Поделиться через


Сводка по сертификатам — единая консолидированная пограничная топология с закрытыми IP-адресами и трансляцией сетевых адресов в Lync Server 2013

 

Последнее изменение раздела: 2012-10-22

Microsoft Lync Server 2013 использует сертификаты для взаимной проверки подлинности других серверов и шифрования данных с сервера на сервер и от сервера к клиенту. Для сертификатов требуется сопоставление имен записей системы доменных имен (DNS), связанных с серверами, а также имени субъекта (SN) и альтернативного имени субъекта (SAN) в сертификате. Чтобы успешно сопоставить серверы, записи DNS и записи сертификатов, необходимо тщательно спланировать полные доменные имена сервера, зарегистрированные в DNS, а также записи SN и SAN в сертификате.

Сертификат, назначенный внешним интерфейсам пограничного сервера, запрашивается из общедоступного центра сертификации (ЦС). Общедоступные ЦС, которые успешно предоставили сертификаты для унифицированных коммуникаций, перечислены в следующей статье: https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=929395. При запросе сертификата можно использовать запрос сертификата, созданный мастером развертывания Lync Server, или создать запрос вручную с помощью командлетов командной консоли Lync Server или процесса, предоставляемого общедоступным ЦС. Дополнительные сведения о командлетах командной консоли Lync Server для управления сертификатами см. в разделе Командлеты сертификатов и проверки подлинности в Lync Server 2013 . При назначении сертификата сертификат назначается интерфейсу пограничной службы доступа, интерфейсу пограничной службы веб-конференций и службе проверки подлинности аудио/видео. Службу проверки подлинности аудио и видео не следует путать со службой A/V Edge, которая не использует сертификат для шифрования аудио- и видеопотоков. Внутренний интерфейс пограничного сервера может использовать сертификат из внутреннего ЦС (для организации) или сертификат из общедоступного ЦС. Внутренний сертификат интерфейса использует только SN и не требует и не использует записи SAN.

Примечание.

В следующей таблице показана вторая запись SIP (sip.fabrikam.com) в списке альтернативных имен субъекта для справки. Для каждого домена SIP в организации необходимо добавить соответствующее полное доменное имя, указанное в списке альтернативного имени субъекта сертификата.

Сертификаты, необходимые для единой объединенной границы с частными IP-адресами с использованием NAT

Компонент Имя субъекта (SN) Альтернативные имена субъектов (SAN)/Order Комментарии

Единый объединенный пограничный сервер (внешний пограничный сервер)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

Сертификат должен быть получен из общедоступного ЦС и должен иметь EKU сервера и EKU клиента, если необходимо развернуть подключение к общедоступному обмену мгновенными сообщениями с AOL. Сертификат назначается внешним пограничным интерфейсам для:

  • доступа

  • Конференц-связь Edge

  • передачи аудио- и видеоданных

Обратите внимание, что имена SAN автоматически добавляются в сертификат на основе определений в построителе топологий. Вы добавляете записи SAN по мере необходимости для дополнительных доменов SIP и других записей, которые необходимо поддерживать. Имя субъекта реплицируется в san и должно присутствовать для правильной работы.

Единый объединенный пограничный сервер (внутренний пограничный сервер)

lsedge.contoso.net

San не требуется

Сертификат может быть выдан общедоступным или частным ЦС и должен содержать EKU сервера. Сертификат назначается внутреннему интерфейсу Edge.

Сводка по сертификатам — подключение к общедоступным мгновенным сообщениям

Компонент Имя субъекта Альтернативные имена субъектов (SAN)/Order Комментарии

Внешние границы или пограничные границы доступа

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Сертификат должен быть получен из общедоступного ЦС и должен иметь EKU сервера и EKU клиента, если необходимо развернуть подключение к общедоступному обмену мгновенными сообщениями с AOL. Сертификат назначается внешним пограничным интерфейсам для:

  • доступа

  • Конференц-связь Edge

  • передачи аудио- и видеоданных

Обратите внимание, что имена SAN автоматически добавляются в сертификат на основе определений в построителе топологий. Вы добавляете записи SAN по мере необходимости для дополнительных доменов SIP и других записей, которые необходимо поддерживать. Имя субъекта реплицируется в san и должно присутствовать для правильной работы.

Сводка по сертификатам для расширенного обмена сообщениями и протокола присутствия

Компонент Имя субъекта Альтернативные имена субъектов (SAN)/Order Комментарии

Назначение пограничной службе доступа пограничного сервера или пограничного пула

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

Первые три записи SAN являются обычными записями SAN для полного пограничного сервера. Contoso.com — это запись, необходимая для федерации с партнером XMPP на уровне корневого домена. Эта запись разрешает XMPP для всех доменов с суффиксом *.contoso.com.