Compartir a través de

  • Artículo

Certificados de Lync Server 2010

 

Última modificación del tema: 2011-05-02

Los servidores perimetrales tienen certificados y se comunican con los servidores internos a través de MTLS. Se requieren certificados para las interfaces interna y externa de cada servidor perimetral.

Cada servidor perimetral requiere un certificado público en las interfaces entre la red perimetral e Internet. El certificado debe estar emitido por una entidad de certificación pública (CA) y el nombre alternativo del firmante (SAN) en el certificado debe contener los nombres externos del servicio de servidor perimetral y los nombres de dominio completos (FQDN) del servicio perimetral de conferencia web, pero el Asistente para la implementación simplifica la configuración del SAN, automatizando gran parte del proceso. Microsoft Lync Server 2010 admite el uso de un único certificado público para todas las interfaces externas. La clave privada del certificado debe poder exportarse, si se usa con varios servidores perimetrales, y se recomienda que use una clave exportable con un único servidor perimetral. Además, la clave también debe ser exportable si solicita el certificado desde cualquier otro equipo que no sea el servidor perimetral.

También se requiere un certificado en la interfaz del servidor externo para la autenticación A/V. La clave privada del certificado de autenticación A/V se utiliza para generar las credenciales de autenticación. El certificado que use debe estar emitido por una CA pública. De forma predeterminada, el mismo certificado se usa para el servidor perimetral externo y la autenticación A/V. Si está implementando varios servidores perimetrales con equilibrio de carga en un sitio, se debe instalar el mismo certificado en cada servidor perimetral. El certificado debe ser exportable si lo usa en más de un servidor perimetral o si solicita el certificado desde cualquier otro equipo que no sea el servidor perimetral.

Cada servidor de proxy inverso requiere un certificado de servidor web. El SAN del certificado del servidor web debe especificar todos los FQDN web externos (de todos los grupos y directores front-end) y todas las direcciones URL simples, excepto la dirección URL de administración. Dicho certificado debe ser emitido por una CA pública.

Para obtener más detallas acerca de los requisitos de certificados y de la implementación de servidores perimetrales, consulte Requisitos de certificado para el acceso de usuarios externos en la documentación de planeación, Solicitar certificados perimetrales en la documentación de implementación, y Configurar los certificados perimetrales en la documentación de documentación.

Prácticas recomendadas para certificados

Para ayudar a garantizar la seguridad cuando se usa el mismo certificado en varios servidores perimetrales, solicite un único certificado para usar en todos los servidores perimetrales, marque la clave privada como exportable y, a continuación, haga lo siguiente:

  1. En un servidor perimetral, solicite un certificado con una clave privada exportable.

  2. Importe el certificado al primer servidor perimetral. Incluya la cadena del certificado raíz, si es necesario.

  3. Exporte el certificado con su clave privada. El certificado debe estar marcado para permitir esta acción.

  4. Importe el certificado que exportó en el almacén del equipo en cada servidor perimetral, pero no marque la clave privada de este certificado como exportable.