Развертывание сертификатов для единой системы обмена сообщениями в Exchange Server
Применимо к: Exchange Server 2013, Exchange Server 2016
С помощью протокола TLS в единой системе обмена сообщениями можно включить шифрование данных, отправляемых между вашими серверами Microsoft Exchange 2013 и шлюзами VoIP, IP-УАТС, пограничными контроллерами сеансов и Microsoft Lync Server. Сертификаты связывают идентификатор владельца сертификата с парой электронных ключей (открытый и закрытый), которые используются для шифрования и цифровой подписи информации.
Если в организации Exchange 2010 используются абонентские группы в режиме "с защитой SIP" или "защищенный", вам понадобится импортировать сертификаты, которые использовались для ваших серверов клиентского доступа Exchange 2013, на которых запущена служба маршрутизации вызовов единой системы обмена сообщениями Microsoft Exchange и серверах почтовых ящиков, на которых запущена служба единой системы обмена сообщениями Microsoft Exchange. Для службы единой системы обмена сообщениями и службы маршрутизации вызовов единой системы обмена сообщениями можно использовать один из следующих сертификатов:
самозаверяющий сертификат (Exchange);
сертификат внутренней инфраструктуры открытого ключа;
коммерческий сертификат стороннего поставщика.
По умолчанию при установке единой системы обмена сообщениями создается и используется самозаверяющий сертификат. Самозаверяющий сертификат можно использовать со шлюзами VoIP, IP-УАТС и SBC, но не при интеграции единой системы обмена сообщениями с Lync Server. В случае развертывания сертификатов, которые будут использоваться с Lync Server, с помощью мастера сертификатов Exchange или командлета New-ExchangeCertificate нужно получить сертификат, выпущенный внутренним центром сертификации или инфраструктурой открытого ключа, либо приобрести коммерческий или сторонний сертификат, который является взаимно доверенным для единой системы обмена сообщениями и Lync Server.
Развертывание сертификатов для шлюзов VoIP, IP-УАТС и SBC
Чтобы включить в единой системе обмена сообщениями возможность шифрования данных, отправляемых между шлюзами VoIP, IP-УАТС и SBC, сделайте следующее.
Используйте замозаверяющий сертификат единой системы обмена сообщениями, создайте новый запрос на сертификат Exchange и получите сертификат внутренней инфраструктуры открытых ключей или приобретите коммерческий сертификат стороннего поставщика, который можно использовать для Mutual TLS между единой системой обмена сообщениями и шлюзами VoIP, IP-УАТС и SBC.
Импортируйте сертификат, который будет использоваться, на все серверы клиентского доступа и почтовых ящиков в своей организации.
Включите сертификат, который будет использоваться службами единой системы обмена сообщениями.
Импортируйте сертификат на свои шлюзы VoIP, IP-УАТС и SBC.
Настройте абонентскую группу единой системы обмена сообщениями для работы в режиме "с защитой SIP" или "защищенный".
Настройте режим запуска единой системы обмена сообщениями на серверах клиентского доступа и почтовых ящиков в своей организации.
Создайте необходимые IP-шлюзы единой системы обмена сообщениями с полным доменным именем (FQDN).
Настройте прослушивающий порт на IP-шлюзах единой системы обмена сообщениями для использования TLS-порта 5061.
Перезапустите службу маршрутизации вызовов единой системы обмена сообщениями на всех серверах клиентского доступа и перезапустите службу единой системы обмена сообщениями Microsoft Exchange на всех серверах почтовых ящиков.
Развертывание сертификатов для Lync Server
Чтобы зашифровать данные, которые отправляются между единой системой обмена сообщениями и Lync Server, выполните следующее.
Создайте новый запрос на сертификат Exchange и получите сертификат внутренней инфраструктуры открытого ключа или приобретите коммерческий сертификат стороннего поставщика. Сертификат должен быть взаимно доверенным для единой системы обмена сообщениями и Lync Server.
Импортируйте сертификат, который будет использоваться, на все серверы клиентского доступа и почтовых ящиков в своей организации.
Включите сертификат, который будет использоваться службами единой системы обмена сообщениями.
Импортируйте сертификат на все компьютеры, на которых работает Lync Server.
Настройте абонентскую группу единой системы обмена сообщениями SIP URI для работы в режиме "с защитой SIP" или "защищенный".
Настройте режим запуска единой системы обмена сообщениями на серверах клиентского доступа и почтовых ящиков в своей организации.
Запустите OcsUmUtil.exe на компьютере с Lync Server.
Перезапустите службу маршрутизатора вызовов единой системы обмена сообщениями на всех серверах клиентского доступа и перезапустите службу единой системы обмена сообщениями Microsoft Exchange на всех серверах почтовых ящиков в организации. Дополнительные сведения см. в разделе Процедуры служб единой системы обмена сообщениями.
Перезапустите службу переднего плана Lync Server на всех серверах Lync Servers, которые входят в пул переднего плана Enterprise Edition или перезапустите серверы переднего плана Standard Edition. С помощью командлета Stop-CsWindowsService можно остановить службы Lync Server, а с помощью командлета Start-CsWindowsService запустить их.
Командлеты Start-CsWindowsService и Stop-CsWindowsService работают подобно общим командлетам Windows PowerShell Start-Service и Stop-Service. Если хотите, можете использовать командлеты Start-Service и Stop-Service, чтобы запускать и останавливать службу Lync Server. Однако командлеты Start-CsWindowsServiceStop-CsWindowsService включают параметр ComputerName , который позволяет легко остановить и запустить службу Lync Server на удаленном компьютере. Для этого необходимо включить параметр ComputerName , за которым следует полное доменное имя удаленного компьютера. В командлетах Start-Service и Stop-Service нет подобного параметра.
Примечание.
Чтобы полностью интегрировать единую систему обмена сообщениями и Lync Server, необходимо также запустить сценарий ExchUcUtil.ps1 на каждом сервере клиентского доступа или почтовых ящиков в своей организации