通过

Lync Server 2013 中外部用户访问的证书要求

  • 项目

 

上次修改的主题: 2016-03-29

Microsoft Lync Server 2013 通信软件支持将单个公共证书用于访问和 Web 会议 Edge 外部接口,以及 A/V 身份验证服务。 Edge 内部接口通常使用内部证书颁发机构颁发的专用证书 (CA) ,但也可以使用公共证书,前提是它来自受信任的公共 CA。 部署中的反向代理使用公用证书,并使用 HTTP ((即 HTTP) 传输层安全性)加密从反向代理到客户端和反向代理到内部服务器的通信。

以下是用于访问和 Web 会议 Edge 外部接口的公共证书以及 A/V 身份验证服务的要求:

  • 证书必须由支持使用者替代名称的已批准公共 CA 颁发。 有关详细信息,请参阅 Microsoft 知识库文章929395,“适用于Exchange Server和通信服务器的统一通信证书合作伙伴”,请参https://go.microsoft.com/fwlink/p/?linkId=202834阅。

  • 如果证书将用于 Edge 池,则必须将其创建为可导出,并且在 Edge 池中的每个 Edge Server 上使用相同的证书。 可导出的私钥要求用于 A/V 身份验证服务,该服务必须在池中的所有边缘服务器上使用相同的私钥。

  • 若要最大程度地提高音频/视频服务的运行时间,请查看实现分离 A/V Edge 服务证书 (的证书要求,即将 A/V Edge 服务证书与其他外部边缘证书的单独服务证书) 。 有关详细信息,请参阅 Lync Server 2013 中影响 Edge Server 规划的更改在 Lync Server 2013 中规划 Edge Server 证书 以及 使用 -Roll in Set-CsCertificate 在 Lync Server 2013 中暂存 AV 和 OAuth 证书

  • 证书的使用者名称是 Access Edge 服务外部接口完全限定的域名 (FQDN) 或硬件负载均衡器 VIP (,例如 access.contoso.com) 。 ). 使用者名称不能有通配符,必须是显式名称。

    注意

    对于 Lync Server 2013,这不再是一项要求,但仍建议与 Office Communications Server 兼容。

  • 使用者可选名称列表包含以下 FQDN:

    • 例如,Access Edge 服务外部接口或硬件负载均衡器 VIP (sip.contoso.com) 。

      注意

      即使证书使用者名称等于 Access Edge FQDN,但使用者可选名称也必须包含 Access Edge FQDN,因为传输层安全性 (TLS) 忽略使用者名称,并使用使用者替代名称条目进行验证。

    • 例如,Web 会议 Edge 外部接口或硬件负载均衡器 VIP (webcon.contoso.com) 。

    • 如果使用客户端自动配置或联合身份验证,还包括公司 (中使用的任何 SIP 域 FQDN,例如,sip.contoso.com、sip.fabrikam.com) 。

    • A/V Edge 服务不使用使用者名称或使用者替代名称条目。

    注意

    使用者可选名称列表中 FQDN 的顺序并不重要。

如果要在站点上部署多个负载均衡的边缘服务器,则安装在每个 Edge Server 上的 A/V 身份验证服务证书必须来自同一 CA,并且必须使用相同的私钥。 请注意,证书的私钥必须可导出,无论它是在一个边缘服务器还是许多边缘服务器上使用。 如果从边缘服务器以外的任何计算机请求证书,则该证书也必须可导出。 由于 A/V 身份验证服务不使用使用者名称或使用者替代名称,因此,只要访问 Edge 满足使用者名称和使用者替代名称要求,并且 Web 会议 Edge 和证书的私钥可导出,就可以重复使用 Access Edge 证书。

用于 Edge 内部接口的专用 (或公共) 证书的要求如下所示:

  • 该证书可由内部 CA 或已批准的公共证书 CA 颁发。

  • 证书的使用者名称通常是 Edge 内部接口 FQDN 或硬件负载均衡器 VIP (,例如 lsedge.contoso.com) 。 但是,可以在 Edge 内部使用通配符证书。

  • 不需要使用者替代名称列表。

部署服务中的反向代理请求:

  • 外部用户对会议内容的访问权限

  • 扩展和显示通讯组成员的外部用户访问权限

  • 外部用户从通讯簿服务访问可下载文件

  • 外部用户对 Lync Web App 客户端的访问权限

  • 外部用户对电话拨入式会议设置网页的访问权限

  • 外部用户对位置信息服务的访问权限

  • 外部设备对设备更新服务的访问并获取更新

反向代理发布内部服务器 Web 组件 URL。 在 Director、Front End Server 或前端池中,Web 组件 URL 定义为拓扑生成器中的 外部 Web 服务

分配给反向代理的证书的主题可选名称字段支持通配符条目。 有关如何配置反向代理的证书请求的详细信息,请参阅 Lync Server 2013 中的请求并为反向 HTTP 代理配置证书