项目
01/08/2015

内部服务器的证书要求

上一次修改主题： 2012-10-13

运行 Microsoft Lync Server 2010通信软件而且要求使用证书的内部服务器包括 Standard Edition Server、Enterprise Edition 前端服务器、A/V 会议服务器、中介服务器和控制器。下表显示了这些服务器的证书要求。可以使用 Microsoft Lync Server 2010 证书向导请求这些证书。

提示：
与前端池、前端服务器或控制器上简单 URL 关联的使用者替代名称支持通配符证书。有关通配符证书支持的详细信息，请参阅通配符证书支持。

虽然我们建议对内部服务器选择内部企业证书颁发机构 (CA)，但您也可以选择公共 CA。有关提供符合统一通信 (UC) 证书的特定要求的证书，并与 Microsoft 具有伙伴关系以确保可以使用 Lync Server 证书向导的公共 CA 的列表，请参阅 Microsoft 知识库文章 929395“Exchange Server 和 Communications Server 的统一通信证书合作伙伴”，网址为 https://support.microsoft.com/kb/929395/zh-cn。

下表按服务器角色显示了前端池和 Standard Edition Server 的证书要求。所有这些证书都是标准的 Web 服务器证书，具有私钥且不可导出。

请注意，使用证书向导请求证书时会自动配置服务器增强型密钥使用 (EKU)。

Standard Edition Server 的证书

证书	使用者名称/ 公用名	使用者替代名称	示例	备注
默认值	池的完全限定的域名 (FQDN)	池的 FQDN 和服务器的 FQDN 如果具有多个 SIP 域并已启用自动客户端配置，则证书向导会检测并添加所有受支持的 SIP 域 FQDN。如果此池是客户端的自动登录服务器，而且组策略要求执行严格的域名系统 (DNS) 匹配，那么还需要 sip.sipdomain 条目（对应于您拥有的每个 SIP 域）。	SN=se01.contoso.com; SAN=se01.contoso.com 如果此池是客户端的自动登录服务器，而且组策略要求执行严格的 DNS 匹配，则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。	对于 Standard Edition Server，服务器 FQDN 与池 FQDN 相同。证书向导会检测您在安装过程中所指定的任何 SIP 域，然后自动将它们添加到使用者替代名称中。
Web 内部	服务器的 FQDN	以下各项：内部 Web FQDN（与服务器的 FQDN 相同）会议简单 URL 拨入简单 URL 管理简单 URL 或者，简单 URL 的通配符条目	SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com 使用通配符证书： SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com	在拓扑生成器中无法覆盖内部 Web FQDN。如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。简单 URL 条目支持通配符条目。
Web 外部	服务器的 FQDN	以下各项：外部 Web FQDN 拨入简单 URL 会议简单 URL 或者，简单 URL 的通配符条目	SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com 使用通配符证书： SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com	如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。简单 URL 条目支持通配符条目。

默认值

池的完全限定的域名 (FQDN)

池的 FQDN 和服务器的 FQDN

如果具有多个 SIP 域并已启用自动客户端配置，则证书向导会检测并添加所有受支持的 SIP 域 FQDN。

如果此池是客户端的自动登录服务器，而且组策略要求执行严格的域名系统 (DNS) 匹配，那么还需要 sip.sipdomain 条目（对应于您拥有的每个 SIP 域）。

SN=se01.contoso.com; SAN=se01.contoso.com

如果此池是客户端的自动登录服务器，而且组策略要求执行严格的 DNS 匹配，则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。

对于 Standard Edition Server，服务器 FQDN 与池 FQDN 相同。

证书向导会检测您在安装过程中所指定的任何 SIP 域，然后自动将它们添加到使用者替代名称中。

Web 内部

服务器的 FQDN

以下各项：

内部 Web FQDN（与服务器的 FQDN 相同）
会议简单 URL
拨入简单 URL
管理简单 URL
或者，简单 URL 的通配符条目

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

使用通配符证书：

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

在拓扑生成器中无法覆盖内部 Web FQDN。

如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。

简单 URL 条目支持通配符条目。

Web 外部

服务器的 FQDN

以下各项：

外部 Web FQDN
拨入简单 URL
会议简单 URL
或者，简单 URL 的通配符条目

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

使用通配符证书：

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。

简单 URL 条目支持通配符条目。

前端池中前端服务器的证书

证书	使用者名称/ 公用名	使用者替代名称	示例	备注
默认值	池的 FQDN	池的 FQDN 和服务器的 FQDN。如果具有多个 SIP 域并已启用自动客户端配置，则证书向导会检测并添加所有受支持的 SIP 域 FQDN。如果此池是客户端的自动登录服务器，且组策略要求执行严格的 DNS 匹配，那么还需要 sip.sipdomain 条目（对应于您拥有的每个 SIP 域）。	SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com 如果此池是客户端的自动登录服务器，而且组策略要求执行严格的 DNS 匹配，则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。	证书向导会检测您在安装过程中所指定的任何 SIP 域，然后自动将它们添加到使用者替代名称中。
Web 内部	服务器的 FQDN	以下各项：内部 Web FQDN（与服务器的 FQDN 相同）会议简单 URL 拨入简单 URL 管理简单 URL 或者，简单 URL 的通配符条目	SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com 使用通配符证书： SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com	拓扑生成器中无法覆盖内部 Web FQDN。如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。简单 URL 条目支持通配符条目。
Web 外部	服务器的 FQDN	以下各项：外部 Web FQDN 拨入简单 URL 会议简单 URL 或者，简单 URL 的通配符条目	SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com 使用通配符证书： SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com	如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。简单 URL 条目支持通配符条目。

默认值

池的 FQDN

池的 FQDN 和服务器的 FQDN。

如果具有多个 SIP 域并已启用自动客户端配置，则证书向导会检测并添加所有受支持的 SIP 域 FQDN。

如果此池是客户端的自动登录服务器，且组策略要求执行严格的 DNS 匹配，那么还需要 sip.sipdomain 条目（对应于您拥有的每个 SIP 域）。

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

如果此池是客户端的自动登录服务器，而且组策略要求执行严格的 DNS 匹配，则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。

证书向导会检测您在安装过程中所指定的任何 SIP 域，然后自动将它们添加到使用者替代名称中。

Web 内部

服务器的 FQDN

以下各项：

内部 Web FQDN（与服务器的 FQDN 相同）
会议简单 URL
拨入简单 URL
管理简单 URL
或者，简单 URL 的通配符条目

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

使用通配符证书：

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

拓扑生成器中无法覆盖内部 Web FQDN。

如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。

简单 URL 条目支持通配符条目。

Web 外部

服务器的 FQDN

以下各项：

外部 Web FQDN
拨入简单 URL
会议简单 URL
或者，简单 URL 的通配符条目

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

使用通配符证书：

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

如果您具有多个会议简单 URL，则必须将它们作为使用者替代名称全部添加。

简单 URL 条目支持通配符条目。

控制器的证书

证书	使用者名称/ 公用名	使用者替代名称	示例
默认值	控制器池的 FQDN	控制器的 FQDN 和控制器池的 FQDN 如果此池是客户端的自动登录服务器，且组策略要求执行严格的 DNS 匹配，那么还需要 sip.sipdomain 条目（对应于您拥有的每个 SIP 域）。	SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com 如果此控制器池是客户端的自动登录服务器，而且组策略要求执行严格的 DNS 匹配，那么您还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。
Web 内部	服务器的 FQDN	以下各项：内部 Web FQDN（与服务器的 FQDN 相同）会议简单 URL 拨入简单 URL 管理简单 URL 或者，简单 URL 的通配符条目	SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com
Web 外部	服务器的 FQDN	以下各项：外部 Web FQDN 拨入简单 URL 会议简单 URL 或者，简单 URL 的通配符条目	控制器外部 Web FQDN 必须不同于前端池或前端服务器。 SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

默认值

控制器池的 FQDN

控制器的 FQDN 和控制器池的 FQDN

如果此池是客户端的自动登录服务器，且组策略要求执行严格的 DNS 匹配，那么还需要 sip.sipdomain 条目（对应于您拥有的每个 SIP 域）。

SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com

如果此控制器池是客户端的自动登录服务器，而且组策略要求执行严格的 DNS 匹配，那么您还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。

Web 内部

服务器的 FQDN

以下各项：

内部 Web FQDN（与服务器的 FQDN 相同）
会议简单 URL
拨入简单 URL
管理简单 URL
或者，简单 URL 的通配符条目

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Web 外部

服务器的 FQDN

以下各项：

外部 Web FQDN
拨入简单 URL
会议简单 URL
或者，简单 URL 的通配符条目

控制器外部 Web FQDN 必须不同于前端池或前端服务器。

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

如果具有独立 A/V 会议服务器池，则其中的每个 A/V 会议服务器都需要使用下表中所列出的证书。如果将 A/V 会议服务器与前端服务器并置，则使用本主题前面“前端池中前端服务器的证书”表所列的证书就足够了。

独立 A/V 会议服务器的证书

证书	使用者名称/ 公用名	使用者替代名称	示例
默认值	池的 FQDN	不适用	SN=av-pool.contoso.com

如果具有独立中介服务器池，则其中的每个中介服务器需要使用下表中所列出的证书。如果将中介服务器与前端服务器并置，则使用本主题前面“前端池中前端服务器的证书”表所列的证书就足够了。

独立中介服务器的证书

证书	使用者名称/ 公用名	使用者替代名称	示例
默认值	池的 FQDN	池的 FQDN 池成员服务器的 FQDN	SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

默认值

池的 FQDN

池成员服务器的 FQDN

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Survivable Branch Appliance 的证书

证书	使用者名称/ 公用名	使用者替代名称	示例
默认值	设备的 FQDN	SIP.<sipdomain>（每个 SIP 域需要一个条目）	SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

另请参阅

概念

通配符证书支持

通过

内部服务器的证书要求

Standard Edition Server 的证书

前端池中前端服务器的证书

控制器的证书

独立 A/V 会议服务器的证书

独立中介服务器的证书

Survivable Branch Appliance 的证书

另请参阅

概念

其他资源