准备 Communicator Web Access 的证书
上一次修改主题: 2011-11-17
Communicator Web Access(2007 R2 发行版)使用两种不同的协议来执行指派给它的任务,这两个协议是相互 TLS (MTLS) 和安全套接字层 (SSL)。MTLS 是用于提供两台计算机之间的安全通信的协议。在这种情况下,MTLS 用于对 Communicator Web Access 和 Office Communications Server 2007 R2 之间的连接进行身份验证。
安全套接字层 (SSL) 是一种 Internet 协议,用于验证一个对话中的各方的身份并对该对话进行加密。对于 Communicator Web Access,SSL(和证书)用于保护客户端和服务器之间的连接。
虽然 Communicator Web Access 使用通常可通过安装单个证书获取的两种不同的协议:大多数情况下,同一证书可用于 MTLS 和 SSL。(激活 Communicator Web Access 时分配 MTLS 证书,而在每次创建虚拟服务器时分配 SSL 证书。如果您只有一个 Communicator Web Access 服务器,可以使用一个证书,前提是该证书满足以下条件:
使用者名称 |
与 Communicator Web Access 站点的 URL 匹配。例如,如果 URL 为 https://im.contoso.com,则证书的使用者名称应该是 im.contoso.com。匹配 Communicator Web Access 服务器的完全限定的域名 (FQDN)。Communicator Web Access 服务器 URL 应在 SAN 字段中定义。 |
使用者备用名称 (SAN) |
包括以下各项:
|
例如,假设您有一台名为 cwaserver.contoso.com 的计算机,用户将使用主机名 im.contoso.com 访问该服务器。在这种情况下,您的证书需要包括以下信息:
使用者名称 |
|
使用者备用名称 (SAN) |
|
一台 Communicator Web Access 计算机可以承载多个虚拟服务器(例如,im.contoso.com 和 im.fabrikam.com)。在这种情况下,您需要两个证书,一个用于 contoso.com,另一个用于 fabrikam.com。
还有可能需要单独的 SSL 证书和 MTLS 证书。例如,如果您的 Communicator Web Access URL 是 https://im.contoso.com,那么您的 SSL 证书应该包含以下信息:
使用者名称 |
|
使用者备用名称 (SAN) |
|
MTLS 证书应该在证书的使用者名称中列出 Communications Web Access 计算机的完全限定的域名 (FQDN)。如果该计算机的完全限定的域名 (FQDN) 是 cwaserver.contoso.com,则 MTLS 证书应该包括以下信息(不需要使用者备用名称):
使用者名称 |
|
分配给 Communicator Web Access 服务器的证书和分配给 Office Communications Server 的证书不必由同一个证书颁发机构 (CA) 颁发。这样您就可以将公共 CA 颁发的证书分配给外部用户使用的虚拟服务器。有关详细信息,请参阅请求 Communicator Web Access 的第三方证书。这一点对于从公用计算机(例如,Internet 咖啡馆中的计算机)或借来的计算机登录 Communicator Web Access 的用户来说很重要。如果虚拟服务器使用的 SSL 证书是由不受计算机信任的 CA 颁发的,则当用户访问 Communicator Web Access 登录屏幕时,将会看到“内容已阻止”消息。尽管用户可能能够登录,但无法发送即时消息或参与桌面共享会话。这个问题唯一的解决方法是向虚拟服务器分配一个新的证书,或者让每个客户端从该虚拟服务器使用的 CA 获得一个证书。