Compatibilidad de certificado de comodín
Última modificación del tema: 2012-10-18
Microsoft Lync Server 2010 usa certificados para suministrar cifrado de comunicaciones y autenticación de identidad de servidor. En algunos casos, como la publicación web mediante proxy inverso, no es necesaria la coincidencia sólida de entradas de nombre alternativo de sujeto (SAN) con el nombre de dominio completo (FQDN) del servidor que presenta el servicio. En estos casos, puede usar certificados con entradas de SAN de comodín (conocidas generalmente como “certificados de comodín”) para reducir el costo de un certificado solicitado de una entidad de certificación pública y para reducir la complejidad del proceso de planeamiento para certificados.
.gif "warning") Advertencia: |
|---|
| Para retener la funcionalidad de los dispositivos de comunicaciones unificadas (UC) (por ejemplo, teléfonos de escritorio), debe probar el certificado implementado con cuidado para garantizar que los dispositivos funcionan correctamente después de implementar un certificado de comodín. |
No hay compatibilidad para una entrada de comodín como nombre de sujeto (también denominado nombre común o CN) para ninguna función. Las siguientes funciones de servidor son compatibles al usar entradas de comodín en el SAN:
Proxy inverso. La entrada de SAN de comodín es compatible con el certificado de publicación de URL simple.
Director. La entrada de SAN de comodín es compatible con URL simples en componentes web de Director.
Servidor front-end (Standard Edition) y Grupo de servidores front-end (Enterprise Edition). La entrada de SAN de comodín es compatible con URL simples en componentes web de front-end.
Mensajería unificada de Exchange (UM). El servidor no usa entradas de SAN cuando se implementa como servidor independiente.
Microsoft Exchange Server Servidor de acceso de cliente. Las entradas de comodín en el SAN son compatibles para clientes internos y externos.
Mensajería unificada de Exchange (UM) y Microsoft Exchange Server Servidor de acceso de cliente en el mismo servidor. Las entradas de SAN de comodín son compatibles.
Funciones de servidor que no se abordan en este tema:
Funciones de servidor interno (incluidos, entre otros, servidor de mediación, Servidor de archivado y supervisión, aplicación de sucursal con funciones de supervivencia o Servidor de sucursal con funciones de supervivencia)
Interfaces de Servidor perimetral externas
Interfaces de Servidor perimetral internas
Nota
Para la interfaz de Servidor perimetral interna, se puede asignar al SAN una entrada de comodín, y es compatible. No se hace una consulta al SAN en el Servidor perimetral interno, y una entrada de SAN de comodín es de valor limitado.
A fin de describir los posibles usos de certificados de comodín, las instrucciones de certificados que se usan para las arquitecturas de referencia en la documentación sobre planeación se replica aquí para mantener la coherencia. Para obtener más información, consulte Arquitectura de referencia. Como ya se mencionó anteriormente, los dispositivos de comunicaciones unificadas dependen de una sólida coincidencia de nombre, y no podrán autenticarse si se presenta aquí una entrada de SAN de comodín antes de la entrada de FQDN. Si respeta el orden que se presenta en la siguiente tabla, limitará los problemas potenciales con un dispositivo de comunicaciones unificadas y entradas de comodín en el SAN.
