Требования к сертификатам для внутренних серверов в Lync Server 2013
Последнее изменение раздела: 2017-02-17
Внутренние серверы под управлением Lync Server, для которых требуются сертификаты, включают сервер Standard Edition, выпуск Enterprise сервер переднего плана, сервер-посредник и директор. В следующей таблице показаны требования к сертификатам для этих серверов. Для запроса этих сертификатов можно использовать мастер сертификатов Lync Server.
Совет
Сертификаты с подстановочными знаками поддерживаются для альтернативных имен субъектов, связанных с простыми URL-адресами в пуле переднего плана, сервере переднего плана или директоре. Дополнительные сведения о поддержке сертификатов с подстановочными знаками см. в разделе поддержки сертификатов с подстановочными знаками в Lync Server 2013.
Хотя внутренний центр сертификации предприятия (ЦС) рекомендуется использовать для внутренних серверов, можно также использовать общедоступный ЦС. Список общедоступных ЦС, предоставляющих сертификаты, которые соответствуют определенным требованиям к сертификатам единой связи (UC) и сотрудничает с корпорацией Майкрософт, чтобы убедиться, что они работают с мастером сертификатов Lync Server, см. в статье "Microsoft Knowledge Base 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server"https://go.microsoft.com/fwlink/p/?linkId=202834.
Для связи с другими приложениями и серверами, такими как Exchange 2013, требуется сертификат, поддерживаемый другими приложениями и продуктами. В выпуске 2013 Lync Server 2013 и другие серверные продукты Майкрософт, включая Exchange 2013 и SharePoint Server, поддерживают протокол Open Authorization (OAuth) для проверки подлинности и авторизации между серверами. Дополнительные сведения см. в разделе "Управление проверкой подлинности между серверами (OAuth) и партнерскими приложениями в Lync Server 2013 в документации по развертыванию или в документации по эксплуатации".
Для подключений клиентов под управлением операционной системы Windows 7, операционной системы Windows Server 2008, операционной системы Windows Server 2008 R2, операционной системы Windows Vista и Microsoft Lync Phone Edition Lync Server 2013 включает поддержку (но не требует) сертификатов, подписанных с помощью криптографической хэш-функции SHA-256. Для поддержки внешнего доступа с помощью SHA-256 внешний сертификат выдан общедоступным ЦС с помощью SHA-256.
В следующих таблицах показаны требования к сертификатам по роли сервера для пулов переднего плана и серверов Standard Edition. Все это стандартные сертификаты веб-сервера, закрытый ключ, не экспортируемый.
Обратите внимание, что расширенное использование ключа сервера (EKU) настраивается автоматически при использовании мастера сертификатов для запроса сертификатов.
Примечание.
Каждое понятное имя сертификата должно быть уникальным в хранилище компьютеров.
Примечание.
Если вы настроите sipinternal.contoso.com или sipexternal.contoso.com DNS, необходимо добавить их в альтернативное имя субъекта сертификата.
Сертификаты для сервера Standard Edition
| Сертификат | Имя субъекта/ Общее имя | Альтернативное имя субъекта | Пример | Комментарии |
|---|---|---|---|---|
"Default" (По умолчанию) |
Полное доменное имя пула |
Полное доменное имя пула и полное доменное имя сервера Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP). |
SN=se01.contoso.com; SAN=se01.contoso.com Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com |
На сервере Standard Edition полное доменное имя сервера совпадает с FQDN пула. Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
Внутренняя сеть |
Полное доменное имя сервера |
Каждое из следующих:
|
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Невозможно переопределить внутреннее полное доменное имя веб-сайта в построителе топологий. При наличии нескольких простых URL-адресов собрания необходимо включить их все как альтернативные имена субъекта. Для простых URL-адресов поддерживаются подстановочные записи. |
Внешняя сеть |
Полное доменное имя сервера |
Каждое из следующих:
|
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
При наличии нескольких простых URL-адресов собрания необходимо включить их все как альтернативные имена субъекта. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для интерфейсного сервера в пуле переднего плана
| Сертификат | Имя субъекта/ Общее имя | Альтернативное имя субъекта | Пример | Комментарии |
|---|---|---|---|---|
"Default" (По умолчанию) |
Полное доменное имя пула |
Полное доменное имя пула и полное доменное имя сервера. Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
Внутренняя веб-часть |
Полное доменное имя пула |
Каждое из следующих:
|
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
При наличии нескольких простых URL-адресов собрания необходимо включить их все как альтернативные имена субъекта. Для простых URL-адресов поддерживаются подстановочные записи. |
Внешняя сеть |
Полное доменное имя пула |
Каждое из следующих:
|
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
При наличии нескольких простых URL-адресов собрания необходимо включить их все как альтернативные имена субъекта. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для директора
| Сертификат | Имя субъекта/ Общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
"Default" (По умолчанию) |
Полное доменное имя пула директоров |
Полное доменное имя директора, полное доменное имя пула директоров Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
SN=dir-pool.contoso.com; SAN=dir-pool.contoso.com; SAN=dir01.contoso.com Если этот пул директоров предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP. |
Внутренняя веб-часть |
Полное доменное имя сервера |
Каждое из следующих:
|
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Внешняя сеть |
Полное доменное имя сервера |
Каждое из следующих:
|
Полное доменное имя внешней сети директора должно отличаться от пула переднего плана и сервера переднего плана. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
При наличии автономного пула серверов-посредников каждому серверу-посреднику в нем требуются сертификаты, перечисленные в следующей таблице. При совместном размещении сервера-посредника с серверами переднего плана достаточно сертификатов, перечисленных в таблице "Сертификаты для сервера переднего плана в пуле переднего плана" ранее в этом разделе.
Сертификаты для автономного сервера-посредника
| Сертификат | Имя субъекта/ Общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
"Default" (По умолчанию) |
Полное доменное имя пула |
Полное доменное имя пула Полное доменное имя сервера-члена пула |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Сертификаты для устройства для обеспечения связи в филиалах
| Сертификат | Имя субъекта/ Общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
"Default" (По умолчанию) |
Полное доменное имя устройства |
SIP.< sipdomain> (требуется одна запись на домен SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |