado desde cualquier equipo que no sea el servidor perimetral. Dado que el servicio de autenticación A/V no usa el nombre del asunto ni el nombre alternativo del asunto, puede volver a usar el certificado del perímetro de acceso siempre que se cumplan los requisitos de nombre alternativo del asunto y del asunto para el perímetro de acceso y el perímetro de conferencia web, y la clave privada del certificado sea exportable.

Los requisitos para el certificado privado (o público) usado para la interfaz interna de Edge son los siguientes:

  • El certificado puede ser emitido por una CA interna o una CA de certificado público aprobado.

  • El nombre del asunto del certificado suele ser FQDN de interfaz interna de Edge o VIP del equilibrador de carga de hardware (por ejemplo, lsedge.contoso.com). Sin embargo, puede usar un certificado de comodín en el interno de Edge.

  • No se requiere ninguna lista de nombres alternativos de asuntos.

El proxy inverso de los servicios de implementación solicita:

  • Acceso de usuario externo al contenido de la reunión para las reuniones

  • Acceso de usuarios externos para expandir y mostrar miembros de grupos de distribución

  • Acceso de usuario externo a archivos descargables desde el servicio de libreta de direcciones

  • Acceso de usuario externo al cliente de Lync Web App

  • Acceso de usuarios externos a la página web Configuración de conferencias de acceso telefónico local

  • Acceso de usuario externo al servicio de información de ubicación

  • Acceso externo del dispositivo al servicio de actualización de dispositivos y obtener actualizaciones

El proxy inverso publica las direcciones URL de los componentes web del servidor interno. Las direcciones URL de los componentes web se definen en el Director, servidor front-end o grupo de servidores front-end como servicios web externos en el Generador de topologías.

Las entradas de caracteres comodín son compatibles con el campo de nombre alternativo del asunto del certificado asignado al proxy inverso. Para obtener más información sobre cómo configurar la solicitud de certificado para el proxy inverso, consulte Solicitar y configurar un certificado para el proxy HTTP inverso en Lync Server 2013.