• Artikel

Zertifikatanforderungen für den externen Benutzerzugriff

 

Letztes Änderungsdatum des Themas: 2012-10-17

Die Microsoft Lync Server 2010-Kommunikationssoftware unterstützt die Verwendung eines einzelnen öffentlichen Zertifikats für die externen Edgeschnittstellen für Zugriff und Webkonferenzen sowie für die interne Edgeschnittstelle für den Audio-Video-Authentifizierungsdienst. Für die interne Edgeschnittstelle wird üblicherweise ein von einer internen Zertifizierungsstelle ausgestelltes privates Zertifikat verwendet, es kann jedoch auch ein öffentliches Zertifikat verwendet werden, wenn dieses von einer vertrauenswürdigen Zertifizierungsstelle stammt.

Im Folgenden finden Sie die Anforderungen für das öffentliche Zertifikat, das für die externen Edgeschnittstellen für Zugriff und Webkonferenzen sowie für den Audio-Video-Authentifizierungsdienst verwendet wird:

  • Das Zertifikat muss von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle ausgestellt werden, die alternative Antragstellernamen unterstützt. Ausführliche Informationen finden Sie im Microsoft Knowledge Base-Artikel 929395 zum Thema "Partner für Unified Communications-Zertifikate für Exchange Server und Communications Server" unter https://support.microsoft.com/kb/929395/de-de.

  • Wenn das Zertifikat in einem Edgepool verwendet werden soll, muss es als exportierbares Zertifikat erstellt werden, und es muss auf jedem Edgeserver im Edgepool das gleiche Zertifikat verwendet werden. Der private Schlüssel als exportierbarer Schlüssel ist für die Verwendung mit dem Audio-Video-Authentifizierungsdienst notwendig, der für alle Edgeserver des Pools den gleichen privaten Schlüssel verwenden muss.

  • Der Antragstellername für das Zertifikat ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) oder die virtuelle IP-Adresse (VIP) eines Hardwaregeräts zum Lastenausgleich (zum Beispiel "access.contoso.com").

    noteHinweis:
    Für Lync Server 2010 ist dies nicht mehr zwingend erforderlich, wird jedoch aus Gründen der Kompatibilität mit Office Communications Server weiterhin empfohlen.

  • Die Liste der alternativen Antragstellernamen enthält folgende FQDNs:

    • Die externe Edgeschnittstelle für den Zugriff oder die VIP eines Hardwaregeräts zum Lastenausgleich (zum Beispiel "access.contoso.com").

      noteHinweis:
      Auch wenn der Antragstellername des Zertifikats dem FQDN des Zugriffsedges entspricht, muss der alternative Antragstellername auch den FQDN des Zugriffs-Edgeservers enthalten, da TLS (Transport Layer Security) den Antragstellernamen ignoriert und zur Überprüfung die Einträge für alternative Antragstellernamen verwendet.

    • Die externe Edgeschnittstelle für Webkonferenzen oder die VIP eines Hardwaregeräts zum Lastenausgleich (zum Beispiel "webcon.contoso.com").

    • Wenn Sie die automatische Clientkonfiguration oder Partnerverbundfunktionen nutzen, geben Sie auch alle in Ihrem Unternehmen verwendeten FQDNs der SIP-Domäne an (zum Beispiel "sip.contoso.com", "sip.fabrikam.com").

    • Der Audio-Video-Authentifizierungsdienst verwendet die Einträge für Antragstellername oder den alternativen Antragstellernamen nicht.

    noteHinweis:
    Die Reihenfolge der FQDNs in den alternativen Antragstellernamen spielt keine Rolle.

Wenn Sie an einem Standort mehrere Edgeserver mit Lastenausgleich bereitstellen, müssen alle auf den Edgeservern installierten Zertifikate für den Audio-Video-Authentifizierungsdienst von der gleichen Zertifizierungsstelle stammen und den gleichen privaten Schlüssel verwenden. Beachten Sie, dass der private Schlüssel des Zertifikats exportierbar sein muss, unabhängig davon, ob das Zertifikat auf einem oder mehreren Edgeservern verwendet wird. Dies gilt auch, wenn Sie das Zertifikat von einem anderen Computer als dem Edgeserver anfordern.

Folgende Anforderungen gelten für das private (oder öffentliche) Zertifikat für die interne Edgeschnittstelle:

  • Das Zertifikat kann von einer internen Zertifizierungsstelle oder einer vertrauenswürdigen öffentlichen Zertifizierungsstelle ausgestellt werden.

  • Beim Antragstellernamen des Zertifikats handelt es sich üblicherweise um den FQDN der internen Edgeschnittstelle oder um die VIP eines Hardwaregeräts zum Lastenausgleich (zum Beispiel "lsedge.contoso.com"). Für die interne Edgeschnittstelle können Sie jedoch auch ein Platzhalterzertifikat verwenden.

  • Eine Liste mit alternativen Antragstellernamen ist nicht erforderlich.

Der Reverseproxy Ihrer Bereitstellungsdienste erfordert Folgendes:

  • Zugriff externer Benutzer auf Besprechungsinhalte bei Besprechungen

  • Zugriff externer Benutzer für das Erweitern und Anzeigen von Mitgliedern von Verteilergruppen

  • Zugriff externer Benutzer auf herunterladbare Dateien vom Adressbuchdienst

  • Zugriff externer Benutzer auf Lync Web App-Clients

  • Zugriff externer Benutzer auf die Webseite für Einwahlkonferenzeinstellungen

  • Zugriff externer Benutzer auf den Standortinformationsdienst

  • Zugriff durch externe Geräte auf den Geräteaktualisierungsdienst und die Berechtigung, Updates anzufordern

Der Reverseproxy veröffentlicht die URLs für die Webkomponenten auf internen Servern. Die URLs für Webkomponenten werden auf dem Director, Front-End-Server oder Front-End-Pool als die Externen Webdienste in Topologie-Generator definiert.

Einträge mit Platzhalterzeichen werden im Feld für den alternativen Antragstellernamen des für den Reverseproxy zugewiesenen Zertifikats unterstützt. Weitere Informationen zur Konfiguration der Zertifikatanforderung für den Reverseproxy finden Sie unter Anfordern und Konfigurieren eines Zertifikats für den HTTP-Reverseproxy.