Anforderungen an Zertifikate für interne Server in Lync Server 2013

Lync Server 2013
 

Letztes Änderungsdatum des Themas: 2017-02-17

Zu den internen Servern, auf denen Lync Server ausgeführt wird und die Zertifikate benötigen, gehören z. B. Standard Edition-Server, Enterprise Edition-Front-End-Server, Vermittlungsserver und Director. Die folgende Tabelle enthält die Zertifikatanforderungen für diese Server. Sie können den Zertifikat-Assistenten von Lync Server verwenden, um diese Zertifikate anzufordern.

tipTipp:
Platzhalterzertifikate werden für die alternativen Antragstellernamen unterstützt, die den einfachen URLs auf dem Front-End-Pool, dem Front-End-Server oder dem Director zugeordnet sind. Ausführliche Informationen zur Platzhalterzertifikatunterstützung finden Sie unter Unterstützung von Platzhalterzertifikaten in Lync Server 2013.

Wenngleich für interne Server die Verwendung einer internen Unternehmenszertifizierungsstelle empfohlen wird, können Sie auch eine öffentliche Zertifizierungsstelle verwenden. Eine Liste öffentlicher Zertifizierungsstellen, die Zertifikate bereitstellen, die den speziellen Anforderungen an Unified Communications-Zertifikate entsprechen und eine Partnerschaft mit Microsoft eingegangen sind, um sicherzustellen, dass ihre Zertifikate mit dem Zertifikat-Assistenten von Lync Server verwendet werden können, finden Sie im Microsoft Knowledge Base-Artikel 929395, "Partner für Unified Communications-Zertifikate für Exchange Server und Communications Server", unter http://go.microsoft.com/fwlink/?linkid=202834&clcid=0x407.

Für die Kommunikation mit anderen Anwendungen und Servern, z. B. Exchange 2013, ist ein Zertifikat erforderlich, das von anderen Anwendungen und Produkten unterstützt wird. Für Version 2013 unterstützen Lync Server 2013 und andere Microsoft-Serverprodukte, darunter Exchange 2013 und SharePoint Server, das Open Authorization (OAuth)-Protokoll für die Authentifizierung und Autorisierung von Server zu Server. Ausführliche Informationen finden Sie unter Verwalten von Server-zu-Server-Authentifizierung (OAuth) und Partneranwendungen in der Bereitstellungs- oder Betriebsdokumentation.

Für Verbindungen von Clients, auf denen Windows 7-Betriebssystem, Windows Server 2008-Betriebssystem, Windows Server 2008 R2-Betriebssystem, Windows Vista-Betriebssystem und Microsoft Lync Phone Edition ausgeführt wird, umfasst Lync Server 2013 Unterstützung für Zertifikate, die mithilfe der kryptografischen Hashfunktion SHA-256 signiert wurden (diese jedoch nicht erfordern). Damit der externe Zugriff über SHA-256 unterstützt wird, wird das externe Zertifikat von einer öffentlichen Zertifizierungsstelle ausgestellt, die SHA-256 verwendet.

In der folgenden Tabelle werden die Zertifikatanforderungen nach Serverrolle für Front-End-Pools und Standard Edition-Server aufgeführt. Es handelt sich in allen Fällen um standardmäßige, nicht exportierbare Webserverzertifikate mit privatem Schlüssel.

Beachten Sie, dass die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für Server automatisch konfiguriert wird, wenn Sie den Zertifikat-Assistenten zum Anfordern von Zertifikaten verwenden.

noteHinweis:
Der Anzeigename jedes Zertifikats muss im Computerspeicher eindeutig sein.
noteHinweis:
Wenn Sie sipinternal.contoso.com oder sipexternal.contoso.com in Ihrem DNS konfiguriert haben, müssen Sie diese zum alternativen Antragstellernamen des Zertifikats hinzufügen.

Zertifikate für Standard Edition-Server

Zertifikat Antragstellername/ Allgemeiner Name Alternativer Antragstellername Beispiel Kommentare

Standard

Vollqualifizierter Domänenname (FQDN) des Pools

FQDN des Pools und FQDN des Servers

Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich (Domain Name System) festgelegt ist, benötigen Sie auch Einträge für "sip.sipDomäne" (für jede vorhandene SIP-Domäne).

SN=se01.contoso.com; SAN=se01.contoso.com

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch "SAN=sip.contoso.com; SAN=sip.fabrikam.com"

Auf einem Standard Edition-Server entspricht der Server-FQDN dem Pool-FQDN.

Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie dem alternativen Antragstellernamen (SAN) automatisch hinzu.

Sie können dieses Zertifikat auch für die Authentifizierung zwischen Servern verwenden.

Web, intern

FQDN des Servers

Jeder der folgenden:

  • Interner Web-FQDN (entspricht dem FQDN des Servers)

  • Einfache URLs vom Typ "Meet"

  • Einfache URLs vom Typ "Dialin"

  • Einfache URL vom Typ "Admin"

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Mit einem Platzhalterzertifikat:

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

Sie können den internen Web-FQDN im Topologie-Generator nicht überschreiben.

Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Web, extern

FQDN des Servers

Jeder der folgenden:

  • Externer Web-FQDN

  • Einfache URLs vom Typ "Dialin"

  • Einfache Besprechungs-URLs pro SIP-Domäne

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Mit einem Platzhalterzertifikat:

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Zertifikate für Front-End-Server in einem Front-End-Pool

Zertifikat Antragstellername/ Allgemeiner Name Alternativer Antragstellername Beispiel Kommentare

Standard

FQDN des Pools

FQDN des Pools und FQDN des Servers

Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch Einträge für "sip.sipDomäne" (für jede vorhandene SIP-Domäne).

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch "SAN=sip.contoso.com; SAN=sip.fabrikam.com".

Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie dem alternativen Antragstellernamen (SAN) automatisch hinzu.

Sie können dieses Zertifikat auch für die Authentifizierung zwischen Servern verwenden.

Web, intern

FQDN des Pools

Jeder der folgenden:

  • Interner Web-FQDN (entspricht NICHT dem FQDN des Servers)

  • Server-FQDN

  • FQDN des Lync-Pools

  • Einfache URLs vom Typ "Meet"

  • Einfache URLs vom Typ "Dialin"

  • Einfache URL vom Typ "Admin"

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Mit einem Platzhalterzertifikat:

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Web, extern

FQDN des Pools

Jeder der folgenden:

  • Externer Web-FQDN

  • Einfache URLs vom Typ "Dialin"

  • Einfache URL vom Typ "Admin"

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Mit einem Platzhalterzertifikat:

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Wenn Sie über mehrere einfache URLs vom Typ "Meet" verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen.

Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Zertifikate für Director

Zertifikat Antragstellername/ Allgemeiner Name Alternativer Antragstellername Beispiel

Standard

FQDN des Director-Pools

Director-FQDN, FQDN des Director-Pools

Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch Einträge für "sip.sipDomäne" (für jede vorhandene SIP-Domäne).

SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com

Wenn es sich bei diesem Director-Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch "SAN=sip.contoso.com; SAN=sip.fabrikam.com".

Web, intern

FQDN des Servers

Jeder der folgenden:

  • Interner Web-FQDN (entspricht dem FQDN des Servers)

  • Einfache URLs vom Typ "Meet"

  • Einfache URLs vom Typ "Dialin"

  • Einfache URL vom Typ "Admin"

  • Oder ein Platzhaltereintrag für die einfachen URLs

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Web, extern

FQDN des Servers

Jeder der folgenden:

  • Externer Web-FQDN

  • Einfache URLs vom Typ "Dialin"

  • Einfache URL vom Typ "Admin"

  • Oder ein Platzhaltereintrag für die einfachen URLs

Der externe Web-FQDN für den Director muss anders lauten als der des Front-End-Pools oder des Front-End-Servers.

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Wenn Sie über einen eigenständigen Vermittlungsserverpool verfügen, muss jeder der darin enthaltenen Vermittlungsserver über die in der folgenden Tabelle aufgelisteten Zertifikate verfügen. Wenn Sie einen Vermittlungsserver mit den Front-End-Servern verbinden, reichen die in der Tabelle "Zertifikate für Front-End-Server im Front-End-Pool" (weiter oben) aufgeführten Zertifikate aus.

Zertifikate für eigenständige Vermittlungsserver

Zertifikat Antragstellername/ Allgemeiner Name Alternativer Antragstellername Beispiel

Standard

FQDN des Pools

FQDN des Pools

FQDN des Poolmitgliedsservers

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Zertifikate für eine Survivable Branch Appliance

Zertifikat Antragstellername/ Allgemeiner Name Alternativer Antragstellername Beispiel

Standard

FQDN der Appliance

SIP.<SIP-Domäne> (ein Eintrag pro SIP-Domäne erforderlich)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

 
Anzeigen: