Запрос и настройка сертификата для обратного HTTP-прокси в Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2014-02-14

Необходимо установить сертификат корневого центра сертификации (ЦС) на сервере под управлением Microsoft Forefront Threat Management Gateway 2010 или IIS ARR для инфраструктуры ЦС, которая выдала сертификаты сервера внутренним серверам под управлением Microsoft Lync Server 2013.

Кроме того, необходимо установить сертификат общедоступного веб-сервера на обратный прокси-сервер. Альтернативные имена субъектов сертификата должны содержать опубликованные внешние полные доменные имена (FQDN) каждого пула, в котором размещены пользователи, которым разрешен удаленный доступ, и внешние полные доменные имена всех директоров или пулов директоров, которые будут использоваться в этой инфраструктуре Edge. Альтернативное имя субъекта также должно содержать простой URL-адрес собрания, простой URL-адрес для телефонного подключения и, если вы развертываете мобильные приложения и планируете использовать автоматическое обнаружение, URL-адрес внешней службы автообнаружения, как показано в следующей таблице.

Значение Пример

Имя субъекта

Полное доменное имя пула

webext.contoso.com

Альтернативное имя субъекта

Полное доменное имя пула

webext.contoso.com

Важно

Имя субъекта также должно присутствовать в альтернативном имени субъекта.

Альтернативное имя субъекта

Необязательные веб-службы каталога (если развернут директор)

webdirext.contoso.com

Альтернативное имя субъекта

Простой URL-адрес собрания

Примечание.

Все простые URL-адреса собраний должны быть в альтернативном имени темы. Каждый домен SIP должен иметь по крайней мере один активный простой URL-адрес собрания.

meet.contoso.com

Альтернативное имя субъекта

Простой URL-адрес для телефонного подключения

dialin.contoso.com

Альтернативное имя субъекта

Сервер Office Web Apps

officewebapps01.contoso.com

Альтернативное имя субъекта

URL-адрес внешней службы автообнаружения

lyncdiscover.contoso.com

Примечание.

Если вы также используете Microsoft Exchange Server необходимо также настроить правила обратного прокси-сервера для URL-адресов автообнаружения и веб-служб Exchange.

Примечание.

Если внутреннее развертывание состоит из нескольких серверов Standard Edition или пула переднего плана, необходимо настроить правила веб-публикации для каждого полного доменного имени внешней веб-фермы и вам потребуется сертификат и прослушиватель для каждого из них или сертификат, альтернативное имя субъекта которого содержит имена, используемые всеми пулами. назначьте его веб-прослушивателю и поделитесь им с несколькими правилами веб-публикации.

Создание запроса на сертификат

Запрос сертификата создается на обратном прокси-сервере. Вы создаете запрос на другом компьютере, но после получения сертификата из общедоступного центра сертификации необходимо экспортировать подписанный сертификат с закрытым ключом и импортировать его на обратный прокси-сервер.

Примечание.

Запрос сертификата или запрос на подпись сертификата (CSR) — это запрос к надежному общедоступному центру сертификации (ЦС) для проверки и подписания открытого ключа запрашиваемого компьютера. При создании сертификата создаются открытый ключ и закрытый ключ. Только открытый ключ является общим и подписанным. Как следует из названия, открытый ключ доступен для любого общедоступного запроса. Открытый ключ предназначен для клиентов, серверов и других запрашивателей, которые должны безопасно обмениваться информацией и проверять удостоверение компьютера. Закрытый ключ защищен и используется только компьютером, создавшего пару ключей, для расшифровки сообщений, зашифрованных с помощью открытого ключа. Закрытый ключ можно использовать для других целей. В целях обратного прокси-сервера основным использованием является шифрование данных. Во-второ, проверка подлинности сертификата на уровне ключа сертификата является еще одним вариантом использования и ограничена только проверкой того, что запрашивающее приложение имеет открытый ключ компьютера или что компьютер, для которого у вас есть открытый ключ, фактически является компьютером, на который он должен быть заявляем.

Совет

При одновременном планировании сертификатов пограничного сервера и сертификатов обратного прокси-сервера следует заметить, что между двумя требованиями к сертификатам существует большая сходство. При настройке и запросе сертификата пограничного сервера объедините пограничный сервер и альтернативные имена субъекта обратного прокси-сервера. Этот же сертификат можно использовать для обратного прокси-сервера, если экспортировать сертификат и закрытый ключ, скопировать экспортированный файл на обратный прокси-сервер, а затем импортировать пару сертификат-ключ и назначить его при необходимости в следующих процедурах. См. требования к сертификатам плана пограничного сервера для сертификатов пограничного сервера в Lync Server 2013 и сводку по сертификатам обратного прокси-сервера — обратный прокси-сервер в Lync Server 2013. Убедитесь, что вы создаете сертификат с экспортируемым закрытым ключом. Создание сертификата и запроса сертификата с экспортируемым закрытым ключом требуется для пограничных серверов в пуле, поэтому это обычная практика, и мастер сертификатов в мастере развертывания Lync Server для пограничного сервера позволяет установить флаг "Сделать закрытый ключ экспортируемым". Получив запрос сертификата из общедоступного центра сертификации, вы экспортируете сертификат и закрытый ключ. Дополнительные сведения о создании и экспорте сертификата с закрытым ключом с закрытым ключом для пограничных серверов в пуле см. в разделе "Настройка сертификатов для внешнего пограничного интерфейса для Lync Server 2013 ". Расширение сертификата должно иметь тип PFX.

Чтобы создать запрос на подписывание сертификата на компьютере, где будут назначены сертификат и закрытый ключ, выполните следующие действия.

