Compartir a través de

Resumen de certificados: Detección automática en Lync Server 2013

  • Artículo

 

Última modificación del tema: 2013-02-14

El servicio de detección automática de Lync Server 2013 se ejecuta en los servidores del grupo de servidores Detección automática de Director y Front-End y, cuando se publica en DNS, los clientes de Lync pueden usarlo para localizar los servicios del servidor y del usuario. Si va a actualizar desde Lync Server 2010 y no implementó Movilidad, antes de que los clientes puedan usar la detección automática, debe modificar las listas de nombres alternativos del asunto del certificado en cualquier director y servidor front-end que ejecute el servicio de detección automática. Además, puede ser necesario modificar las listas de nombres alternativos del asunto en los certificados usados para las reglas de publicación de servicios web externos en servidores proxy inversos.

La decisión sobre si usar listas de nombres alternativos sujetos en servidores proxy inversos se basa en si publica el servicio de detección automática en el puerto 80 o en el puerto 443:

  • Publicado en el puerto 80 No es necesario realizar cambios en los certificados si la consulta inicial para el servicio de detección automática se produce a través del puerto 80. Esto se debe a que los dispositivos móviles que ejecutan Lync tendrán acceso al proxy inverso en el puerto 80 externamente y, a continuación, se conectarán a un director o servidor front-end en el puerto 8080 internamente. Para obtener más información, consulte la sección Requisitos técnicos para la movilidad en Lync Server 2013 en la sección "Proceso de detección automática inicial con puerto 80".

  • Publicado en el puerto 443 La lista de nombres alternativos del asunto en los certificados usados por la regla de publicación de servicios web externos debe contener una detección de lync.< entrada sipdomain> para cada dominio SIP de su organización.

    Importante

    Recomendamos encarecidamente usar HTTPS a través de HTTP. HTTPS usa certificados para cifrar el tráfico. HTTP no proporciona cifrado y los datos enviados serán de texto sin formato.

La emisión de certificados mediante una entidad de certificación interna suele ser un proceso sencillo. Sin embargo, para los certificados públicos que se usan en la regla de publicación de servicios web, agregar varias entradas de nombres alternativos a temas puede resultar costoso. Para solucionar este problema, admitimos la conexión inicial de detección automática sobre el puerto 80, que después se redirige al puerto 8080 en el Director o servidor front-end.

Nota

Si su infraestructura de Lync Server 2013 usa certificados internos emitidos por una entidad de certificación interna (CA) y tiene previsto admitir dispositivos móviles que se conectan de forma inalámbrica, la cadena de certificados raíz de la CA interna debe instalarse en los dispositivos móviles o debe cambiar a un certificado público en su infraestructura de Lync Server 2013.

En este tema se describen los nombres alternativos de asunto agregados necesarios para el Director, el servidor front-end y el proxy inverso. Solo se hace referencia a los nombres alternativos de asunto agregados (SAN). Consulte las secciones de planificación para obtener instrucciones sobre las otras entradas de certificados. Para obtener más información, consulte Escenarios para el director en Lync Server 2013, Escenarios para el acceso de usuarios externos en Lync Server 2013 y Escenarios para proxy inverso en Lync Server 2013.

En las tablas siguientes se definen las entradas san de detección automática para el grupo de directores, el grupo de servidores front-end y el proxy inverso:

Requisitos del certificado del grupo director

Descripción Entrada de nombre alternativo del asunto

Dirección URL del servicio de detección automática interna

SAN=lyncdiscoverinternal.< nombre de dominio interno>

Dirección URL del servicio de detección automática externa

SAN=lyncdiscover.< sipdomain>

Nota

Asigne el certificado recién actualizado con la nueva entrada de SAN al certificado predeterminado. Como alternativa, puede usar SAN=*.< sipdomain>.

Requisitos de certificados de grupo de servidores front-end

Descripción Entrada de nombre alternativo del asunto

Dirección URL del servicio de detección automática interna

SAN=lyncdiscoverinternal.< nombre de dominio interno>

Dirección URL del servicio de detección automática externa

SAN=lyncdiscover.< sipdomain>

Nota

Asigne el certificado recién actualizado con la nueva entrada de SAN al certificado predeterminado. Como alternativa, puede usar SAN=*.< sipdomain>

Requisitos de certificado de proxy inverso (CA pública)

Descripción Entrada de nombre alternativo del asunto

Dirección URL del servicio de detección automática externa

SAN=lyncdiscover.< sipdomain>

Nota

Asigne el certificado recién actualizado con la nueva entrada SAN al agente de escucha SSL en el proxy inverso.