内部服务器的证书要求
上一次修改主题: 2012-10-13
运行 Microsoft Lync Server 2010通信软件而且要求使用证书的内部服务器包括 Standard Edition Server、Enterprise Edition 前端服务器、A/V 会议服务器、中介服务器和控制器。下表显示了这些服务器的证书要求。可以使用 Microsoft Lync Server 2010 证书向导请求这些证书。
![]() |
---|
与前端池、前端服务器或控制器上简单 URL 关联的使用者替代名称支持通配符证书。有关通配符证书支持的详细信息,请参阅通配符证书支持。 |
虽然我们建议对内部服务器选择内部企业证书颁发机构 (CA),但您也可以选择公共 CA。有关提供符合统一通信 (UC) 证书的特定要求的证书,并与 Microsoft 具有伙伴关系以确保可以使用 Lync Server 证书向导的公共 CA 的列表,请参阅 Microsoft 知识库文章 929395“Exchange Server 和 Communications Server 的统一通信证书合作伙伴”,网址为 https://support.microsoft.com/kb/929395/zh-cn。
下表按服务器角色显示了前端池和 Standard Edition Server 的证书要求。所有这些证书都是标准的 Web 服务器证书,具有私钥且不可导出。
请注意,使用证书向导请求证书时会自动配置服务器增强型密钥使用 (EKU)。
Standard Edition Server 的证书
证书 | 使用者名称/ 公用名 | 使用者替代名称 | 示例 | 备注 |
---|---|---|---|---|
默认值 |
池的完全限定的域名 (FQDN) |
池的 FQDN 和服务器的 FQDN 如果具有多个 SIP 域并已启用自动客户端配置,则证书向导会检测并添加所有受支持的 SIP 域 FQDN。 如果此池是客户端的自动登录服务器,而且组策略要求执行严格的域名系统 (DNS) 匹配,那么还需要 sip.sipdomain 条目(对应于您拥有的每个 SIP 域)。 |
SN=se01.contoso.com; SAN=se01.contoso.com 如果此池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。 |
对于 Standard Edition Server,服务器 FQDN 与池 FQDN 相同。 证书向导会检测您在安装过程中所指定的任何 SIP 域,然后自动将它们添加到使用者替代名称中。 |
Web 内部 |
服务器的 FQDN |
以下各项:
|
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com 使用通配符证书: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
在拓扑生成器中无法覆盖内部 Web FQDN。 如果您具有多个会议简单 URL,则必须将它们作为使用者替代名称全部添加。 简单 URL 条目支持通配符条目。 |
Web 外部 |
服务器的 FQDN |
以下各项:
|
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com 使用通配符证书: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
如果您具有多个会议简单 URL,则必须将它们作为使用者替代名称全部添加。 简单 URL 条目支持通配符条目。 |
前端池中前端服务器的证书
证书 | 使用者名称/ 公用名 | 使用者替代名称 | 示例 | 备注 |
---|---|---|---|---|
默认值 |
池的 FQDN |
池的 FQDN 和服务器的 FQDN。 如果具有多个 SIP 域并已启用自动客户端配置,则证书向导会检测并添加所有受支持的 SIP 域 FQDN。 如果此池是客户端的自动登录服务器,且组策略要求执行严格的 DNS 匹配,那么还需要 sip.sipdomain 条目(对应于您拥有的每个 SIP 域)。 |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com 如果此池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。 |
证书向导会检测您在安装过程中所指定的任何 SIP 域,然后自动将它们添加到使用者替代名称中。 |
Web 内部 |
服务器的 FQDN |
以下各项:
|
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com 使用通配符证书: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
拓扑生成器中无法覆盖内部 Web FQDN。 如果您具有多个会议简单 URL,则必须将它们作为使用者替代名称全部添加。 简单 URL 条目支持通配符条目。 |
Web 外部 |
服务器的 FQDN |
以下各项:
|
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com 使用通配符证书: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
如果您具有多个会议简单 URL,则必须将它们作为使用者替代名称全部添加。 简单 URL 条目支持通配符条目。 |
控制器的证书
证书 | 使用者名称/ 公用名 | 使用者替代名称 | 示例 |
---|---|---|---|
默认值 |
控制器池的 FQDN |
控制器的 FQDN 和控制器池的 FQDN 如果此池是客户端的自动登录服务器,且组策略要求执行严格的 DNS 匹配,那么还需要 sip.sipdomain 条目(对应于您拥有的每个 SIP 域)。 |
SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com 如果此控制器池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,那么您还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。 |
Web 内部 |
服务器的 FQDN |
以下各项:
|
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web 外部 |
服务器的 FQDN |
以下各项:
|
控制器外部 Web FQDN 必须不同于前端池或前端服务器。 SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
如果具有独立 A/V 会议服务器池,则其中的每个 A/V 会议服务器都需要使用下表中所列出的证书。如果将 A/V 会议服务器与前端服务器并置,则使用本主题前面“前端池中前端服务器的证书”表所列的证书就足够了。
独立 A/V 会议服务器的证书
证书 | 使用者名称/ 公用名 | 使用者替代名称 | 示例 |
---|---|---|---|
默认值 |
池的 FQDN |
不适用 |
SN=av-pool.contoso.com |
如果具有独立中介服务器池,则其中的每个中介服务器需要使用下表中所列出的证书。如果将中介服务器与前端服务器并置,则使用本主题前面“前端池中前端服务器的证书”表所列的证书就足够了。
独立中介服务器的证书
证书 | 使用者名称/ 公用名 | 使用者替代名称 | 示例 |
---|---|---|---|
默认值 |
池的 FQDN |
池的 FQDN 池成员服务器的 FQDN |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Survivable Branch Appliance 的证书
证书 | 使用者名称/ 公用名 | 使用者替代名称 | 示例 |
---|---|---|---|
默认值 |
设备的 FQDN |
SIP.<sipdomain>(每个 SIP 域需要一个条目) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |