Partager via

  • Article

Certificats pour Lync Server 2010

 

Dernière rubrique modifiée : 2011-05-02

Les serveurs Edge sont dotés de certificats et communiquent avec les serveurs internes via MTLS. Les certificats sont requis à la fois sur les interfaces internes et externes des serveurs Edge.

Chaque serveur Edge requiert un certificat public sur les interfaces situées entre le réseau de périmètre et Internet. Un certificat doit être émis par une autorité de certification publique et l’autre nom du sujet du certificat doit contenir les noms externes des noms de domaine complets (FQDN) du serveur Edge d’accès et du service Edge de conférence Web, mais l’Assistant Déploiement permet de simplifier la configuration de l’autre nom du sujet, en automatisant la majorité du processus. Microsoft Lync Server 2010 prend en charge l’utilisation d’un certificat public unique pour toutes les interfaces externes. La clé privée du certificat doit être exportable, si elle est utilisée avec plusieurs serveurs Edge, et nous vous recommandons d’utiliser une clé exportable avec un serveur Edge unique. La clé doit également être exportable si vous demandez le certificat depuis un ordinateur autre que le serveur Edge.

Un certificat est également requis sur l’interface Edge externe à des fins d’authentification A/V. La clé privée de ce certificat d’authentification A/V est utilisée pour générer des informations d’identification. Le certificat que vous utilisez doit être émis par une autorité de certification publique. Par défaut, le même certificat est utilisé pour l’interface Edge externe et l’authentification A/V. Si vous déployez plusieurs serveurs Edge à charge équilibrée sur un site, vous devez installer le même certificat sur chaque serveur Edge. Le certificat doit être exportable si vous l’utilisez sur plusieurs serveurs Edge ou si vous le demandez depuis un ordinateur autre que le serveur Edge.

Chaque serveur proxy inverse requiert un certificat de serveur Web. L’autre nom du sujet du certificat de serveur Web doit spécifier tous les noms de domaine complets (FQDN) externes Web (de tous les pools frontaux et directeurs) et toutes les URL simples, à l’exception de l’URL d’administration. Ce certificat doit être émis par une autorité de certification publique.

Pour plus d’informations sur les exigences et le déploiement d’un certificat de serveur Web, voir Configuration requise pour les certificats pour l’accès des utilisateurs externes dans la documentation de planification, Demander des certificats Edge dans la documentation de déploiement et Configurer des certificats de serveur Edge dans la documentation de déploiement.

Pratiques recommandées pour les certificats

À des fins de sécurité lorsque vous utilisez le même certificat sur plusieurs serveurs Edge, demandez à ce qu’un seul certificat soit utilisé pour tous les serveurs Edge et marquez la clé privée comme exportable, puis procédez comme suit :

  1. Sur un serveur Edge, demandez un certificat doté d’une clé privée exportable.

  2. Importez le certificat sur le premier serveur Edge. Incluez la chaîne de certificats racine, si nécessaire.

  3. Exportez le certificat avec sa clé privée. Pour que cela soit possible, le certificat doit être marqué.

  4. Importez le certificat que vous avez exporté dans le magasin de l’ordinateur de chaque serveur Edge, mais ne marquez pas la clé privée de ce certificat comme exportable.