萬用字元憑證支援
上次修改主題的時間: 2012-10-18
Microsoft Lync Server 2010 使用憑證來提供通訊加密以及伺服器身分識別驗證。某些情況下,例如透過反向 Proxy 的 Web 發佈,不需要與代表服務之伺服器完整網域名稱 (FQDN) 相符的強式主體替代名稱 (SAN) 項目。在這些情況下,您可以使用含萬用字元 SAN 項目的憑證 (一般稱為「萬用字元憑證」) 來降低從公用憑證授權單位要求憑證的成本,並能降低憑證的規劃程序複雜度。
.gif "warning") 注意: |
|---|
| 若要保留整合通訊 (UC) 裝置 (例如,電話機) 的功能,您應該仔細測試部署的憑證,確定實作萬用字元憑證之後,裝置的功能正常運作。 |
不支援將萬用字元項目做為任何角色的主體名稱 (又稱為一般名稱或 CN)。在 SAN 中使用萬用字元項目時,支援下列伺服器角色:
**反向 Proxy。**簡單 URL 發行憑證支援萬用字元 SAN 項目。
**Director。**Director Web 元件的簡單 URL 支援萬用字元 SAN 項目。
**前端伺服器 (Standard Edition) 和前端集區 (Enterprise Edition)。**前端 Web 元件的簡單 URL 支援萬用字元 SAN 項目。
**Exchange Unified Messaging (UM)。**伺服器部署為獨立伺服器時,不使用 SAN 項目。
**Microsoft Exchange Server Client Access Server。**內部和外部用戶端支援 SAN 中的萬用字元項目。
**相同伺服器上的 Exchange Unified Messaging (UM) 和 Microsoft Exchange Server Client Access Server。**支援萬用字元 SAN 項目。
本主題中未介紹的伺服器角色:
內部伺服器角色 (包括,但不限於中繼伺服器、封存與監控伺服器、Survivable Branch Appliance 或 Survivable Branch 伺服器)
外部 Edge Server 介面
內部 Edge Server
.gif "note")
附註:至於內部 Edge Server 介面,可以將萬用字元項目指派給 SAN,而且可受支援。不會查詢內部 Edge Server 上的 SAN,而且萬用字元 SAN 項目的值會受到限制。
如需說明可能的萬用字元憑證使用方式,已在此複寫用於<規劃>文件中參考架構憑證的憑證指導,以便保持一致性。如需詳細資訊,請參閱<參考架構>。如同前文所述,UC 裝置依賴相符的強式名稱,而且如果萬用字元 SAN 項目出現在 FQDN 項目前面,便無法驗證。您可以按照下表出現的順序,限制 UC 裝置和 SAN 中萬用字元項目可能潛在的問題。
Lync Server 2010 的萬用字元憑證設定
| 元件 | 主體名稱 | SAN 項目/順序 | 憑證授權單位 (CA) | 增強金鑰使用方法 (EKU) | 註解 |
|---|---|---|---|---|---|
反向 Proxy |
lsrp.contoso.com |
lsweb-ext.contoso.com *.contoso.com |
公用 |
伺服器 |
通訊錄服務、通訊群組擴充及 Lync IP 裝置發行規則。主體替代名稱包括: 外部 Web 服務 FQDN 在 meet 和 dialin SAN 簡單 URL 使用下列格式,萬用字元會取代 meet 和 dialin SAN: <FQDN>/meet <FQDN>/dialin 或是 meet.<FQDN> dialin.<FQDN> |
Director |
dirpool01.contoso.net |
sip.contoso.com sip.fabrikam.com dirweb.contoso.net dirweb-ext.contoso.com <主機名稱>.contoso.net,例如,集區中 Director 的 <主機名稱> 是 director01 dirpool.contoso.net *.contoso.com |
私人 |
伺服器 |
指派給 Director 集區中的下列伺服器和角色: 集區中每個 Director 或未部署 Director 集區時的獨立 Director。 在 meet 和 dialin SAN 簡單 URL 使用下列格式,萬用字元會取代 meet 和 dialin SAN: <FQDN>/admin <FQDN>/meet <FQDN>/dialin 或是 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Enterprise Edition 前端 |
pool01.contoso.net (用於負載平衡集區) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com <主機名稱>.contoso.net,例如,集區中前端伺服器的 <主機名稱> 是 fe01 pool01.contoso.net *.contoso.com |
私人 |
伺服器 |
指派給下一個躍點集區中的下列伺服器和角色: Pool01 中的前端 在 meet 和 dialin SAN 簡單 URL 使用下列格式,萬用字元會取代 meet 和 dialin SAN: <FQDN>/admin <FQDN>/meet <FQDN>/dialin 或是 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Standard Edition 前端 |
se01.contoso.net |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com se01.contoso.net *.contoso.com |
私人 |
伺服器 |
