Zertifikatzusammenfassung für einen skalierten konsolidierten Edgeserver, DNS-Lastenausgleich mit privaten IP-Adressen und NAT in Lync Server 2013

Lync Server 2013
 

Letztes Änderungsdatum des Themas: 2016-12-15

Microsoft Lync Server 2013 verwendet Zertifikate zum gegenseitigen Authentifizieren von Servern und zum Verschlüsseln von Daten zwischen Servern sowie zwischen Server und Client. Bei Zertifikaten müssen die Namen der DNS-Einträge (Domain Name System), die den Servern zugeordnet sind, sowie der Antragstellername (Subject Name, SN) und der alternative Antragstellername (Subject Alternative Name, SAN) im Zertifikat übereinstimmen. Für die erfolgreiche Zuordnung von Servern, DNS-Einträgen und Zertifikateinträgen müssen Sie die vollqualifizierten Domänennamen des vorgesehenen Servers wie im DNS und in den SN- und SAN-Einträgen im Zertifikat registriert sorgfältig planen.

Das Zertifikat, das den externen Schnittsellen des Edgeservers zugewiesen ist, wird von einer öffentlichen Zertifizierungsstelle angefordert. Öffentliche Zertifizierungsstellen, die nachweislich erfolgreich Zertifikate für Unified Communications bereitgestellt haben, sind im folgenden Artikel aufgeführt: http://go.microsoft.com/fwlink/?linkid=3052 . Beim Anfordern des Zertifikats können Sie die vom Lync Server-Bereitstellungs-Assistenten generierte Zertifikatanforderung verwenden oder aber das Zertifikat manuell oder mithilfe eines Prozesses der öffentlichen Zertifizierungsstelle anfordern. Das Zertifikat wird der Zugriffs-Edgedienst-Schnittstelle, der Webkonferenz-Edgedienst-Schnittstelle und dem Audio-/Video-Authentifizierungsdienst zugewiesen. Der Audio-/Video-Authentifizierungsdienst sollte nicht mit dem A/V-Edgedienst verwechselt werden, der kein Zertifikat zum Verschlüsseln der Audio- und Videostreams verwendet. Die interne Edgeserverschnittstelle kann ein Zertifikat von einer internen Zertifizierungsstelle (innerhalb Ihrer Organisation) oder ein Zertifikat von einer öffentlichen Zertifizierungsstelle verwenden. Das Zertifikat der internen Schnittstelle verwendet nur den SN-Eintrag und benötigt bzw. verwendet keine SAN-Einträge.

noteHinweis:
Die folgende Tabelle zeigt zu Referenzzwecken einen sekundären SIP-Eintrag ( sip.fabrikam.com ) in der Liste für alternative Antragstellernamen. Für jede SIP-Domäne in Ihrer Organisation müssen Sie einen entsprechenden FQDN in der Liste der alternativen Antragstellernamen des Zertifikats hinzufügen.

 

Komponente Antragstellername Alternative Antragstellernamen (SAN)/Reihenfolge Kommentare

Skalierter konsolidierter Edgeserver (externer Edgeserver)

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und benötigt die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für den Server und den Client, falls die Verbindung mit den öffentlichen Chatdiensten von AOL bereitgestellt werden soll. Darüber hinaus muss für skalierte Edgeserver der private Schlüssel des Zertifikats exportierbar sein, und das Zertifikat und der private Schlüssel müssen auf jeden Edgeserver kopiert werden. Das Zertifikat wird den externen Edgeschnittstellen zugewiesen für:

  • Zugriffsedgedienst

  • Konferenz-Edgedienst

  • A/V-Edgedienst

Beachten Sie, dass SANs basierend auf Ihren Definitionen im Topologie-Generator automatisch dem Zertifikat hinzugefügt werden. Sie fügen SAN-Einträge bei Bedarf für zusätzliche SIP-Domänen und sonstige Einträge, die unterstützt werden müssen, hinzu. Der Antragstellername wird im SAN repliziert und muss für den ordnungsgemäßen Betrieb vorhanden sein.

Skalierter konsolidierter Edgeserver (interner Edgeserver)

lsedge.contoso.net

Kein SAN erforderlich

Das Zertifikat kann von einer öffentlichen oder privaten Zertifizierungsstelle ausgestellt werden und muss die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für den Server enthalten. Das Zertifikat wird der internen Edgeschnittstelle zugewiesen.

 

Komponente Antragstellername Alternative Antragstellernamen (SAN)/Reihenfolge Kommentare

Extern/Zugriffsedge

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Das Zertifikat muss von einer öffentlichen Zertifizierungsstelle stammen und benötigt die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für den Server und den Client, falls die Verbindung mit den öffentlichen Chatdiensten von AOL bereitgestellt werden soll. Das Zertifikat wird den externen Edgeschnittstellen zugewiesen für:

  • Zugriffsedgedienst

  • Konferenz-Edgedienst

  • A/V-Edgedienst

Beachten Sie, dass SANs basierend auf Ihren Definitionen im Topologie-Generator automatisch dem Zertifikat hinzugefügt werden. Sie fügen SAN-Einträge bei Bedarf für zusätzliche SIP-Domänen und sonstige Einträge, die unterstützt werden müssen, hinzu. Der Antragstellername wird im SAN repliziert und muss für den ordnungsgemäßen Betrieb vorhanden sein.

 

Komponente Antragstellername Alternative Antragstellernamen (SAN)/Reihenfolge Kommentare

Zuweisung zu Zugriffs-Edgedienst von Edgeserver oder Edgepool

sip.contoso.com

webcon.contoso.com

sip.contoso.com

sip.fabrikam.com

xmpp.contoso.com

*.contoso.com

Die ersten drei SAN-Einträge sind die regulären SAN-Einträge für einen vollständigen Edgeserver. contoso.com ist der für den Partnerverbund mit dem XMPP-Partner auf der Stammdomänenebene erforderliche Eintrag. Dieser Eintrag ermöglicht XMPP für alle Domänen mit dem Suffix *.contoso.com .

 
Anzeigen: