Recommandations de certificat pour les déploiements Exchange 2013 et Lync Server

Votre certificat doit être approuvé aussi bien par les ordinateurs exécutant Exchange que par les ordinateurs exécutant Lync Server. Dans un environnement composé de Lync Server et de la messagerie unifiée, suivez ces indications pour déployer un certificat approuvé :

• Sur vos serveurs Lync, d'accès au client, de boîtes aux lettres, Lync Server Mediation Server et passerelles multimédias, importez un certificat valide et signé par une autorité de certification (CA) privée ou publique. Il devrait s’agir d’un certificat commercial tiers approuvé ou d’un certificat d’infrastructure à clé publique (PKI).

• La procédure sera plus simple si vous importez le même certificat commercial tiers ou PKI sur chaque serveur Exchange. Installez également ce certificat approuvé sur chaque ordinateur exécutant Microsoft Lync Server et Lync Server Mediation Server. Cela vous rendra le déploiement de certificat plus facile et réduira la charge administrative liée à cette tâche. Il est recommandé d’utiliser un certificat approuvé prenant en charge l’attribut Autres noms d’objet.

  Lorsque vous déployez la sécurité de la couche de transport (TLS) avec la messagerie unifiée, les certificats utilisés sur le serveur d'accès au client et le serveur de boîtes aux lettres doivent tous deux contenir le nom de domaine complet (FQDN) de l'ordinateur local dans le Nom du sujet du certificat. Pour contourner ce problème, utilisez un certificat public et importez le certificat sur tous les serveurs d’accès au client et serveurs de boîte aux lettres, toutes les passerelles VoIP, les PBX IP et tous les serveurs Lync.

  Si votre déploiement comprend des passerelles VoIP ou PBX IP, et si vous utilisez un plan de numérotation en mode SIP sécurisé ou en mode sécurisé, un certificat approuvé est requis entre les serveurs d’accès au client et les serveurs de boîte aux lettres, et les passerelles VoIP ou PBX IP. Un certificat approuvé est également requis si une connexion SIP directe est utilisée. Si vous utilisez un plan de numérotation en mode SIP sécurisé ou en mode sécurisé, vous pouvez utiliser le même certificat approuvé sur vos serveurs Lync et Exchange que sur vos passerelles VoIP ou PBX IP.

• Lorsque vous connectez des serveurs de boîtes aux lettres et d'accès au client Exchange à des serveurs Microsoft Lync servers ou des passerelles SIP tierces ou un équipement téléphonique d'autocommutateur privé (PBX), vous devez utiliser un certificat valide et signé par une autorité de certification tierce, interne ou publique, pour établir des sessions sécurisées. Vous pouvez utiliser un seul certificat sur tous les serveurs d’accès au client et les serveurs de boîtes aux lettres tant que les noms de domaine complets de tous les serveurs d’accès au client et les serveurs de boîtes aux lettres sont inclus dans la liste des SAN du certificat. Ou bien, vous pouvez générer un certificat différent pour chaque serveur d’accès au client et serveur de boîte aux lettres, avec le nom de domaine complet de l’ordinateur local présent dans le nom commun sujet ou la liste des SAN du certificat pour ce serveur. La messagerie unifiée Exchange ne prend pas en charge les certificats génériques avec Microsoft Lync Server.

  Un nom d’objet non générique est requis pour que Lync Server et Exchange fonctionnent conjointement. La messagerie unifiée et Lync Server utilisent le nom d’objet comme moyen d’indiquer qu’ils sont des homologues SIP approuvés. Lync Server nécessite également un nom d’objet non générique dans certains scénarios de routage d’appels. Le nom de domaine complet doit être utilisé comme valeur « Délivré à ».

  Pour la messagerie unifiée d’Exchange, l’utilisation de caractères génériques dans le nom de certificat n’est pas prise en charge. Toutefois, vous pouvez mettre un caractère générique dans le SAN.

Le tableau suivant indique les exigences de certificat pour l’installation et la configuration de certificats pour la messagerie unifiée d’Exchange.