Lync Server 2010 の証明書
トピックの最終更新日: 2011-05-02
エッジ サーバーは証明書を所有し、MTLS により内部サーバーと通信します。各エッジ サーバーの内部インターフェイスと外部インターフェイスの両方で証明書が必要です。
各エッジ サーバーは、境界ネットワークとインターネットの間のインターフェイスでパブリック証明書を要求します。証明書はパブリック証明機関 (CA) によって発行される必要があり、証明書のサブジェクトの別名 (SAN) には、アクセス エッジ サービスおよび Web 会議エッジ サービスの完全修飾ドメイン名 (FQDN) の外部名が含まれている必要があります。ただし、展開ウィザードでは SAN の構成が簡単化されており、プロセスの大部分が自動化されています。Microsoft Lync Server 2010 では、すべての外部インターフェイス用の単一のパブリック証明書の使用がサポートされています。証明書の秘密キーは、複数のエッジ サーバーで使用される場合はエクスポート可能であることが必要です。単一のエッジ サーバーでもエクスポート可能なキーを使用することをお勧めします。エッジ サーバー以外のコンピューターから証明書を要求する場合も、キーはエクスポート可能である必要があります。
外部エッジ インターフェイスでの音声ビデオ認証でも証明書が要求されます。音声ビデオ認証証明書の秘密キーは、認証資格情報の生成に使用されます。使用する証明書は、パブリック CA から発行される必要があります。既定では、外部エッジと音声ビデオ認証で同じ証明書が使用されます。サイトで複数の負荷分散型のエッジ サーバーを展開している場合は、各エッジ サーバーに同じ証明書をインストールする必要があります。証明書を複数のエッジ サーバーで使用する場合、または、エッジ サーバー以外のコンピューターから証明書を要求する場合、証明書はエクスポート可能である必要があります。
各リバース プロキシ サーバーは、Web サーバー証明書を要求します。Web サーバー証明書の SAN は、すべての Web 外部 FQDN (すべてのフロント エンド プールおよびディレクトリを形成) およびすべての簡単な URL (管理 URL を除く) を指定する必要があります。この証明書は、パブリック CA によって発行される必要があります。
エッジ サーバーの証明書の要件および展開の詳細については、「計画」ドキュメントの「外部ユーザー アクセスに対する証明書要件」、「展開」ドキュメントの「エッジの証明書の要求」、および「展開」ドキュメントの「エッジ証明書のセットアップ」を参照してください。
証明書のベスト プラクティス
複数のエッジ サーバーで同じ証明書を使用する場合、セキュリティを強化するには、すべてのエッジ サーバーで使用する単一の証明書を要求し、秘密キーをエクスポート可能とマークして、次の操作を行います。
エッジ サーバーで、証明書とエクスポート可能な秘密キーを要求します。
最初のエッジ サーバーに証明書をインポートします。必要に応じて、ルート証明書チェーンを含めます。
証明書と秘密キーをエクスポートします。証明書はこの操作が可能とマークされている必要があります。
各エッジ サーバーのコンピューター ストアにエクスポートした証明書をインポートします。ただし、この証明書の秘密キーはエクスポート可能とマークしません。