Richiedere e configurare un certificato per il proxy inverso HTTP
Ultima modifica dell'argomento: 2012-07-15
Il server proxy inverso tipico dispone di certificati sia di un'autorità di certificazione (CA) pubblica che dell'infrastruttura CA interna utilizzata per i requisiti aziendali quando sono necessari certificati. Microsoft Lync Server 2010 consente di utilizzare un'infrastruttura a chiave pubblica aziendale per tutti gli scopi interni, se è stato distribuito. In alternativa, è possibile utilizzare certificati CA pubblici sia per l'utilizzo interno che esterno. Se si prevede di utilizzare certificati CA pubblici e interni, per il proxy inverso sono disponibili sia il certificato radice (ed eventuali certificati intermedi) della CA pubblica che il certificato radice (ed eventuali certificati intermedi) della CA interna. È necessario installare i certificati radice ed eventuali certificati CA intermedi nel server proxy inverso. Fare riferimento alla documentazione del proxy inverso per determinare in che modo i certificati radice e intermedi devono essere caricati nel proxy inverso.
È necessario installare un certificato pubblico di tipo server Web nel server proxy inverso. Un certificato di tipo server Web assicura la corretta comunicazione con le richieste client. Il nome soggetto del certificato pubblico sarà il nome esterno dei servizi Web esterni di server Front End o del pool Front End. Negli esempi utilizzati per l'Architettura di riferimento in Pianificazione dell'accesso utente esterno, il nome di dominio completo esterno di server Front End o del pool Front End è webext.contoso.com. La definizione del nome alternativo soggetto del certificato deve contenere i nomi di dominio completi (FQDN) dei servizi Web esterni pubblicati di ogni pool che ospita utenti abilitati per l'accesso remoto. È necessario configurare un listener e un certificato distinti per i nomi di dominio completi dei servizi Web esterni di tutti i Director o pool di server Director che verranno utilizzati nell'infrastruttura perimetrale. Un esempio di nome soggetto e nome alternativo soggetto di Director o pool di server Director per il certificato è webdirext.contosom. Il nome alternativo soggetto deve includere anche l'URL semplice della riunione, l'URL semplice per l'accesso esterno e, se si distribuiscono applicazioni per dispositivi mobili e si prevede di utilizzare l'individuazione automatica, l'URL del servizio di individuazione automatica esterno, come illustrato nella tabella seguente. L'URL semplice e i nomi alternativi soggetto di individuazione di Lync rimangono uguali a quelli di server Front End, come illustrato nella tabella.
| Valore | Esempio | |
|---|---|---|
Nome soggetto |
FQDN del pool |
webext.contoso.com |
Nome alternativo soggetto |
FQDN del pool |
webext.contoso.com |
Nome alternativo soggetto |
URL semplice riunione Nota Tutti gli URL semplici di riunione devono essere inclusi nel nome alternativo soggetto. Ogni dominio SIP deve avere almeno un URL semplice di riunione attiva. |
meet.contoso.com |
Nome alternativo soggetto |
URL semplice accesso esterno |
dialin.contoso.com |
Nome alternativo soggetto |
URL servizio di individuazione automatica esterno |
lyncdiscover.contoso.com |
Nota
Se la distribuzione interna include più server Standard Edition o pool Front End, è necessario configurare le regole di pubblicazione Web per ogni FQDN di Web FARM esterna e sarà necessario un certificato e un listener Web per ognuno oppure ottenere un certificato con nome alternativo soggetto che contiene i nomi utilizzati da tutti i pool, assegnarlo a un listener Web e condividerlo tra più regole di pubblicazione Web.