Certificats requis pour l’accès des utilisateurs externes dans Lync Server 2013
Rubrique Dernière modification : 2016-03-29
Le logiciel de communication Microsoft Lync Server 2013 prend en charge l’utilisation d’un seul certificat public pour les interfaces externes Edge d’accès et de conférence web, ainsi que le service d’authentification A/V. L’interface interne Edge utilise généralement un certificat privé émis par une autorité de certification interne, mais peut également utiliser un certificat public, à condition qu’il provienne d’une autorité de certification publique approuvée. Le proxy inverse dans votre déploiement utilise un certificat public et chiffre la communication entre le proxy inverse et les clients et le proxy inverse vers les serveurs internes à l’aide de HTTP (autrement dit, Transport Layer Security sur HTTP).
Voici les conditions requises pour le certificat public utilisé pour les interfaces externes Edge d’accès et de conférence web, ainsi que pour le service d’authentification A/V :
Le certificat doit être émis par une autorité de certification publique approuvée qui prend en charge le nom alternatif de l’objet. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 929395, « Unified Communications Certificate Partners for Exchange Server and for Communications Server », à l’adresse https://go.microsoft.com/fwlink/p/?linkId=202834.
Si le certificat est utilisé sur un pool Edge, il doit être créé comme exportable, avec le même certificat que celui utilisé sur chaque serveur Edge du pool Edge. L’exigence de clé privée exportable est destinée au service d’authentification A/V, qui doit utiliser la même clé privée sur tous les serveurs Edge du pool.
Si vous souhaitez optimiser le temps d’activité de vos services audio/vidéo, passez en revue les exigences de certificat pour l’implémentation d’un certificat de service Edge A/V découplé (autrement dit, un certificat de service Edge A/V distinct des autres fins de certificat Edge externe). Pour plus d’informations, consultez les modifications apportées à Lync Server 2013 qui affectent la planification du serveur Edge, la planification des certificats Edge Server dans Lync Server 2013 et les certificats AV et OAuth intermédiaires dans Lync Server 2013 à l’aide de -Roll dans Set-CsCertificate.
Le nom d’objet du certificat est le nom de domaine complet (FQDN) de l’interface externe du service Access Edge ou l’adresse IP virtuelle de l’équilibreur de charge matériel (par exemple, access.contoso.com). ). Le nom de l’objet ne peut pas avoir de caractère générique, il doit s’agir d’un nom explicite.
Remarque
Pour Lync Server 2013, il ne s’agit plus d’une exigence, mais elle est toujours recommandée pour la compatibilité avec Office Communications Server.
La liste de noms de remplacement de l’objet contient les noms de domaine complets des éléments suivants :
L’interface externe du service Access Edge ou l’adresse IP virtuelle de l’équilibreur de charge matériel (par exemple, sip.contoso.com).
Remarque
Même si le nom d’objet du certificat est égal au nom de domaine complet Edge d’accès, l’autre nom de l’objet doit également contenir le nom de domaine complet Edge d’accès, car transport layer security (TLS) ignore le nom de l’objet et utilise les entrées de nom de remplacement de l’objet pour la validation.
L’interface externe edge de conférence web ou l’adresse IP virtuelle de l’équilibreur de charge matériel (par exemple, webcon.contoso.com).
Si vous utilisez la configuration automatique ou la fédération du client, incluez également les noms de domaine complets de domaine SIP utilisés au sein de votre entreprise (par exemple, sip.contoso.com, sip.fabrikam.com).
Le service Edge A/V n’utilise pas le nom de l’objet ou les entrées de noms de remplacement de l’objet.
Remarque
L’ordre des noms de domaine complets dans la liste des autres noms de sujet n’a pas d’importance.
Si vous déployez plusieurs serveurs Edge à charge équilibrée sur un site, le certificat de service d’authentification A/V installé sur chaque serveur Edge doit être de la même autorité de certification et doit utiliser la même clé privée. Notez que la clé privée du certificat doit être exportable, qu’elle soit utilisée sur un serveur Edge ou sur plusieurs serveurs Edge. Il doit également être exportable si vous demandez le certificat à un ordinateur autre que le serveur Edge. Étant donné que le service d’authentification A/V n’utilise pas le nom de l’objet ou l’autre nom de l’objet, vous pouvez réutiliser le certificat Edge d’accès tant que les exigences de nom d’objet et de nom de l’objet sont remplies pour le edge d’accès et le edge de conférence web et que la clé privée du certificat est exportable.
Les conditions requises pour le certificat privé (ou public) utilisé pour l’interface interne Edge sont les suivantes :
Le certificat peut être émis par une autorité de certification interne ou une autorité de certification de certificat public approuvée.
Le nom d’objet du certificat est généralement le nom de domaine complet de l’interface interne Edge ou l’adresse IP virtuelle de l’équilibreur de charge matériel (par exemple, lsedge.contoso.com). Toutefois, vous pouvez utiliser un certificat générique sur le edge interne.
Aucune autre liste de noms d’objet n’est requise.
Le proxy inverse dans vos demandes de services de déploiement pour :
Accès des utilisateurs externes au contenu de réunion pour les réunions
Accès des utilisateurs externes pour développer et afficher les membres des groupes de distribution
Accès des utilisateurs externes aux fichiers téléchargeables à partir du service Carnet d’adresses
Accès des utilisateurs externes au client Lync Web App
Accès des utilisateurs externes à la page web Paramètres de conférence rendez-vous
Accès des utilisateurs externes au service d’informations sur l’emplacement
Accès des appareils externes au service Device Update et obtention des mises à jour
Le proxy inverse publie les URL des composants web du serveur interne. Les URL des composants web sont définies sur le pool d’administrateurs, de serveurs frontaux ou frontaux en tant que services web externes dans le Générateur de topologie.
Les entrées génériques sont prises en charge dans le champ de nom alternatif de l’objet du certificat affecté au proxy inverse. Pour plus d’informations sur la configuration de la demande de certificat pour le proxy inverse, consultez Demander et configurer un certificat pour votre proxy HTTP inversé dans Lync Server 2013.