• Articolo

Certificati per Lync Server 2010

 

Ultima modifica dell'argomento: 2011-05-02

I server perimetrali sono dotati di certificati e comunicano con i server interni tramite MTLS. I certificati sono obbligatori nelle interfacce interne ed esterne di ogni server perimetrale.

Ogni server perimetrale richiede un certificato pubblico nelle interfacce tra la rete perimetrale e Internet. Il certificato deve essere emesso da un'autorità di certificazione pubblica (CA) e il nome alternativo del soggetto deve contenere i nomi esterni dei nomi di dominio completi (FQDN) dell'Access Edge Server e del Web Conferencing Edge Server. Tuttavia, la Distribuzione guidata semplifica la configurazione del nome alternativo del soggetto, automatizzando gran parte del processo. Microsoft Lync Server 2010 supporta l'utilizzo di un singolo certificato pubblico per tutte le interfacce esterne. La chiave privata del certificato deve essere esportabile, se viene utilizzata con più server perimetrali, ed è consigliabile utilizzare una chiave esportabile con un singolo server perimetrale. La chiave deve inoltre essere esportabile se il certificato viene richiesto da qualsiasi computer diverso dal server perimetrale.

Un certificato è inoltre richiesto nell'interfaccia perimetrale esterna per l'autenticazione A/V. La chiave privata del certificato di autenticazione A/V viene utilizzata per generare credenziali di autenticazione. Il certificato da utilizzare deve essere emesso da una CA pubblica. Per impostazione predefinita, viene utilizzato lo stesso certificato per il perimetro esterno e l'autenticazione A/V. Se in un sito si distribuiscono più server perimetrali con bilanciamento del carico, in ognuno di essi deve essere installato lo stesso certificato. Il certificato deve essere esportabile se viene utilizzato in più server perimetrali o se viene richiesto da qualsiasi computer diverso dal server perimetrale.

Ogni server proxy esterno richiede un certificato server Web. Il nome alternativo del soggetto del certificato server Web deve specificare tutti i nomi FQDN esterni Web, da tutti i pool Front End Server e Director, e tutti URL semplici, ad eccezione dell'URL di amministrazione. Questo certificato deve essere emesso da una CA pubblica.

Per informazioni dettagliate sui requisiti e la distribuzione di certificati di server perimetrali, vedere Requisiti dei certificati per l'accesso utente esterno nella documentazione relativa alla pianificazione, Richiedere certificati perimetrali nella documentazione relativa alla distribuzione e Configurare i certificati perimetrali nella documentazione relativa alla distribuzione.

Procedura consigliata per i certificati

Per garantire sicurezza quando si utilizza lo stesso certificato in più server perimetrali, richiedere un singolo certificato da utilizzare per tutti i server perimetrali e contrassegnare la chiave privata come esportabile, quindi eseguire le operazioni seguenti:

  1. In un server perimetrale richiedere un certificato con una chiave privata esportabile.

  2. Importare il certificato nel primo server perimetrale. Includere la catena di certificati radice, se necessario.

  3. Esportare il certificato con la relativa chiave privata. Il certificato deve essere contrassegnato per consentire questa operazione.

  4. Importare il certificato esportato nell'archivio del computer in ogni server perimetrale, ma non contrassegnare la relativa chiave privata come esportabile.