Требования к сертификатам для доступа внешних пользователей в Lync Server 2013

 

Дата последнего изменения раздела: 2016-03-29

Программное обеспечение для связи Microsoft Lync Server 2013 поддерживает использование единого общедоступного сертификата для внешних интерфейсов edge для доступа и веб-конференций, а также службы проверки подлинности A/V. Внутренний интерфейс Edge обычно использует закрытый сертификат, выданный внутренним центром сертификации (ЦС), но также может использовать открытый сертификат при условии, что он является доверенным общедоступным ЦС. Обратный прокси-сервер в развертывании использует открытый сертификат и шифрует обмен данными с обратного прокси-сервера с клиентами и обратного прокси-сервера с внутренними серверами с помощью HTTP (то есть протокола TSL по протоколу HTTP).

Ниже приведены требования к общедоступному сертификату, используемому для внешних интерфейсов edge для доступа и веб-конференций, а также к службе проверки подлинности A/V:

  • Сертификат должен быть выдан утвержденным общедоступным ЦС, который поддерживает альтернативное имя субъекта. Дополнительные сведения см. в статье базы знаний Майкрософт 929395 "Unified Communications Certificate Partners for Exchange Server and for Communications Server"https://go.microsoft.com/fwlink/p/?linkId=202834.

  • Если сертификат будет использоваться в пограничном пуле, он должен быть создан как экспортируемый, с тем же сертификатом, который используется на каждом пограничном сервере в пограничном пуле. Требование экспортируемого закрытого ключа предназначено для службы проверки подлинности A/V, которая должна использовать один и тот же закрытый ключ на всех пограничных серверах в пуле.

  • Если вы хотите максимально увеличить время работы служб аудио- и видеосвязи, ознакомьтесь с требованиями к сертификату для реализации разделенного сертификата пограничной службы A/V (то есть отдельного сертификата пограничной службы A/V от других целей сертификата Внешнего пограничного сервера). Дополнительные сведения см. в разделах "Изменения в Lync Server 2013", влияющие на планирование пограничного сервера, планирование сертификатов пограничного сервера в Lync Server 2013 и промежуточные сертификаты AV и OAuth в Lync Server 2013 с помощью -Roll в Set-CsCertificate.

  • Имя субъекта сертификата — это внешний интерфейс внешнего интерфейса службы Access Edge с полным доменным именем (FQDN) или виртуальный IP-адрес подсистемы балансировки нагрузки оборудования (например, access.contoso.com). ). Имя субъекта не может иметь подстановочный знак, оно должно быть явным именем.

    Примечание.

    Для Lync Server 2013 это больше не является требованием, но по-прежнему рекомендуется для совместимости с Office Communications Server.

  • Список альтернативных имен субъектов содержит полные доменные имена следующих объектов:

    • Внешний интерфейс службы Access Edge или виртуальный IP-адрес аппаратной подсистемы балансировки нагрузки (например, sip.contoso.com).

      Примечание.

      Несмотря на то, что имя субъекта сертификата равно FQDN edge доступа, альтернативное имя субъекта также должно содержать полное доменное имя edge доступа, так как протокол TLS игнорирует имя субъекта и использует альтернативные записи имени субъекта для проверки.

    • Внешний интерфейс пограничной веб-конференции или виртуальный IP-адрес аппаратной подсистемы балансировки нагрузки (например, webcon.contoso.com).

    • Если вы используете автоматическую настройку или федерацию клиента, также включите все полные доменные имена доменов SIP, используемые в вашей компании (например, sip.contoso.com, sip.fabrikam.com).

    • Служба A/V Edge не использует имя субъекта или записи альтернативных имен субъектов.

    Примечание.

    Порядок полных доменных имен в списке альтернативных имен субъектов не имеет значения.

При развертывании нескольких пограничных серверов с балансировкой нагрузки на сайте сертификат службы проверки подлинности A/V, установленный на каждом пограничном сервере, должен быть из одного ЦС и использовать один и тот же закрытый ключ. Обратите внимание, что закрытый ключ сертификата должен быть экспортируемым независимо от того, используется ли он на одном пограничном сервере или на нескольких пограничных серверах. Он также должен быть экспортируемым при запросе сертификата с любого компьютера, кроме пограничного сервера. Так как служба проверки подлинности A/V не использует имя субъекта или альтернативное имя субъекта, вы можете повторно использовать сертификат Edge доступа, если имя субъекта и альтернативное имя субъекта выполняются для пограничного сервера доступа и пограничной веб-конференции, а закрытый ключ сертификата можно экспортировать.

Ниже приведены требования к частному (или общедоступному) сертификату, используемому для внутреннего интерфейса Edge.

  • Сертификат может быть выдан внутренним ЦС или утвержденным общедоступным ЦС сертификата.

  • Имя субъекта сертификата обычно представляет собой полное доменное имя внутреннего интерфейса Edge или виртуальный IP-адрес подсистемы балансировки нагрузки оборудования (например, lsedge.contoso.com). Однако вы можете использовать подстановочный знак сертификата на внутреннем пограничном сервере.

  • Список альтернативных имен субъектов не требуется.

Обратный прокси-сервер в службах развертывания запрашивает:

  • Доступ внешних пользователей к содержимому собраний для собраний

  • Доступ внешних пользователей для развертывания и отображения членов групп рассылки

  • Доступ внешних пользователей к скачиваемым файлам из службы адресной книги

  • Доступ внешних пользователей к Lync Web App клиента

  • Доступ внешних пользователей к веб-странице параметров конференц-связи с телефонным подключением

  • Доступ внешних пользователей к службе сведений о расположении

  • Доступ внешнего устройства к службе обновления устройств и получение обновлений

Обратный прокси-сервер публикует URL-адреса внутренних серверных веб-компонентов. URL-адреса веб-компонентов определяются в каталоге, сервере переднего плана или пуле переднего плана в качестве внешних веб-служб в построителе топологий.

Записи с подстановочными знаками поддерживаются в поле альтернативного имени субъекта сертификата, назначенного обратному прокси-серверу. Дополнительные сведения о настройке запроса сертификата для обратного прокси-сервера см. в разделе "Запрос и настройка сертификата для обратного прокси-сервера HTTP" в Lync Server 2013.