指派給下一個躍點集區中的下列伺服器和角色: 在 meet 和 dialin SAN 簡單 URL 使用下列格式,萬用字元會取代 meet 和 dialin SAN: <FQDN>/admin <FQDN>/meet <FQDN>/dialin 或是 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Microsoft Exchange Server 2007 和 Exchange Server 2010
當您安裝並設定 Microsoft Exchange Server 時,會建立以及實作自我簽署憑證。當您將 CA 提供的憑證新增至伺服器時,建議您在重新設定所有服務以及 Web 服務之前,不要刪除自我簽署憑證,才能成功使用新的憑證。萬一某些功能無法正常運作,您仍然可以取得自我簽署憑證,這樣便能重新設定原始設定並還原原始功能,雖然自我簽署憑證不允許您要的所有功能。這種方式可提供您多一次機會解決設定而不會影響所有實際執行的功能。
如需在 Exchange 使用憑證的詳細資訊,請參閱下列內容:
瞭解數位憑證和 SSL:https://go.microsoft.com/fwlink/?linkid=218233&clcid=0x404
瞭解 Client Access Server 命名空間:https://go.microsoft.com/fwlink/?linkid=218234&clcid=0x404
瞭解自動探索服務:https://go.microsoft.com/fwlink/?linkid=217012&clcid=0x404
至於與 Exchange Unified Messaging (UM) 和 Exchange Client Access Server 一同部署的 Microsoft Exchange Server,有 4 種可能的部署案例:
**案例 1:**Exchange Unified Messaging (UM) 和 Exchange Client Access Server 部署到不同的伺服器上,而且 Client Access Server 是網際網路對向。
**案例 2:**Exchange Unified Messaging (UM) 和 Exchange Client Access Server 組合在相同的伺服器上,而且是網際網路對向。
**案例 3:**Exchange Unified Messaging (UM) 和 Exchange Client Access Server 部署到具有反向 Proxy 的不同伺服器上以進行發行。
**案例 4:**Exchange Unified Messaging (UM) 和 Exchange Client Access Server 組合在具有反向 Proxy 的相同伺服器上以進行發行。
案例 1:Exchange Unified Messaging (UM) 和 Exchange Client Access Server 部署在不同的伺服器上 (Client Access Server 是網際網路對向)
| Microsoft Exchange 元件 | 主體名稱 | SAN 項目/順序 | 憑證授權單位 (CA) | 增強金鑰使用方法 (EKU) | 註解 |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) 伺服器名稱:exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 角色不應該包含 SAN 項目 |
私人 |
伺服器 |
Exchange UM 伺服器只會與內部用戶端和伺服器通訊。 將私人 CA 根憑證匯入至每個 Exchange UM 伺服器。 為每一部 Exchange UM 伺服器建立以及指派唯一憑證。主體名稱必須符合伺服器名稱。 將憑證指派給 Exchange UM 角色之前,您必須先啟用 Exchange UM 伺服器上的傳輸層安全性 (TLS)。 將這個憑證指派給要用於與 Outlook Web Access 和立即訊息 (IM) 整合的 Exchange Client Access Server。 |
Exchange Client Access Server 網際網路對向 Active Directory 網站 Client Access Server 伺服器名稱:exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公用 |
伺服器 |
主體名稱和 SAN 項目必須符合,才能支援外部 UC 裝置。 主體名稱和 SAN 項目 mail.contoso.com 是範例名稱,用於表示 Outlook Web Access、Outlook Anywhere、EWS 以及離線通訊錄。唯一的需求在於該項目必須符合 DNS 記錄而且提供的名稱才可以參照 ExternalURL 以及其他服務項目。 需要 autodiscover SAN 項目,才能支援外部 UC 裝置。 |
Exchange Client Access Server 非網際網路對向 Active Directory 網站 Client Access Server 伺服器名稱:internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私人 |
伺服器 |
非網際網路對向 Active Directory 網站 Client Access Server 只會與內部用戶端和伺服器通訊。如果使用者或某個服務發出要求,而該要求會查詢此 Active Directory 網站中主控的服務 (例如,信箱),則網際網路對向 Active Directory 網站 Client Access Server Proxy 可以與這個 Client Access Server 通訊。 非網際網路對向 Active Directory 網站上的 EWS 和離線通訊錄服務是設定成使用部署的憑證。這個憑證可以從內部私人 CA 發出。私人 CA 的根憑證必須匯入至網際網路對向 Active Directory 網站 Client Access Server 上的 [信任的第三方根憑證] 存放區。 |