Configuraciones de certificado de comodín para Lync Server 2010
| Componente | Nombre de sujeto | Entradas/orden de SAN | Entidad de certificación (CA) | Uso mejorado de clave (EKU) | Comentarios |
|---|---|---|---|---|---|
Proxy inverso |
lsrp.contoso.com |
lsweb-ext.contoso.com *.contoso.com |
Público |
Servidor |
Servicio de libreta de direcciones, expansión del grupo de distribución y reglas de publicación del dispositivo IP de Lync. El nombre alternativo de sujeto incluye: FQDN de servicios web externos El comodín reemplaza a SAN de marcado y coincidencia donde las URL simples de marcado y coincidencia usan los siguientes formatos: <FQDN>/meet <FQDN>/dialin O bien, meet.<FQDN> dialin.<FQDN> |
Director |
dirpool01.contoso.net |
sip.contoso.com sip.fabrikam.com dirweb.contoso.net dirweb-ext.contoso.com <nombre de host>.contoso.net, por ejemplo <nombre de host> es director01 para un director en un grupo de servidores dirpool.contoso.net *.contoso.com |
Privado |
Servidor |
Asignar a los siguientes servidores y roles del grupo de servidores director: Cada director del grupo de servidores o para el director independiente cuando no se implementa un grupo de servidores director. El comodín reemplaza a SAN de marcado y coincidencia donde las URL simples de marcado y coincidencia usan los siguientes formatos: <FQDN>/admin <FQDN>/meet <FQDN>/dialin O bien, admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Front-end de Enterprise Edition |
pool01.contoso.net (para un grupo de servidores con carga equilibrada) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com <nombre de host>.contoso.net, por ejemplo <nombre de host> es fe01 para un servidor front-end en un grupo de servidores pool01.contoso.net *.contoso.com |
Privado |
Servidor |
Asignar a los siguientes servidores y funciones del grupo de servidores del próximo salto: Front-end en Pool01 El comodín reemplaza a SAN de marcado y coincidencia donde las URL simples de marcado y coincidencia usan los siguientes formatos: <FQDN>/admin <FQDN>/meet <FQDN>/dialin O bien, admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Front-end de Standard Edition |
se01.contoso.net |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com se01.contoso.net *.contoso.com |
Privado |
Servidor |
Asignar a los siguientes servidores y funciones del grupo de servidores del próximo salto: El comodín reemplaza a SAN de marcado y coincidencia donde las URL simples de marcado y coincidencia usan los siguientes formatos: <FQDN>/admin <FQDN>/meet <FQDN>/dialin O bien, admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Microsoft Exchange Server 2007 y Exchange Server 2010
Cuando instala y configura Microsoft Exchange Server, se crean e implementan certificados autofirmados. Cuando agrega un certificado proporcionado por una entidad de certificación al servidor, se recomienda que no elimine el certificado autofirmado hasta que haya vuelto a configurar todos los servicios web y aquellos que no sean web para poder usar correctamente el nuevo certificado. En caso de que algo no funcione correctamente, el certificado autofirmado seguirá estando disponible para que pueda volver a configurar las opciones originales y restaurar las funciones originales, aunque el certificado autofirmado no permitirá todas las características que usted necesita. Esto le suministra tiempo adicional para resolver las configuraciones sin afectar a todas las funciones de producción.
Para obtener información sobre el uso de certificados en Exchange, consulte lo siguiente:
Descripción de los certificados digitales y SSL: https://go.microsoft.com/fwlink/?linkid=218233&clcid=0xC0A
Descripción de espacios de nombres para servidor de acceso de cliente: https://go.microsoft.com/fwlink/?linkid=218234&clcid=0xC0A
Descripción del servicio de detección automática: https://go.microsoft.com/fwlink/?linkid=217012&clcid=0xC0A
Para una implementación de Microsoft Exchange Server con el servidor de acceso de cliente de Exchange Mensajería unificada de Exchange (UM), hay cuatro situaciones posibles de implementación:
**Situación 1:**Mensajería unificada de Exchange (UM) y el servidor de acceso de cliente de Exchange se implementan en servidores diferentes, y el servidor de acceso de cliente tiene conexión a Internet.
**Situación 2:**Mensajería unificada de Exchange (UM) y el servidor de acceso de cliente de Exchange se instalan en el mismo servidor y tienen conexión a Internet.
**Situación 3:**Mensajería unificada de Exchange (UM) y el servidor de acceso de cliente de Exchange se implementan en servidores diferentes con un proxy inverso para su publicación.
**Situación 4:**Mensajería unificada de Exchange (UM) y el servidor de acceso de cliente de Exchange se instalan en el mismo servidor con un proxy inverso para su publicación.
Situación 1: Mensajería unificada de Exchange (UM) y servidor de acceso de cliente de Exchange se implementan en servidores diferentes (el servidor de acceso de cliente tiene conexión a Internet)
| Componente de Microsoft Exchange | Nombre de sujeto | Entradas/orden de SAN | Entidad de certificación (CA) | Uso mejorado de clave (EKU) | Comentarios |
|---|---|---|---|---|---|
Mensajería unificada de Exchange (UM) Nombre de servidor: exchum01.contoso.com |
exchum01.contoso.com |
La función de mensajería unificada de Exchange no debe contener una entrada de SAN |
Privado |
Servidor |
El servidor de Mensajería unificada de Exchange se comunica solo con servidores y clientes internos. Importar certificado raíz privado de la entidad de certificación en cada servidor de Mensajería unificada de Exchange. Crear y asignar certificado único para cada servidor de mensajería unififcada de Exchange. El Nombre de sujeto debe coincidir con el nombre del servidor. Debe habilitar Seguridad de la capa de transporte (TLS) en el servidor de mensajería unificada de Exchange para poder asignar un certificado a la función de mensajería unificada de Exchange. Asignar este certificado para usarlo en el servidor de acceso de cliente de Exchange para la integración con Outlook Web Access y mensajería instantánea (MI). |
Servidor de acceso de cliente de Exchange Servidor de acceso de cliente para sitio de Active Directory con conexión a Internet Nombre de servidor: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Público |
Servidor |
El Nombre de sujeto y la entrada de SAN deben coincidir para admitir dispositivos externos de comunicaciones unificadas. El Nombre de sujeto y la entrada de SAN mail.contoso.com es un nombre de ejemplo que se usa para hacer referencia a Outlook Web Access, Outlook en cualquier lugar, EWS y la libreta de direcciones sin conexión. Los únicos requisitos son que la entrada debe coincidir con un registro de DNS y que se pueda hacer referencia mediante el nombre suministrado a la ExternalURL y otras entradas de servicio. La entrada de SAN de autodiscover es obligatoria para admitir dispositivos externos de comunicaciones unificadas. |
Servidor de acceso de cliente de Exchange Servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet Nombre de servidor: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privado |
Servidor |
El servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet se comunica solo con servidores y clientes internos. El servidor de acceso de cliente para sitio de Active Directory con conexión a Internet establece una conexión proxy para las comunicaciones con este servidor de acceso de cliente si la solicitud proviene de un usuario o servicio que esté haciendo una consulta de servicios (por ejemplo, el buzón de correo) que esté hospedado en este sitio de Active Directory. Los servicios de EWS y libreta de direcciones sin conexión en el sitio de Active Directory sin conexión a Internet se configuran para usar el certificado implementado. Este certificado puede provenir de una entidad de certificación interna privada. El certificado raíz para la entidad de certificación privada debe importarse al almacén de certificados de otro fabricante de confianza en el Servidor de acceso de cliente para sitio de Active Directory con conexión a Internet. |
Situación 2: Mensajería unificada de Exchange (UM) y servidor de acceso de cliente de Exchange instalados en el mismo servidor (con conexión a Internet)
| Componente de Microsoft Exchange | Nombre de sujeto | Entradas/orden de SAN | Entidad de certificación (CA) | Uso mejorado de clave (EKU) | Comentarios |
|---|---|---|---|---|---|
Mensajería unificada de Exchange (UM) Nombre de servidor: exchcas01.contoso.com |
exchcas01.contoso.com |
La función de mensajería unificada de Exchange no debe contener una entrada de SAN |
Privado |
Servidor |
El servidor de Mensajería unificada de Exchange se comunica solo con servidores y clientes internos. Importar certificado raíz privado de la entidad de certificación en cada servidor de Mensajería unificada de Exchange. Debe habilitar TLS en el servidor de mensajería unificada de Exchange para poder asignar un certificado a la función de mensajería unificada de Exchange. Asignar este certificado para usar en el servidor de acceso de cliente para integración con Outlook Web Access y MI. |
Servidor de acceso de cliente de Exchange y Servidor de acceso de cliente para sitio de Active Directory con conexión a Internet Nombre de servidor: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Público |
Servidor |
El Nombre de sujeto y la entrada de SAN deben coincidir para admitir dispositivos externos de comunicaciones unificadas. El Nombre de sujeto y la entrada de SAN mail.contoso.com es un nombre de ejemplo que se usa para hacer referencia a Outlook Web Access, Outlook en cualquier lugar, EWS y la libreta de direcciones sin conexión. Los únicos requisitos son que la entrada debe coincidir con un registro de DNS y que se pueda hacer referencia mediante el nombre suministrado a la ExternalURL y otras entradas de servicio. autodiscover.<espacio de nombres de dominio> se requiere entrada de SAN para admitir dispositivos externos de comunicaciones unificadas. |
Servidor de acceso de cliente de Exchange Servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet Nombre de servidor: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privado |
Servidor |
El servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet se comunica solo con servidores y clientes internos. El servidor de acceso de cliente para sitio de Active Directory con conexión a Internet establece una conexión proxy para las comunicaciones con este servidor de acceso de cliente si la solicitud proviene de un usuario o servicio que esté haciendo una consulta de servicios (por ejemplo, el buzón de correo) que esté hospedado en este sitio de Active Directory. Los servicios web de Exchange y servicios de libreta de direcciones sin conexión en el sitio de Active Directory sin conexión a Internet se configuran para usar el certificado implementado. Este certificado puede provenir de una entidad de certificación interna privada. El certificado raíz para la entidad de certificación privada debe importarse al almacén de certificados de otro fabricante de confianza en el servidor de acceso de cliente para sitio de Active Directory con conexión a Internet. |
Situación 3: Mensajería unificada de Exchange (UM)/servidor de acceso de cliente de Exchange implementado en servidores diferentes con proxy inverso para publicación
| Componente de Microsoft Exchange | Nombre de sujeto | Entradas/orden de SAN | Entidad de certificación (CA) | Uso mejorado de clave (EKU) | Comentarios |
|---|---|---|---|---|---|
Mensajería unificada de Exchange (UM) Nombre de servidor: exchum01.contoso.com |
exchum01.contoso.com |
La función de mensajería unificada de Exchange no debe contener una entrada de SAN |
Privado |
Servidor |
El servidor de Mensajería unificada de Exchange se comunica solo con servidores y clientes internos. Importar certificado raíz privado de la entidad de certificación en cada servidor de Mensajería unificada de Exchange. Crear y asignar certificado único para cada servidor de mensajería unificada de Exchange. El Nombre de sujeto debe coincidir con el nombre del servidor. Debe habilitar TLS en el servidor de mensajería unificada de Exchange para poder asignar un certificado a la función de mensajería unificada de Exchange. Asignar este certificado para usar en el servidor de acceso de cliente para integración con Outlook Web Access y MI. |
Servidor de acceso de cliente de Exchange Nombre de servidor: exchcas01.contoso.com |
exchcas01.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privado |
Servidor |
El Nombre de sujeto y la entrada de SAN deben coincidir para admitir dispositivos externos de comunicaciones unificadas. Importar certificado raíz privado de entidad de certificación en cada servidor de acceso de cliente de Exchange. El Nombre de sujeto y la entrada de SAN mail.contoso.com es un nombre de ejemplo que se usa para hacer referencia a Outlook Web Access, Outlook en cualquier lugar, EWS y la libreta de direcciones sin conexión. Los únicos requisitos son que la entrada debe coincidir con un registro de DNS y que se pueda hacer referencia mediante el nombre suministrado a la ExternalURL y otras entradas de servicio. La entrada de SAN de autodiscover es obligatoria para admitir dispositivos externos de comunicaciones unificadas. La entrada para el nombre de equipo (en este ejemplo, exchcas01.contoso.com) debe existir para integración con Outlook Web Access y MI. |
Proxy inverso Nombre de servidor: rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Público |
Servidor |
También debe haber una entrada coincidente para el nombre de sujeto en el SAN del certificado. Finalizar TLS o SSL en el proxy inverso y luego volver a establecer TLS o SSL al servidor de acceso de cliente dará como resultado errores en los dispositivos de comunicaciones unificadas. Como característica de algunos productos como Microsoft Internet Security and Acceleration (ISA) Server y Microsoft Forefront Threat Management Gateway y otras implementaciones de terceros, no se puede finalizar TLS o SSL si van a admitir dispositivos de comunicaciones unificadas. Para que los dispositivos de comunicaciones unificadas funcionen correctamente, debe existir una entrada de SAN para autodiscover. |
Servidor de acceso de cliente de Exchange Servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet Nombre de servidor: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privado |
Servidor |
El servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet se comunica solo con servidores y clientes internos. El servidor de acceso de cliente para sitio de Active Directory con conexión a Internet establece una conexión proxy para las comunicaciones con este servidor de acceso de cliente si la solicitud proviene de un usuario o servicio que esté haciendo una consulta de servicios (por ejemplo, el buzón de correo) que esté hospedado en este sitio de Active Directory. Los servicios web de Exchange y servicios de libreta de direcciones sin conexión en el sitio de Active Directory sin conexión a Internet se configuran para usar el certificado implementado. Este certificado puede provenir de una entidad de certificación interna privada. El certificado raíz para la entidad de certificación privada debe importarse al almacén de certificados de otro fabricante de confianza en el servidor de acceso de cliente para sitio de Active Directory con conexión a Internet. |
Situación 4: Mensajería unificada de Exchange (UM)/servidor de acceso de cliente de Exchange instalado en el mismo servidor con proxy inverso para publicación
| Componente de Microsoft Exchange | Nombre de sujeto | Entradas/orden de SAN | Entidad de certificación (CA) | Uso mejorado de clave (EKU) | Comentarios |
|---|---|---|---|---|---|
Mensajería unificada de Exchange (UM) Nombre de servidor: exchum01.contoso.com |
exchum01.contoso.com |
La función de mensajería unificada de Exchange no debe contener una entrada de SAN |
Privado |
Servidor |
El servidor de Mensajería unificada de Exchange se comunica solo con servidores y clientes internos. Importar certificado raíz privado de la entidad de certificación en cada servidor de Mensajería unificada de Exchange. Crear y asignar certificado único para cada servidor de mensajería unificada de Exchange. El Nombre de sujeto debe coincidir con el nombre del servidor. No se requiere SAN. Debe habilitar TLS en el servidor de mensajería unificada de Exchange para poder asignar un certificado a la función de mensajería unificada de Exchange. |
Servidor de acceso de cliente de Exchange Mensajería unificada de Exchange (UM) Nombre de servidor: exchcas01.contoso.com |
mail.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privado |
Servidor |
El Nombre de sujeto y la entrada de SAN deben coincidir para admitir dispositivos externos de comunicaciones unificadas. Importar certificado raíz privado de entidad de certificación en cada servidor de acceso de cliente de Exchange. El Nombre de sujeto y la entrada de SAN mail.contoso.com es un nombre de ejemplo que se usa para hacer referencia a Outlook Web Access, Outlook en cualquier lugar, EWS y la libreta de direcciones sin conexión. Los únicos requisitos son que la entrada debe coincidir con un registro de DNS y que se pueda hacer referencia mediante el nombre suministrado a la ExternalURL y otras entradas de servicio. La entrada de SAN de autodiscover es obligatoria para admitir dispositivos externos de comunicaciones unificadas. La entrada para el nombre de equipo (en este ejemplo, exchcas01.contoso.com) debe existir para integración con Outlook Web Access y MI. |
Proxy inverso Nombre de servidor: rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Público |
Servidor |
También debe haber una entrada coincidente para el nombre de sujeto en el SAN del certificado. Finalizar TLS o SSL en el proxy inverso y luego volver a establecer TLS o SSL al servidor de acceso de cliente dará como resultado errores en los dispositivos de comunicaciones unificadas. Como característica de algunos productos como ISA Server y Forefront Threat Management Gateway (TMG) y otras implementaciones de terceros, no se puede finalizar TLS o SSL si se van a admitir dispositivos de comunicaciones unificadas. Para que los dispositivos de comunicaciones unificadas funcionen correctamente, debe existir una entrada de SAN para autodiscover. |
Servidor de acceso de cliente de Exchange Servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet Nombre de servidor: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privado |
Servidor |
El servidor de acceso de cliente para sitio de Active Directory sin conexión a Internet se comunica solo con servidores y clientes internos. El servidor de acceso de cliente para sitio de Active Directory con conexión a Internet establece una conexión proxy para las comunicaciones con este servidor de acceso de cliente si la solicitud proviene de un usuario o servicio que esté haciendo una consulta de servicios (por ejemplo, el buzón de correo) que esté hospedado en este sitio de Active Directory. Los servicios web de Exchange y servicios de libreta de direcciones sin conexión en el sitio de Active Directory sin conexión a Internet se configuran para usar el certificado implementado. Este certificado puede provenir de una entidad de certificación interna privada. El certificado raíz para la entidad de certificación privada debe importarse al almacén de certificados de otro fabricante de confianza en el servidor de acceso de cliente para sitio de Active Directory con conexión a Internet. |