• [アーティクル]

外部ユーザー アクセスに対する証明書要件

 

トピックの最終更新日: 2012-10-17

Microsoft Lync Server 2010 通信ソフトウェアでは、アクセスおよび Web 会議のエッジ外部インターフェイスに加えて、音声ビデオ認証サービスでも単一のパブリック証明書を使用できます。エッジ内部インターフェイスでは、通常であれば内部証明機関 (CA) が発行するプライベート証明書を使用しますが、信頼されたパブリック CA が発行したものであればパブリック証明書も使用できます。展開のリバース プロキシでは、パブリック証明書を使用し、リバース プロキシからクライアントへの通信およびリバース プロキシから内部サーバーへの通信を、HTTP を使用して暗号化します (つまり、Transport Layer Security over HTTP)。

以下に、アクセスおよび Web 会議のエッジ外部インターフェイスで使用されるパブリック証明書、および音声ビデオ認証サービスの要件を示します。

  • 証明書は、サブジェクトの別名をサポートする承認されたパブリック CA によって発行される必要があります。詳細については、マイクロソフト サポート技術情報の記事 929395「Exchange Server と Communications Server の統合コミュニケーション証明書パートナー」(https://support.microsoft.com/kb/929395/ja-jp) を参照してください。

  • 証明書をエッジ プールで使用する場合は、エッジ プール内の各エッジ サーバーで使用される同じ証明書を使用して、エクスポート可能として作成する必要があります。エクスポート可能な秘密キーの要件は音声ビデオ認証サービスのためのもので、プール内のすべてのエッジ サーバーで同じ秘密キーを使用する必要があります。

  • 証明書のサブジェクト名は、アクセス エッジ外部インターフェイスの完全修飾ドメイン名 (FQDN) またはハードウェア ロード バランサーの VIP (たとえば、access.contoso.com) です。

    note注:
    この点は、Lync Server 2010 での要件ではなくなっていますが、Office Communications Server との互換性を保つために推奨されています。

  • サブジェクトの別名リストには、以下のコンポーネントの FQDN が含まれています。

    • アクセス エッジ外部インターフェイスまたはハードウェア ロード バランサーの VIP (たとえば、access.contoso.com)。

      note注:
      証明書のサブジェクト名はアクセス エッジの FQDN と等しくなりますが、サブジェクトの別名にもアクセス エッジの FQDN を含める必要があります。これは、トランスポート層セキュリティ (TLS) がサブジェクト名を無視し、検証でサブジェクトの別名エントリを使用するからです。

    • Web 会議エッジ外部インターフェイスまたはハードウェア ロード バランサーの VIP (たとえば、webcon.contoso.com)。

    • クライアントの自動構成またはフェデレーションを使用し、会社内で使用されるすべての SIP ドメインの FQDN を含める場合 (たとえば、sip.contoso.com や sip.fabrikam.com)。

    • 音声ビデオ認証サービスでは、サブジェクト名エントリまたはサブジェクトの別名エントリは使用されません。

    note注:
    サブジェクトの別名リストでの FQDN の順番は問題ではありません。

1 つのサイトで負荷分散が有効な複数のエッジ サーバーを展開する場合、各エッジ サーバーにインストールする音声ビデオ認証サービス証明書は、同じ CA が発行したもので、同じ秘密キーを使用する必要があります。証明書の秘密キーは、1 つのエッジ サーバーと多くのエッジ サーバーのどちらで使用するかに関係なく、エクスポート可能にする必要があります。また、エッジ サーバー以外のコンピューターから証明書を要求する場合にもエクスポート可能にする必要があります。音声ビデオ認証サービスはサブジェクト名またはサブジェクトの別名を使用しないので、サブジェクト名およびサブジェクトの別名の要件がアクセス エッジおよび Web 会議エッジに対して満たされていて、証明書の秘密キーがエクスポート可能である限り、アクセス エッジ証明書を再利用できます。

エッジ内部インターフェイスで使用するプライベート (またはパブリック) 証明書の要件は以下のとおりです。

  • 証明書は、内部 CA または承認されたパブリック証明書 CA が発行できます。

  • 証明書のサブジェクト名は、通常、エッジ内部インターフェイスの FQDN またはハードウェア ロード バランサーの VIP (たとえば、lsedge.contoso.com) です。 ただし、エッジ内部でワイルドカード証明書を使用できます。

  • 必須のサブジェクトの別名リストはありません。

展開サービス内のリバース プロキシは、以下のことを要求します。

  • 会議の会議コンテンツへの外部ユーザー アクセス

  • 配布グループのメンバーを展開および表示するための外部ユーザー アクセス

  • アドレス帳サービスからダウンロード可能なファイルへの外部ユーザー アクセス

  • Lync Web App クライアントへの外部ユーザー アクセス

  • [ダイヤルイン会議の設定] Web ページへの外部ユーザー アクセス

  • 場所情報サービスへの外部ユーザー アクセス

  • デバイス更新サービスおよび更新の取得への外部デバイス アクセス

リバース プロキシは、内部サーバーの Web コンポーネント URL を発行します。Web コンポーネント URL は、ディレクター、フロントエンド サーバー、またはフロントエンド プールで、トポロジ ビルダー内の外部 Web サービスとして定義されています。

リバース プロキシに割り当てられている証明書のサブジェクトの別名フィールドでは、ワイルドカードの入力がサポートされています。リバース プロキシに対する証明書要求の構成方法の詳細については、「リバース HTTP プロキシの証明書を要求して構成する」を参照してください。