Zertifikatzusammenfassung für einen einzelnen konsolidierten Edgeserver mit privaten IP-Adressen und NAT in Lync Server 2013

Lync Server 2013
 

Letztes Änderungsdatum des Themas: 2016-12-15

Microsoft Lync Server 2013 verwendet Zertifikate zum gegenseitigen Authentifizieren von Servern und zum Verschlüsseln von Daten zwischen Servern sowie zwischen Server und Client. Bei Zertifikaten müssen die Namen der DNS-Einträge (Domain Name System), die den Servern zugeordnet sind, sowie der Antragstellername (Subject Name, SN) und der alternative Antragstellername (Subject Alternative Name, SAN) im Zertifikat übereinstimmen. Für die erfolgreiche Zuordnung von Servern, DNS-Einträgen und Zertifikateinträgen müssen Sie die vollqualifizierten Domänennamen des vorgesehenen Servers wie im DNS und in den SN- und SAN-Einträgen im Zertifikat registriert sorgfältig planen.

Das Zertifikat, das den externen Schnittstellen des Edgeservers zugeordnet ist, wird von einer öffentlichen Zertifizierungsstelle angefordert. Öffentliche Zertifizierungsstellen, die bereits erfolgreich Zertifikate für Unified Communications bereitgestellt haben, sind in folgendem Artikel aufgelistet: http://go.microsoft.com/fwlink/?linkid=3052 . Wenn Sie das Zertifikat anfordern, können Sie die vom Lync Server-Bereitstellungs-Assistent generierte Zertifikatanforderung verwenden oder die Anforderung manuell mithilfe der Lync Server-Verwaltungsshell-Cmdlets oder nach dem von einer öffentlichen Zertifizierungsstelle angebotenen Verfahren generieren. Ausführliche Informationen zur Verwendung der Lync Server-Verwaltungsshell-Cmdlets für die Zertifikatverwaltung erhalten Sie im Abschnitt Cmdlets für Zertifikate und Authentifizierung. Bei der Zuweisung des Zertifikats wird das Zertifikat der Zugriffs-Edgedienst-Schnittstelle, der Webkonferenz-Edgedienst-Schnittstelle und dem Audio-Video-Authentifizierungsdienst zugewiesen. Der Audio-Video-Authentifizierungsdienst ist nicht zu verwechseln mit dem A/V-Edgedienst, bei dem für die Verschlüsselung der Audio- und Videostreams kein Zertifikat verwendet wird. Die interne Edgeserver-Schnittstelle kann ein Zertifikat einer internen (innerhalb Ihres Unternehmens) Zertifizierungsstelle oder einer öffentlichen Zertifizierungsstelle verwenden. Das interne Schnittstellenzertifikat verwendet nur den SN und benötigt bzw. verwendet keine SAN-Einträge.

noteHinweis:
Die folgende Tabelle zeigt zu Referenzzwecken einen sekundären SIP-Eintrag ( sip.fabrikam.com ) in der Liste für alternative Antragstellernamen. Für jede SIP-Domäne in Ihrer Organisation müssen Sie einen entsprechenden FQDN in der Liste der alternativen Antragstellernamen des Zertifikats hinzufügen.

 

Komponente Antragstellername Alternative Antragstellernamen (SAN)/Reihenfolge Kommentare

Einzelner konsolidierter Edgeserver (externer Edge)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und benötigt die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für den Server und den Client, falls die Verbindung mit den öffentlichen Chatdiensten von AOL bereitgestellt werden soll. Das Zertifikat wird den externen Edgeschnittstellen zugewiesen für:

  • Zugriffsedgedienst

  • Konferenz-Edgedienst

  • A/V-Edgedienst

Beachten Sie, dass SANs basierend auf Ihren Definitionen im Topologie-Generator automatisch dem Zertifikat hinzugefügt werden. Sie fügen SAN-Einträge bei Bedarf für zusätzliche SIP-Domänen und sonstige Einträge, die unterstützt werden müssen, hinzu. Der Antragstellername wird im SAN repliziert und muss für den ordnungsgemäßen Betrieb vorhanden sein.

Einzelner konsolidierter Edgeserver (interner Edge)

lsedge.contoso.net

Kein SAN erforderlich

Das Zertifikat kann von einer öffentlichen oder privaten Zertifizierungsstelle ausgestellt werden und muss die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für den Server enthalten. Das Zertifikat wird der internen Edgeschnittstelle zugewiesen.

 

Komponente Antragstellername Alternative Antragstellernamen (SAN)/Reihenfolge Kommentare

Extern/Zugriffsedge

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und benötigt die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für den Server und den Client, falls die Verbindung mit den öffentlichen Chatdiensten von AOL bereitgestellt werden soll. Das Zertifikat wird den externen Edgeschnittstellen zugewiesen für:

  • Zugriffsedgedienst

  • Konferenz-Edgedienst

  • A/V-Edgedienst

Beachten Sie, dass SANs basierend auf Ihren Definitionen im Topologie-Generator automatisch dem Zertifikat hinzugefügt werden. Sie fügen SAN-Einträge bei Bedarf für zusätzliche SIP-Domänen und sonstige Einträge, die unterstützt werden müssen, hinzu. Der Antragstellername wird im SAN repliziert und muss für den ordnungsgemäßen Betrieb vorhanden sein.

 

Komponente Antragstellername Alternative Antragstellernamen (SAN)/Reihenfolge Kommentare

Zuweisung zu Zugriffs-Edgedienst von Edgeserver oder Edgepool

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

Die ersten drei SAN-Einträge sind die regulären SAN-Einträge für einen vollständigen Edgeserver. contoso.com ist der für den Partnerverbund mit dem XMPP-Partner auf der Stammdomänenebene erforderliche Eintrag. Dieser Eintrag ermöglicht XMPP für alle Domänen mit dem Suffix *.contoso.com .

 
Anzeigen: