Lync Server 2013 中的证书摘要 - 扩展的合并边缘(使用 NAT 通过专用 IP 地址进行 DNS 负载平衡)

 

上次修改的主题: 2012-09-08

Microsoft Lync Server 2013 使用证书对其他服务器进行相互身份验证,以及从服务器到服务器和服务器到客户端的数据进行加密。 证书要求与服务器关联的域名系统 (DNS) 记录的名称匹配,并且证书上 (SAN) 的使用者名称 (SN) 和使用者可选名称。 若要成功映射服务器、DNS 记录和证书条目,必须仔细规划在 DNS 中注册的预期服务器完全限定的域名,以及证书上的 SN 和 SAN 条目。

分配给边缘服务器外部接口的证书是从公共证书颁发机构请求的, (CA) 。 以下文章列出了已证明成功提供用于统一通信的证书的公共 CA: https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=929395 请求证书时,可以使用 Lync Server 部署向导生成的证书请求,也可以手动创建请求或由公共 CA 提供的进程创建请求。 分配证书时,证书将分配给 Access Edge 服务接口、Web 会议边缘服务接口和音频/视频身份验证服务。 音频/视频身份验证服务不应与 A/V Edge 服务混淆,后者不使用证书来加密音频和视频流。 内部边缘服务器接口可以使用从内部 (到组织的证书) CA 或来自公共 CA 的证书。 内部接口证书仅使用 SN,不需要或使用 SAN 条目。

注意

下表显示了使用者可选名称列表中的第二个 SIP 条目 (sip.fabrikam.com) 以供参考。 对于组织中的每个 SIP 域,需要添加证书使用者可选名称列表中列出的相应 FQDN。

使用 NAT 使用专用 IP 地址进行缩放的合并边缘、DNS 负载均衡

组件 使用者名称 (SN) SAN) /Order (使用者可选名称 备注

已缩放的合并边缘 (外部边缘)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

如果要部署与 AOL 的公共 IM 连接,证书必须来自公共 CA,并且必须具有服务器 EKU 和客户端 EKU。 此外,对于缩放的边缘服务器,证书私钥必须可导出,并将证书和私钥复制到每个边缘服务器。 证书分配给外部 Edge 接口,用于:

  • 访问边缘

  • 会议边缘

  • A/V 边缘

请注意,SAN 将根据拓扑生成器中的定义自动添加到证书。 根据需要为需要支持的其他 SIP 域和其他条目添加 SAN 条目。 使用者名称在 SAN 中复制,并且必须存在才能正确操作。

缩放合并的 Edge (内部边缘)

lsedge.contoso.net

无需 SAN

证书可由公共或专用 CA 颁发,并且必须包含服务器 EKU。 证书将分配给内部 Edge 接口。

证书摘要 - 公共即时消息连接

组件 使用者名称 SAN) /Order (使用者可选名称 备注

外部/访问边缘

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

如果要部署与 AOL 的公共 IM 连接,证书必须来自公共 CA,并且必须具有服务器 EKU 和客户端 EKU。 证书分配给外部 Edge 接口,用于:

  • 访问边缘

  • 会议边缘

  • A/V 边缘

请注意,SAN 将根据拓扑生成器中的定义自动添加到证书。 根据需要为需要支持的其他 SIP 域和其他条目添加 SAN 条目。 使用者名称在 SAN 中复制,并且必须存在才能正确操作。

可扩展消息传送和状态协议的证书摘要

组件 使用者名称 SAN) /Order (使用者可选名称 备注

分配给边缘服务器或边缘池的 Access Edge 服务

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

前三个 SAN 条目是完整边缘服务器的常规 SAN 条目。 contoso.com 是在根域级别与 XMPP 合作伙伴联合所需的条目。 此条目将允许所有后缀为 *.contoso.com 的域使用 XMPP。