Supporto dei certificati con caratteri jolly
Ultima modifica dell'argomento: 2012-10-18
Microsoft Lync Server 2010 utilizza i certificati per garantire la crittografia delle comunicazioni e l'autenticazione dell'identità del server. In alcuni casi, ad esempio per la pubblicazione Web tramite il proxy inverso, non è necessaria la corrispondenza esatta tra la voce di nome alternativo del soggetto e il nome di dominio completo (FQDN) del server che presenta il servizio. In questi casi è possibile utilizzare certificati con voci di nome alternativo del soggetto con caratteri jolly, comunemente noti come "certificati con caratteri jolly", per ridurre il costo di un certificato richiesto a un'autorità di certificazione pubblica e per semplificare il processo di pianificazione per i certificati.
.gif "warning") Avviso: |
|---|
| Per mantenere la funzionalità dei dispositivi per le comunicazioni unificate, quali ad esempio i telefoni da tavolo, è necessario verificare attentamente il certificato distribuito per assicurarsi che i dispositivi funzionino correttamente dopo l'implementazione di un certificato con caratteri jolly. |
Non viene fornito il supporto per una voce con caratteri jolly come nome soggetto, ovvero come nome comune o CN, per alcun ruolo. Quando si utilizzano voci con caratteri jolly nel nome alternativo del soggetto, sono supportati i ruoli del server seguenti:
Proxy inverso. La voce di nome alternativo del soggetto con caratteri jolly è supportata per il certificato di pubblicazione con un URL semplice.
Director. La voce di nome alternativo del soggetto con caratteri jolly è supportata per gli URL semplici nei componenti Web del Director.
server Front End (Standard Edition) e pool Front End (Enterprise Edition). La voce di nome alternativo del soggetto con caratteri jolly è supportata per gli URL semplici nei componenti Web Front End.
Messaggistica unificata di Exchange. Il server non utilizza voci di nome alternativo del soggetto quando viene distribuito come server autonomo.
Server Accesso client di Microsoft Exchange Server. Le voci con caratteri jolly nel nome alternativo del soggetto sono supportate per i client interni ed esterni.
Messaggistica unificata di Exchange e server Accesso client di Microsoft Exchange Server nello stesso server. Le voci di nome alternativo del soggetto con caratteri jolly sono supportate.
In questo argomento non vengono trattati i ruoli del server seguenti:
Ruoli del server interni, inclusi in via esemplificativa Mediation Server, Server di archiviazione e Monitoring Server, Survivable Branch Appliance o Survivable Branch Server
Interfacce dei server perimetrali (Edge Server) esterni
Server perimetrale (Edge Server) interno
Nota
Per l'interfaccia del server perimetrale (Edge Server) interno, una voce con caratteri jolly può essere assegnata al nome alternativo del soggetto ed è supportata. Il nome alternativo del soggetto nel server perimetrale (Edge Server) interno non viene sottoposto a query e una voce di nome alternativo del soggetto con caratteri jolly ha un valore limitato.
Per illustrare i possibili utilizzi dei certificati con caratteri jolly, qui vengono riportate per uniformità le istruzioni sui certificati utilizzate per le architetture di riferimento nella documentazione relativa alla pianificazione. Per informazioni dettagliate, vedere Architettura di riferimento. Come spiegato in precedenza, i dispositivi per le comunicazioni unificate si basano sulla corrispondenza esatta del nome e non riusciranno a eseguire l'autenticazione se una voce di nome alternativo del soggetto con caratteri jolly viene presentata prima della voce relativa all'FQDN. Procedendo nell'ordine riportato nelle tabelle seguenti, si limitano i problemi che possono verificarsi con un dispositivo per le comunicazioni unificate e le voci con caratteri jolly nel nome alternativo del soggetto.
Configurazioni dei certificati con caratteri jolly per Lync Server 2010
| Componente | Nome soggetto | Voci di nome alternativo del soggetto/Ordine | Autorità di certificazione (CA) | Utilizzo chiavi avanzato | Commenti |
|---|---|---|---|---|---|
Proxy inverso |
lsrp.contoso.com |
lsweb-ext.contoso.com *.contoso.com |
Pubblica |
Server |
Servizio Rubrica, espansione dei gruppi di distribuzione e regole di pubblicazione dei dispositivi IP Lync. Il nome alternativo del soggetto include quanto segue: FQDN dei servizi Web esterni Il carattere jolly sostituisce il nome alternativo del soggetto meet e dialin, dove gli URL semplici di tipo meet e dialin utilizzano i formati seguenti: <FQDN>/meet <FQDN>/dialin OPPURE meet.<FQDN> dialin.<FQDN> |
Director |
dirpool01.contoso.net |
sip.contoso.com sip.fabrikam.com dirweb.contoso.net dirweb-ext.contoso.com <nomehost>.contoso.net, ad esempio <nomehost> è director01 per un Director di un pool dirpool.contoso.net *.contoso.com |
Privata |
Server |
Assegnare ai server e ai ruoli seguenti nel pool di server Director: A ogni Director del pool o al Director autonomo quando non viene distribuito un pool di server Director. Il carattere jolly sostituisce il nome alternativo del soggetto meet e dialin, dove gli URL semplici di tipo meet e dialin utilizzano i formati seguenti: <FQDN>/admin <FQDN>/meet <FQDN>/dialin OPPURE admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Enterprise Edition Front End |
pool01.contoso.net (per un pool con bilanciamento del carico) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com <nomehost>.contoso.net, ad esempio <nomehost> è fe01 per un Front End Server di un pool pool01.contoso.net *.contoso.com |
Privata |
Server |
Assegnare ai server e ai ruoli seguenti nel pool hop successivo: Front End in Pool01 Il carattere jolly sostituisce il nome alternativo del soggetto meet e dialin, dove gli URL semplici di tipo meet e dialin utilizzano i formati seguenti: <FQDN>/admin <FQDN>/meet <FQDN>/dialin OPPURE admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Standard Edition Front End |
se01.contoso.net |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com se01.contoso.net *.contoso.com |
Privata |
Server |
Assegnare ai server e ai ruoli seguenti nel pool hop successivo: Il carattere jolly sostituisce il nome alternativo del soggetto meet e dialin, dove gli URL semplici di tipo meet e dialin utilizzano i formati seguenti: <FQDN>/admin <FQDN>/meet <FQDN>/dialin OPPURE admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Microsoft Exchange Server 2007 ed Exchange Server 2010
Quando si installa e si configura Microsoft Exchange Server, vengono creati e implementati certificati autofirmati. Quando si aggiunge al server un certificato fornito da una CA, è consigliabile non eliminare il certificato autofirmato finché tutti i servizi e i servizi Web non sono stati riconfigurati per utilizzare correttamente il nuovo certificato. In caso di malfunzionamenti, il certificato autofirmato sarà comunque disponibile e sarà possibile riconfigurare le impostazioni originali e ripristinare le funzioni originali, anche se il certificato autofirmato non consentirà l'utilizzo di tutte le funzionalità necessarie. In questo modo si avrà a disposizione più tempo per risolvere le configurazioni senza che questo incida su tutte le funzioni di produzione.
Per informazioni dettagliate sull'utilizzo dei certificati in Exchange, vedere quanto segue:
Informazioni sui certificati digitali e SSL: https://go.microsoft.com/fwlink/?linkid=218233&clcid=0x410
Informazioni sugli spazi dei nomi dei server Accesso client: https://go.microsoft.com/fwlink/?linkid=218234&clcid=0x410
Informazioni sul servizio di individuazione automatica: https://go.microsoft.com/fwlink/?linkid=217012&clcid=0x410
Per Microsoft Exchange Server distribuito con la Messaggistica unificata di Exchange e il server Accesso client di Exchange, vi sono quattro possibili scenari di distribuzione:
Scenario 1: la Messaggistica unificata di Exchange e il server Accesso client di Exchange vengono distribuiti in server diversi e il server Accesso client è con connessione Internet.
Scenario 2: la Messaggistica unificata di Exchange e il server Accesso client di Exchange vengono collocati nello stesso server e sono con connessione Internet.
Scenario 3: la Messaggistica unificata di Exchange e il server Accesso client di Exchange vengono distribuiti in server diversi con un proxy inverso per la pubblicazione.
Scenario 4: la Messaggistica unificata di Exchange e il server Accesso client di Exchange vengono collocati nello stesso server con un proxy inverso per la pubblicazione.
Scenario 1: Messaggistica unificata di Exchange e server Accesso client di Exchange distribuiti in server diversi (server Accesso client con connessione Internet)
| Componente di Microsoft Exchange | Nome soggetto | Voci di nome alternativo del soggetto/Ordine | Autorità di certificazione (CA) | Utilizzo chiavi avanzato | Commenti |
|---|---|---|---|---|---|
Messaggistica unificata di Exchange Nome server: exchum01.contoso.com |
exchum01.contoso.com |
Il ruolo Messaggistica unificata di Exchange non deve includere una voce di nome alternativo del soggetto |
Privata |
Server |
Il server di Messaggistica unificata di Exchange comunica solo con i server e i client interni. Importare il certificato radice della CA privata in ogni server di Messaggistica unificata di Exchange. Creare e assegnare un certificato univoco per ogni server di messaggistica unificata di Exchange. Il nome soggetto deve corrispondere al nome server. È necessario abilitare TLS (Transport Layer Security) nel server di messaggistica unificata di Exchange prima di poter assegnare un certificato al ruolo Messaggistica unificata di Exchange. Assegnare tale certificato per l'utilizzo nel server Accesso client di Exchange per l'integrazione con Outlook Web Access e la messaggistica istantanea. |
Server Accesso client di Exchange Server Accesso client con sito di Active Directory con connessione Internet Nome server: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Pubblica |
Server |
Il nome soggetto e la voce di nome alternativo del soggetto devono corrispondere per supportare i dispositivi per le comunicazioni unificate esterni. Il nome soggetto e la voce di nome alternativo del soggetto mail.contoso.com costituiscono un nome di esempio utilizzato per fare riferimento a Outlook Web Access, Outlook via Internet, Servizi Web Exchange e Rubrica offline. Gli unici requisiti sono che la voce deve corrispondere a un record DNS e che sia possibile fare riferimento a ExternalURL e ad altre voci di servizio con il nome specificato. È necessaria la voce di nome alternativo del soggetto autodiscover per supportare i dispositivi per le comunicazioni unificate esterni. |
Server Accesso client di Exchange Server Accesso client con sito di Active Directory senza connessione Internet Nome server: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privata |
Server |
Il server Accesso client con sito di Active Directory senza connessione Internet comunica solo con i server e i client interni. Il server Accesso client con sito di Active Directory con connessione Internet inoltra tramite proxy le comunicazioni a tale server Accesso client se la richiesta proviene da un utente o un servizio che richiede servizi, ad esempio la cassetta postale, che si trova nel sito di Active Directory. Servizi Web Exchange e il servizio Rubrica offline nel sito di Active Directory senza connessione Internet sono configurati in modo da utilizzare il certificato distribuito. Tale certificato può provenire dalla CA privata interna. Il certificato radice per la CA privata deve essere importato nell'archivio dei certificati radice di terze parti attendibili nel server Accesso client con sito di Active Directory con connessione Internet. |
Scenario 2: Messaggistica unificata di Exchange e server Accesso client di Exchange collocati nello stesso server (con connessione Internet)
| Componente di Microsoft Exchange | Nome soggetto | Voci di nome alternativo del soggetto/Ordine | Autorità di certificazione (CA) | Utilizzo chiavi avanzato | Commenti |
|---|---|---|---|---|---|
Messaggistica unificata di Exchange Nome server: exchcas01.contoso.com |
exchcas01.contoso.com |
Il ruolo Messaggistica unificata di Exchange non deve includere una voce di nome alternativo del soggetto |
Privata |
Server |
Il server di Messaggistica unificata di Exchange comunica solo con i server e i client interni. Importare il certificato radice della CA privata in ogni server di Messaggistica unificata di Exchange. È necessario abilitare TLS nel server di messaggistica unificata di Exchange prima di poter assegnare un certificato al ruolo Messaggistica unificata di Exchange. Assegnare tale certificato per l'utilizzo nel server Accesso client per l'integrazione con Outlook Web Access e la messaggistica istantanea. |
Server Accesso client di Exchange e Server Accesso client con sito di Active Directory con connessione Internet Nome server: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Pubblica |
Server |
Il nome soggetto e la voce di nome alternativo del soggetto devono corrispondere per supportare i dispositivi per le comunicazioni unificate esterni. Il nome soggetto e la voce di nome alternativo del soggetto mail.contoso.com costituiscono un nome di esempio utilizzato per fare riferimento a Outlook Web Access, Outlook via Internet, Servizi Web Exchange e Rubrica offline. Gli unici requisiti sono che la voce deve corrispondere a un record DNS e che sia possibile fare riferimento a ExternalURL e ad altre voci di servizio con il nome specificato. È necessaria la voce di nome alternativo del soggetto autodiscover.<spazio dei nomi di dominio> per supportare i dispositivi per le comunicazioni unificate esterni. |