案例 2:Exchange Unified Messaging (UM) 和 Exchange Client Access Server 組合在相同的伺服器上 (網際網路對向)
| Microsoft Exchange 元件 | 主體名稱 | SAN 項目/順序 | 憑證授權單位 (CA) | 增強金鑰使用方法 (EKU) | 註解 |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) 伺服器名稱:exchcas01.contoso.com |
exchcas01.contoso.com |
Exchange UM 角色不應該包含 SAN 項目 |
私人 |
伺服器 |
Exchange UM 伺服器只會與內部用戶端和伺服器通訊。 將私人 CA 根憑證匯入至每個 Exchange UM 伺服器。 指派憑證給 Exchange UM 角色之前,您必須先啟用 Exchange UM 伺服器上的 TLS。 將這個憑證指派給要用於與 Outlook Web Access 和 IM 整合的 Client Access Server。 |
Exchange Client Access Server 和 網際網路對向 Active Directory 網站 Client Access Server 伺服器名稱:exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公用 |
伺服器 |
主體名稱和 SAN 項目必須符合,才能支援外部 UC 裝置。 主體名稱和 SAN 項目 mail.contoso.com 是範例名稱,用於表示 Outlook Web Access、Outlook Anywhere、EWS 以及離線通訊錄。唯一的需求在於該項目必須符合 DNS 記錄而且提供的名稱才可以參照 ExternalURL 以及其他服務項目。 需要 autodiscover.<網域命名空間> SAN 項目,才能支援外部 UC 裝置。 |
Exchange Client Access Server 非網際網路對向 Active Directory 網站 Client Access Server 伺服器名稱:internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私人 |
伺服器 |
非網際網路對向 Active Directory 網站 Client Access Server 只會與內部用戶端和伺服器通訊。如果使用者或某個服務發出要求,而該要求會查詢此 Active Directory 網站中主控的服務 (例如,信箱),則網際網路對向 Active Directory 網站 Client Access Server Proxy 可以與這個 Client Access Server 通訊。 非網際網路對向 Active Directory 網站上的 Exchange Web 服務和離線通訊錄服務是設定成使用部署的憑證。這個憑證可以從內部私人 CA 發出。私人 CA 的根憑證必須匯入至網際網路對向 Active Directory 網站 Client Access Server 上的 [信任的第三方根憑證] 存放區。 |
案例 3:Exchange Unified Messaging (UM)/Exchange Client Access Server 部署到具有反向 Proxy 的不同伺服器上以進行發行
| Microsoft Exchange 元件 | 主體名稱 | SAN 項目/順序 | 憑證授權單位 (CA) | 增強金鑰使用方法 (EKU) | 註解 |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) 伺服器名稱:exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 角色不應該包含 SAN 項目 |
私人 |
伺服器 |
Exchange UM 伺服器只會與內部用戶端和伺服器通訊。 將私人 CA 根憑證匯入至每個 Exchange UM 伺服器。 為每一部 Exchange UM 伺服器建立以及指派唯一憑證。主體名稱必須符合伺服器名稱。 指派憑證給 Exchange UM 角色之前,您必須先啟用 Exchange UM 伺服器上的 TLS。 將這個憑證指派給要用於與 Outlook Web Access 和 IM 整合的 Client Access Server。 |
Exchange Client Access Server 伺服器名稱:exchcas01.contoso.com |
exchcas01.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
私人 |
伺服器 |
主體名稱和 SAN 項目必須符合,才能支援外部 UC 裝置。 將私人 CA 根憑證匯入至每個 Exchange Client Access Server。 主體名稱和 SAN 項目 mail.contoso.com 是範例名稱,用於表示 Outlook Web Access、Outlook Anywhere、EWS 以及離線通訊錄。唯一的需求在於該項目必須符合 DNS 記錄而且提供的名稱才可以參照 ExternalURL 以及其他服務項目。 需要 autodiscover SAN 項目,才能支援外部 UC 裝置。 機器名稱的項目 (在本範例中,exchcas01.contoso.com) 必須存在,如此才能與 Outlook Web Access 和 IM 進行整合。 |
反向 Proxy 伺服器名稱:rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公用 |
伺服器 |
憑證的 SAN 中也必須存在主體名稱的相符項目。 終止反向 Proxy 的 TLS 或 SSL,然後重新建立與 Client Access Server 的 TLS 或 SSL 會造成 UC 裝置失敗。如果您支援 UC 裝置,部分產品的功能 (例如 Microsoft Internet Security and Acceleration (ISA) Server 和 Microsoft Forefront Threat Management Gateway 以及其他第三方實作),便不能使用 TLS 或 SSL 終止。 UC 裝置必須要有 autodiscover 的 SAN 項目,才可正常使用。 |
Exchange Client Access Server 非網際網路對向 Active Directory 網站 Client Access Server 伺服器名稱:internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私人 |
伺服器 |
非網際網路對向 Active Directory 網站 Client Access Server 只會與內部用戶端和伺服器通訊。如果使用者或某個服務發出要求,而該要求會查詢此 Active Directory 網站中主控的服務 (例如,信箱),則網際網路對向 Active Directory 網站 Client Access Server Proxy 可以與這個 Client Access Server 通訊。 非網際網路對向 Active Directory 網站上的 Exchange Web 服務和離線通訊錄服務是設定成使用部署的憑證。這個憑證可以從內部私人 CA 發出。私人 CA 的根憑證必須匯入至網際網路對向 Active Directory 網站 Client Access Server 上的 [信任的第三方根憑證] 存放區。 |
案例 4:Exchange Unified Messaging (UM)/Exchange Client Access Server 組合在具有反向 Proxy 的相同伺服器上以進行發行
| Microsoft Exchange 元件 | 主體名稱 | SAN 項目/順序 | 憑證授權單位 (CA) | 增強金鑰使用方法 (EKU) | 註解 |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) 伺服器名稱:exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 角色不應該包含 SAN 項目 |
私人 |
伺服器 |
Exchange UM 伺服器只會與內部用戶端和伺服器通訊。 將私人 CA 根憑證匯入至每個 Exchange UM 伺服器。 為每一部 Exchange UM 伺服器建立以及指派唯一憑證。主體名稱必須符合伺服器名稱。不需要 SAN。 指派憑證給 Exchange UM 角色之前,您必須先啟用 Exchange UM 伺服器上的 TLS。 |
Exchange Client Access Server Exchange Unified Messaging (UM) 伺服器名稱:exchcas01.contoso.com |
mail.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
私人 |
伺服器 |
主體名稱和 SAN 項目必須符合,才能支援外部 UC 裝置。 將私人 CA 根憑證匯入至每個 Exchange Client Access Server。 主體名稱和 SAN 項目 mail.contoso.com 是範例名稱,用於表示 Outlook Web Access、Outlook Anywhere、EWS 以及離線通訊錄。唯一的需求在於該項目必須符合 DNS 記錄而且提供的名稱才可以參照 ExternalURL 以及其他服務項目。 需要 autodiscover SAN 項目,才能支援外部 UC 裝置。 機器名稱的項目 (在本範例中,exchcas01.contoso.com) 必須存在,如此才能與 Outlook Web Access 和 IM 進行整合。 |
反向 Proxy 伺服器名稱:rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
公用 |
伺服器 |
憑證的 SAN 中也必須存在主體名稱的相符項目。 終止反向 Proxy 的 TLS 或 SSL,然後重新建立與 Client Access Server 的 TLS 或 SSL 會造成 UC 裝置失敗。如果您支援 UC 裝置,部分產品的功能 (例如 ISA Server 和 Forefront Threat Management Gateway (TMG) 以及其他第三方實作),便不能使用 TLS 或 SSL 終止。 UC 裝置必須要有 autodiscover 的 SAN 項目,才可正常使用。 |
Exchange Client Access Server 非網際網路對向 Active Directory 網站 Client Access Server 伺服器名稱:internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
私人 |
伺服器 |
非網際網路對向 Active Directory 網站 Client Access Server 只會與內部用戶端和伺服器通訊。如果使用者或某個服務發出要求,而該要求會查詢此 Active Directory 網站中主控的服務 (例如,信箱),則網際網路對向 Active Directory 網站 Client Access Server Proxy 可以與這個 Client Access Server 通訊。 非網際網路對向 Active Directory 網站上的 Exchange Web 服務和離線通訊錄服務是設定成使用部署的憑證。這個憑證可以從內部私人 CA 發出。私人 CA 的根憑證必須匯入至網際網路對向 Active Directory 網站 Client Access Server 上的 [信任的第三方根憑證] 存放區。 |