Vorbereiten von Zertifikaten für Communicator Web Access

Letztes Änderungsdatum des Themas: 2011-11-17

Communicator Web Access (Version 2007 R2) verwendet die beiden Protokolle MTLS (Mutual Transport Layer Security) und SSL (Secure Sockets Layer), um zugewiesene Aufgaben auszuführen. MTLS ist ein Protokoll, das die sichere Kommunikation zwischen zwei Computern ermöglicht. In diesem Fall wird MTLS verwendet, um Verbindungen zwischen Communicator Web Access und Office Communications Server 2007 R2 zu authentifizieren.

SSL (Secure Sockets Layer) ist ein Internetprotokoll, über das die Teilnehmer an einer Unterhaltung authentifiziert werden und die Unterhaltung verschlüsselt wird. Bei Communicator Web Access werden SSL (und die Zertifikate) zum Schutz von Verbindungen zwischen den Clients und dem Server verwendet.

Obwohl Communicator Web Access zwei verschiedene Protokolle verwendet, reicht es normalerweise aus, nur ein Zertifikat zu installieren. In den meisten Fällen kann dasselbe Zertifikat für sowohl MTLS als auch SSL verwendet werden. (Das MTLS-Zertifikat wird zugewiesen, wenn Sie Communicator Web Access aktivieren. Das SSL-Zertifikat wird beim Erstellen eines virtuellen Servers jeweils zugewiesen.) Wenn Sie nur einen Server mit Communicator Web Access haben, reicht ein Zertifikat aus, solange es die folgenden Kriterien erfüllt:

Angenommen, Sie haben einen Computer mit dem Namen cwaserver.contoso.com, und Benutzer greifen auf diesen Server mit dem Hostnamen im.contoso.com zu. In diesem Fall muss Ihr Zertifikat die folgenden Informationen enthalten:

Es ist möglich, dass auf einem einzelnen Communicator Web Access-Computer mehrere virtuelle Server gehostet werden (z. B. im.contoso.com und im.fabrikam.com). In diesem Fall benötigen Sie zwei Zertifikate: eines für contoso.com und eines für fabrikam.com.

Es ist außerdem möglich, mit getrennten SSL- und MTLS-Zertifikate zu arbeiten. Wenn Ihre Communicator Web Access-URL z. B. https://im.contoso.com lautet, muss das SSL-Zertifikat die folgenden Informationen enthalten:

Das MTLS-Zertifikat muss den vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Communications Web Access-Computers im Antragstellernamen des Zertifikats angeben. Wenn der vollständig qualifizierte Domänenname des Computers cwaserver.contoso.com lautet, muss das MTLS-Zertifikat die folgenden Informationen enthalten (wobei kein alternativer Antragstellername erforderlich ist):

Die Zertifikate, die dem Communicator Web Access-Server zugewiesen sind, und die Zertifikate, die Office Communications Server zugewiesen sind, müssen nicht von derselben Zertifizierungsstelle ausgestellt worden sein. Deshalb können Sie ein Zertifikat einer öffentlichen Zertifizierungsstelle einem virtuellen Server zuordnen, der von externen Benutzern verwendet wird. Ausführliche Informationen finden Sie unter Anfordern eines Zertifikats eines Drittanbieters für Communicator Web Access. Dies ist wichtig für Benutzer, die sich an einem öffentlichen Computer (z. B. in einem Internet-Café) oder geliehenen Computer an Communicator Web Access anmelden. Falls der virtuelle Server ein SSL-Zertifikat verwendet, das von einer Zertifizierungsstelle ausgestellt wurde, die für den Computer nicht vertrauenswürdig ist, wird angezeigt, dass der Inhalt blockiert ist, wenn der Benutzer den Anmeldebildschirm der Communicator Web Access-Website öffnet. Der Benutzer kann sich zwar möglicherweise anmelden, aber keine Sofortnachrichten senden oder an Desktopfreigabesitzungen teilnehmen. Dieses Problem kann nur gelöst werden, indem dem virtuellen Server ein neues Zertifikat zugeordnet wird, oder indem jeder Client ein Zertifikat der Zertifizierungsstelle erhält, die der virtuelle Server nutzt.