Lync Server 2013 中内部服务器的证书要求

  • 项目

 

上次修改的主题: 2017-02-17

运行 Lync Server 且需要证书的内部服务器包括 Standard Edition 服务器、Enterprise Edition前端服务器、中介服务器和 Director。 下表显示了这些服务器的证书要求。 可以使用 Lync Server 证书向导请求这些证书。

提示

前端池、前端服务器或 Director 上与简单 URL 关联的主题可选名称支持通配符证书。 有关通配符证书支持的详细信息,请参阅 Lync Server 2013 中的通配符证书支持

尽管内部企业证书颁发机构 (内部服务器建议使用 CA) ,但也可以使用公共 CA。 有关提供证书的公共 CA 列表,这些证书符合统一通信 (UC) 证书的具体要求,并已与 Microsoft 合作以确保它们与 Lync Server 证书向导合作,请参阅 Microsoft 知识库929395文章“Exchange Server和通信服务器的统一通信证书合作伙伴”一https://go.microsoft.com/fwlink/p/?linkId=202834文。

与其他应用程序和服务器(如 Exchange 2013)通信需要其他应用程序和产品支持的证书。 对于 2013 版本,Lync Server 2013 和其他 Microsoft 服务器产品(包括 Exchange 2013 和 SharePoint Server)支持开放授权 (OAuth) 协议以进行服务器到服务器的身份验证和授权。 有关详细信息,请参阅部署文档或操作文档 中的在 Lync Server 2013 中管理服务器到服务器的身份验证 (OAuth) 和合作伙伴 应用程序。

对于运行 Windows 7 操作系统、Windows Server 2008 操作系统、Windows Server 2008 R2 操作系统、Windows Vista 操作系统和 Microsoft Lync Phone Edition 的客户端的连接,Lync Server 2013 包括对 (的支持,但不需要使用 SHA-256 加密哈希函数签名的) 证书。 为了支持使用 SHA-256 进行外部访问,外部证书由公共 CA 使用 SHA-256 颁发。

下表显示了前端池和 Standard Edition 服务器的服务器角色的证书要求。 所有这些都是标准 Web 服务器证书,私钥,不可导出。

请注意,使用证书向导请求证书时,将自动配置服务器增强的密钥使用 (EKU) 。

注意

每个证书友好名称在计算机存储中必须是唯一的。

注意

如果已在 DNS 中配置 sipinternal.contoso.com 或 sipexternal.contoso.com,则需要将其添加到证书的使用者可选名称中。

Standard Edition Server 的证书

证书 使用者名称/公用名称 使用者替代名称 示例 备注

默认

池的 FQDN) (完全限定的域名

池的 FQDN 和服务器的 FQDN

如果具有多个 SIP 域并已启用自动客户端配置,则证书向导会检测并添加所有受支持的 SIP 域 FQDN。

如果此池是客户端的自动登录服务器,而且组策略要求执行严格的域名系统 (DNS) 匹配,那么还需要 sip.sipdomain 条目(对应于您拥有的每个 SIP 域)。

SN=se01.contoso.com; SAN=se01.contoso.com

如果此池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。

在 Standard Edition 服务器上,服务器 FQDN 与池 FQDN 相同。

证书向导会检测您在安装过程中所指定的任何 SIP 域,然后自动将它们添加到使用者可选名称中。

也可将此证书用于服务器到服务器身份验证。

Web 内部

服务器的 FQDN

以下各项:

  • 内部 Web FQDN(与服务器的 FQDN 相同)

  • 会议简单 URL

  • 拨入简单 URL

  • 管理简单 URL

  • 或者,简单 URL 的通配符条目

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

使用通配符证书:

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

无法在拓扑生成器中重写内部 Web FQDN。

如果您有多个会议简单 URL,则必须将它们作为使用者可选名称全部添加。

简单 URL 条目支持通配符条目。

Web 外部

服务器的 FQDN

以下各项:

  • 外部 Web FQDN

  • 拨入简单 URL

  • 每个 SIP 域的会议简单 URL

  • 或者,简单 URL 的通配符条目

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

使用通配符证书:

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

如果您有多个会议简单 URL,则必须将它们作为使用者可选名称全部添加。

简单 URL 条目支持通配符条目。

前端池中前端服务器的证书

证书 使用者名称/公用名称 使用者替代名称 示例 备注

默认

池的 FQDN

池的 FQDN 和服务器的 FQDN。

如果具有多个 SIP 域并已启用自动客户端配置,则证书向导会检测并添加所有受支持的 SIP 域 FQDN。

如果此池是客户端的自动登录服务器,并且需要在组策略中进行严格的 DNS 匹配,则对于) 的每个 SIP 域,还需要 sip.sipdomain (条目。

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

如果此池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。

证书向导会检测您在安装过程中所指定的任何 SIP 域,然后自动将它们添加到使用者可选名称中。

也可将此证书用于服务器到服务器身份验证。

Web 内部

池的 FQDN

以下各项:

  • 内部 Web FQDN(与服务器的 FQDN 不同)

  • 服务器 FQDN

  • Lync 池 FQDN

  • 会议简单 URL

  • 拨入简单 URL

  • 管理简单 URL

  • 或者,简单 URL 的通配符条目

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

使用通配符证书:

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

如果您有多个会议简单 URL,则必须将它们作为使用者可选名称全部添加。

简单 URL 条目支持通配符条目。

Web 外部

池的 FQDN

以下各项:

  • 外部 Web FQDN

  • 拨入简单 URL

  • 管理简单 URL

  • 或者,简单 URL 的通配符条目

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

使用通配符证书:

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

如果您有多个会议简单 URL,则必须将它们作为使用者可选名称全部添加。

简单 URL 条目支持通配符条目。

Director 证书

证书 使用者名称/公用名称 使用者替代名称 示例

默认

Director 池的 FQDN

Director 的 FQDN、Director 池的 FQDN

如果此池是客户端的自动登录服务器,并且需要在组策略中进行严格的 DNS 匹配,则对于) 的每个 SIP 域,还需要 sip.sipdomain (条目。

SN=dir-pool.contoso.com;SAN=dir-pool.contoso.com;SAN=dir01.contoso.com

如果此控制器池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,那么还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。

Web 内部

服务器的 FQDN

以下各项:

  • 内部 Web FQDN(与服务器的 FQDN 相同)

  • 服务器 FQDN

  • Lync 池 FQDN

  • 会议简单 URL

  • 拨入简单 URL

  • 管理简单 URL

  • 或者,简单 URL 的通配符条目

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Web 外部

服务器的 FQDN

以下各项:

  • 外部 Web FQDN

  • 拨入简单 URL

  • 管理简单 URL

  • 或者,简单 URL 的通配符条目

控制器外部 Web FQDN 必须不同于前端池或前端服务器。

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

如果有独立的中介服务器池,其中的中介服务器都需要下表中列出的证书。 如果将中介服务器与前端服务器并置,则本主题前面的“前端池中前端服务器的证书”表中列出的证书就足够了。

独立中介服务器的证书

证书 使用者名称/公用名称 使用者替代名称 示例

默认

池的 FQDN

池的 FQDN

池成员服务器的 FQDN

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Survivable Branch Appliance 的证书

证书 使用者名称/公用名称 使用者替代名称 示例

默认

设备的 FQDN

Sip。<sipdomain> (每个 SIP 域需要一个条目)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com