Preparar certificados para Communicator Web Access
Última modificación del tema: 2011-11-17
Communicator Web Access (versión 2007 R2) usa dos protocolos diferentes, Mutual TLS (MTLS) y Capa de sockets seguros (SSL), para llevar a cabo las tareas designadas. MTLS es un protocolo que proporciona comunicaciones seguras entre dos PC. En este caso, MTLS se usa para autenticar conexiones entre Communicator Web Access y Office Communications Server 2007 R2.
Capa de sockets seguros (SSL) es un protocolo de Internet usado para autenticar las partes en una conversación y para cifrar esa conversación. En Communicator Web Access, se usa SSL (junto con certificados) para proteger las conexiones entre los clientes y el servidor.
Aunque Communicator Web Access usa dos protocolos diferentes, suele bastar con instalar un único certificado: en la mayoría de los casos, puede usarse el mismo certificado para MTLS y SSL. (El certificado MTLS se asigna al activar Communicator Web Access, mientras que el certificado SSL se asigna cada vez que se crea un servidor virtual). Si solo tiene un servidor de Communicator Web Access, puede usar un único certificado siempre y cuando dicho certificado cumpla los siguientes criterios:
Nombre de sujeto |
Coincide con la dirección URL del sitio de Communicator Web Access. Por ejemplo, si la dirección URL es https://im.contoso.com, el certificado debe tener im.contoso.com como nombre de sujeto. Coincide con el nombre de dominio completo (FQDN) del servidor de Communicator Web Access. La dirección URL del servidor de Communicator Web Access debe definirse en el campo SAN. |
Nombre alternativo del sujeto (SAN) |
Incluye lo siguiente:
|
Por ejemplo, suponga que tiene un PC de nombre "cwaserver.contoso.com", y los usuarios acceden a este servidor usando el nombre de host "im.contoso.com". En este caso, su certificado debería incluir la siguiente información:
Nombre de sujeto |
|
Nombre alternativo del sujeto (SAN) |
|
Es posible que un único equipo de Communicator Web Access hospede varios servidores virtuales (por ejemplo, im.contoso.com e im.fabrikam.com ). En ese caso, necesitará dos certificados, uno para contoso.com y otro, para fabrikam.com.
También es posible tener certificados SSL y MTLS distintos. Por ejemplo, si la dirección URL de Communicator Web Access es https://im.contoso.com, el certificado SSL debería incluir la información siguiente:
Nombre de sujeto |
|
Nombre alternativo del sujeto (SAN) |
|
El certificado MTLS debe incluir el nombre de dominio completo (FQDN) del PC de Communications Web Access en el nombre de sujeto. Si el nombre de dominio completo (FQDN) de ese PC es "cwaserver.contoso.com", el certificado MTLS debe incluir la siguiente información (el nombre alternativo del sujeto no es obligatorio):
Nombre de sujeto |
|
Los certificados asignados al servidor de Communicator Web Access y los certificados asignados a Office Communications Server no tienen que ser emitidos por la misma entidad de certificación. Esto le permite asignar un certificado de una entidad de certificación pública a un servidor virtual usado por usuarios externos. Para obtener información detallada, vea Solicitar un certificado de otro fabricante para Communicator Web Access. Esto es importante para los usuarios que inician sesión en Communicator Web Access desde un PC público (por ejemplo, un PC de un cibercafé) o un PC prestado. Si el servidor virtual usa un certificado SSL emitido por una entidad de certificación en la que el PC no confía, el usuario verá un mensaje de "contenido bloqueado" cuando tenga acceso a la pantalla de inicio de sesión de Communicator Web Access. Aunque es posible que el usuario pueda iniciar sesión, no podrá enviar mensajes instantáneos ni participar en sesiones de uso compartido del escritorio. La única solución a este problema es asignar un nuevo certificado al servidor virtual o hacer que cada cliente obtenga un certificado de la entidad de certificación usada por dicho servidor virtual.