Server Accesso client di Exchange Server Accesso client con sito di Active Directory senza connessione Internet Nome server: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privata |
Server |
Il server Accesso client con sito di Active Directory senza connessione Internet comunica solo con i server e i client interni. Il server Accesso client con sito di Active Directory con connessione Internet inoltra tramite proxy le comunicazioni a tale server Accesso client se la richiesta proviene da un utente o un servizio che richiede servizi, ad esempio la cassetta postale, che si trova nel sito di Active Directory. Servizi Web Exchange e il servizio Rubrica offline nel sito di Active Directory senza connessione Internet sono configurati in modo da utilizzare il certificato distribuito. Tale certificato può provenire dalla CA privata interna. Il certificato radice per la CA privata deve essere importato nell'archivio dei certificati radice di terze parti attendibili nel server Accesso client con sito di Active Directory con connessione Internet. |
Scenario 3: Messaggistica unificata di Exchange e server Accesso client di Exchange distribuiti in server diversi con proxy inverso per la pubblicazione
| Componente di Microsoft Exchange | Nome soggetto | Voci di nome alternativo del soggetto/Ordine | Autorità di certificazione (CA) | Utilizzo chiavi avanzato | Commenti |
|---|---|---|---|---|---|
Messaggistica unificata di Exchange Nome server: exchum01.contoso.com |
exchum01.contoso.com |
Il ruolo Messaggistica unificata di Exchange non deve includere una voce di nome alternativo del soggetto |
Privata |
Server |
Il server di Messaggistica unificata di Exchange comunica solo con i server e i client interni. Importare il certificato radice della CA privata in ogni server di Messaggistica unificata di Exchange. Creare e assegnare un certificato univoco per ogni server di messaggistica unificata di Exchange. Il nome soggetto deve corrispondere al nome server. È necessario abilitare TLS nel server di messaggistica unificata di Exchange prima di poter assegnare un certificato al ruolo Messaggistica unificata di Exchange. Assegnare tale certificato per l'utilizzo nel server Accesso client per l'integrazione con Outlook Web Access e la messaggistica istantanea. |
Server Accesso client di Exchange Nome server: exchcas01.contoso.com |
exchcas01.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privata |
Server |
Il nome soggetto e la voce di nome alternativo del soggetto devono corrispondere per supportare i dispositivi per le comunicazioni unificate esterni. Importare il certificato radice della CA privata in ogni server Accesso client di Exchange. Il nome soggetto e la voce di nome alternativo del soggetto mail.contoso.com costituiscono un nome di esempio utilizzato per fare riferimento a Outlook Web Access, Outlook via Internet, Servizi Web Exchange e Rubrica offline. Gli unici requisiti sono che la voce deve corrispondere a un record DNS e che sia possibile fare riferimento a ExternalURL e ad altre voci di servizio con il nome specificato. È necessaria la voce di nome alternativo del soggetto autodiscover per supportare i dispositivi per le comunicazioni unificate esterni. La voce per il nome computer (in questo esempio, exchcas01.contoso.com) deve esistere per l'integrazione con Outlook Web Access e la messaggistica istantanea. |
Proxy inverso Nome server: rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Pubblica |
Server |
Nel nome alternativo del soggetto del certificato deve inoltre essere presente una voce corrispondente per il nome soggetto. Terminando TLS o SSL nel proxy inverso e ristabilendo quindi TLS o SSL nel server Accesso client, i dispositivi per le comunicazioni unificate avranno problemi. La terminazione di TLS o SSL è una funzionalità di alcuni prodotti, come Microsoft Internet Security and Acceleration (ISA) Server e Microsoft Forefront Threat Management Gateway e altre implementazioni di terze parti, che non può essere utilizzata se è necessario supportare dispositivi per le comunicazioni unificate. La voce di nome alternativo del soggetto per autodiscover deve esistere per un corretto funzionamento dei dispositivi per le comunicazioni unificate. |
Server Accesso client di Exchange Server Accesso client con sito di Active Directory senza connessione Internet Nome server: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privata |
Server |
Il server Accesso client con sito di Active Directory senza connessione Internet comunica solo con i server e i client interni. Il server Accesso client con sito di Active Directory con connessione Internet inoltra tramite proxy le comunicazioni a tale server Accesso client se la richiesta proviene da un utente o un servizio che richiede servizi, ad esempio la cassetta postale, che si trova nel sito di Active Directory. Servizi Web Exchange e il servizio Rubrica offline nel sito di Active Directory senza connessione Internet sono configurati in modo da utilizzare il certificato distribuito. Tale certificato può provenire dalla CA privata interna. Il certificato radice per la CA privata deve essere importato nell'archivio dei certificati radice di terze parti attendibili nel server Accesso client con sito di Active Directory con connessione Internet. |
Scenario 4: Messaggistica unificata di Exchange e server Accesso client di Exchange collocati nello stesso server con proxy inverso per la pubblicazione
| Componente di Microsoft Exchange | Nome soggetto | Voci di nome alternativo del soggetto/Ordine | Autorità di certificazione (CA) | Utilizzo chiavi avanzato | Commenti |
|---|---|---|---|---|---|
Messaggistica unificata di Exchange Nome server: exchum01.contoso.com |
exchum01.contoso.com |
Il ruolo Messaggistica unificata di Exchange non deve includere una voce di nome alternativo del soggetto |
Privata |
Server |
Il server di Messaggistica unificata di Exchange comunica solo con i server e i client interni. Importare il certificato radice della CA privata in ogni server di Messaggistica unificata di Exchange. Creare e assegnare un certificato univoco per ogni server di messaggistica unificata di Exchange. Il nome soggetto deve corrispondere al nome server. Non è necessario il nome alternativo del soggetto. È necessario abilitare TLS nel server di messaggistica unificata di Exchange prima di poter assegnare un certificato al ruolo Messaggistica unificata di Exchange. |
Server Accesso client di Exchange Messaggistica unificata di Exchange Nome server: exchcas01.contoso.com |
mail.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privata |
Server |
Il nome soggetto e la voce di nome alternativo del soggetto devono corrispondere per supportare i dispositivi per le comunicazioni unificate esterni. Importare il certificato radice della CA privata in ogni server Accesso client di Exchange. Il nome soggetto e la voce di nome alternativo del soggetto mail.contoso.com costituiscono un nome di esempio utilizzato per fare riferimento a Outlook Web Access, Outlook via Internet, Servizi Web Exchange e Rubrica offline. Gli unici requisiti sono che la voce deve corrispondere a un record DNS e che sia possibile fare riferimento a ExternalURL e ad altre voci di servizio con il nome specificato. È necessaria la voce di nome alternativo del soggetto autodiscover per supportare i dispositivi per le comunicazioni unificate esterni. La voce per il nome computer (in questo esempio, exchcas01.contoso.com) deve esistere per l'integrazione con Outlook Web Access e la messaggistica istantanea. |
Proxy inverso Nome server: rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Pubblica |
Server |
Nel nome alternativo del soggetto del certificato deve inoltre essere presente una voce corrispondente per il nome soggetto. Terminando TLS o SSL nel proxy inverso e ristabilendo quindi TLS o SSL nel server Accesso client, i dispositivi per le comunicazioni unificate avranno problemi. La terminazione di TLS o SSL è una funzionalità di alcuni prodotti, come ISA Server e Forefront Threat Management Gateway (TMG) e altre implementazioni di terze parti, che non può essere utilizzata se è necessario supportare dispositivi per le comunicazioni unificate. La voce di nome alternativo del soggetto per autodiscover deve esistere per un corretto funzionamento dei dispositivi per le comunicazioni unificate. |
Server Accesso client di Exchange Server Accesso client con sito di Active Directory senza connessione Internet Nome server: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privata |
Server |
Il server Accesso client con sito di Active Directory senza connessione Internet comunica solo con i server e i client interni. Il server Accesso client con sito di Active Directory con connessione Internet inoltra tramite proxy le comunicazioni a tale server Accesso client se la richiesta proviene da un utente o un servizio che richiede servizi, ad esempio la cassetta postale, che si trova nel sito di Active Directory. Servizi Web Exchange e il servizio Rubrica offline nel sito di Active Directory senza connessione Internet sono configurati in modo da utilizzare il certificato distribuito. Tale certificato può provenire dalla CA privata interna. Il certificato radice per la CA privata deve essere importato nell'archivio dei certificati radice di terze parti attendibili nel server Accesso client con sito di Active Directory con connessione Internet. |