Создание запроса на подписывание сертификата

  1. Откройте консоль управления (MMC) Майкрософт, добавьте оснастку "Сертификаты" и выберите "Компьютеры ", а затем разверните раздел "Личные". Дополнительные сведения о создании консоли сертификатов в консоли управления (MMC) см. в разделе https://go.microsoft.com/fwlink/?LinkId=282616.

  2. Щелкните правой кнопкой мыши "Сертификаты", выберите "Все задачи", "Дополнительные операции" и " Создать пользовательский запрос".

  3. На странице регистрации сертификатов нажмите кнопку " Далее".

  4. На странице "Выбор политики регистрации сертификатов " в разделе "Пользовательский запрос" выберите "Продолжить без политики регистрации". Нажмите кнопку Далее.

  5. На странице "Пользовательский запрос" выберите для шаблона (без шаблона) устаревший ключ. Если поставщик сертификатов не настроит иное, не устанавливайте флажок "Отключить расширения по умолчанию" и выберите формат запроса на PKCS 10. Нажмите кнопку Далее.

  6. На странице "Сведения о сертификате" щелкните "Сведения" и выберите пункт "Свойства".

  7. На странице свойств сертификата на вкладке "Общие" в поле "Понятное имя" введите имя этого сертификата. При необходимости введите описание в поле "Описание ". Понятное имя и описание обычно используются администратором для определения назначения сертификата, например прослушивателя обратного прокси-сервера для Lync Server.

  8. Выберите вкладку "Тема". В разделе "Имя субъекта" для типа выберите "Общее имя" для типа имени субъекта. В поле "Значение" введите имя субъекта, которое будет использоваться для обратного прокси-сервера, и нажмите кнопку "Добавить". В примере, приведенном в таблице в этом разделе, имя субъекта webext.contoso.com и будет введите в поле "Значение" для имени субъекта.

  9. На вкладке "Тема " в разделе "Альтернативное имя" выберите DNS в раскрывающемся списке "Тип ". Для каждого заданного альтернативного имени субъекта, необходимого для сертификата, введите полное доменное имя и нажмите кнопку "Добавить". Например, в таблице есть три альтернативных имени субъекта: meet.contoso.com, dialin.contoso.com и lyncdiscover.contoso.com. В поле "Значение " введите meet.contoso.com и нажмите кнопку " Добавить". Повторите эти действия для всех альтернативных имен субъектов, которые необходимо определить.

  10. На странице "Свойства сертификата" перейдите на вкладку "Расширения". На этой странице вы определите цели криптографического ключа в использовании ключа и расширенного использования ключа в расширенном использовании ключа (политики приложений).

  11. Щелкните стрелку "Использование ключа", чтобы отобразить доступные параметры. В разделе "Доступные параметры" щелкните " Цифровая подпись" и нажмите кнопку "Добавить". Щелкните "Шифрование ключей", а затем нажмите кнопку "Добавить". Если флажок " Сделать использование этих ключей критически важным" снят, установите этот флажок.

  12. Щелкните стрелку расширенного использования ключа (политики приложений), чтобы отобразить доступные параметры. В разделе "Доступные параметры" щелкните "Проверка подлинности сервера" и нажмите кнопку "Добавить". Щелкните "Проверка подлинности клиента" и нажмите кнопку "Добавить". Если установлен флажок "Сделать расширенное использование ключа критически важным", снимите флажок. В отличие от флажка "Использование ключа" (который должен быть установлен), необходимо убедиться, что флажок "Расширенное использование ключа" не установлен.

  13. На странице "Свойства сертификата " перейдите на вкладку "Закрытый ключ ". Щелкните стрелку "Параметры ключа ". Для параметра "Размер ключа" выберите в раскрывающемся списке значение 2048 . Если вы создаете эту пару ключей и CSR на компьютере, отличном от обратного прокси-сервера, для которого предназначен этот сертификат, выберите "Сделать закрытый ключ экспортируемым".

    Примечание по безопасности:
    Выбор параметра " Сделать закрытый ключ экспортируемым" обычно рекомендуется при наличии нескольких обратных прокси-серверов в ферме, так как вы скопируете сертификат и закрытый ключ на каждый компьютер в ферме. Если вы разрешаете экспортируемый закрытый ключ, необходимо выполнить дополнительную осторожность с сертификатом и компьютером, на котором он создается. Закрытый ключ в случае компрометации делает сертификат бесполезным, а также потенциально предоставляет компьютеру внешний доступ и другие уязвимости безопасности.

  14. На вкладке "Закрытый ключ " щелкните стрелку типа ключа . Выберите параметр Exchange .

  15. Нажмите кнопку " ОК", чтобы сохранить задаваемые свойства сертификата.

  16. На странице регистрации сертификатов нажмите кнопку " Далее".

  17. На странице "Где вы хотите сохранить автономный запрос?", вам будет предложено ввести имя файла и формат файла для сохранения запроса на подпись сертификата.

  18. В поле "Имя файла" введите путь и имя файла для запроса или нажмите кнопку "Обзор", чтобы выбрать расположение файла и ввести имя файла для запроса.

  19. В качестве формата файла выберите вариант Base 64 или Binary. Выберите Base 64 , если поставщик не ука предложит вам иное для сертификатов.

  20. Найдите файл запроса, сохраненный на предыдущем шаге. Отправьте запрос в общедоступный центр сертификации.

    Важно

    Корпорация Майкрософт определила общедоступные ЦС, соответствующие требованиям для унифицированных коммуникаций. Список хранится в следующей база знаний статье. https://go.microsoft.com/fwlink/?LinkId=282625