对于 Exchange 2016 和 Lync Server 部署的证书建议

 

必须拥有运行 Exchange 的计算机和运行 Lync Server 的计算机都信任的证书。在装有 Lync Server 和统一通信的环境中,使用下列指南部署受信任证书:

  • 在 Lync Server、客户端访问服务器、邮箱服务器、Lync Server 中介服务器和媒体网关上,导入由私有或公共证书颁发机构 (CA) 签名的有效证书。这可以是受信任的第三方商业证书或公钥基础结构 (PKI) 证书。

     

  • 如果将相同的第三方商业证书或 PKI 证书导入到各个 Exchange 服务器会简单得多。同时,将此受信任的证书安装到运行 Microsoft Lync Server 和 Lync Server 中介服务器的各个计算机中。这将简化证书部署,同时降低与部署证书有关的管理费用。但是,您必须获取一个支持使用者可选名称 (SAN) 的受信任证书。

     

    当您使用 UM 部署传输层安全性 (TLS) 时,客户端访问服务器和邮箱服务器上使用的证书必须同时在证书的主题名称中包含本地计算机的完全限定域名 (FQDN)。若要解决这一问题,请使用公有证书并导入所有客户端访问和邮箱服务器、任何 VoIP 网关、IP PBX 以及所有 Lync Server 上使用的证书。

     

    如果部署包括 VoIP 网关或 IP PBX,并且使用 SIP 安全或安全拨号计划,则客户端访问和邮箱服务器以及 VoIP 网关或 IP PBX 之间需要受信任证书。如果使用直接的会话初始协议 (SIP) 连接,则同样需要受信任的证书。如果使用 SIP 安全或安全拨号计划,则可以在 Lync 和 Exchange 服务器上使用与 VoIP 网关或 IP PBX 上相同的受信任证书。

     

  • 将 Exchange 客户端访问服务器和邮箱服务器连接到 Microsoft Lync Server 或第三方 SIP 网关或专用交换机 (PBX) 电话设备时,为建立受保护的会话,必须使用内部或公共的第三方 CA 签名的有效证书。只要证书的 SAN 列表中拥有所有客户端访问和邮箱服务器的 FQDN,您就可以在所有客户端访问和邮箱服务器上使用单个证书。或者,您可以为每台客户端访问和邮箱服务器生成不同的证书,同时证书的使用者公用名 (CN) 或 SAN 列表中包含本地计算机的 FQDN。Exchange UM 不支持 Microsoft Lync Server 使用通配符证书。

     

    Lync Server 和 Exchange 需要非通配符主题名称才能一起工作。UM 和 Lync Server 使用主题名称来表明其是受信任 SIP 对等项。Lync Server 还需要在某些呼叫路由方案中使用非通配符主题名称。必须使用 FQDN 作为“颁发给”值。

     

    对于 Exchange UM,不支持在证书名称中放置通配符。但是,您可以在 SAN 中放置通配符。

下表显示安装和配置 Exchange UM 证书的证书要求。

拓扑 证书配置

客户端访问和邮箱在同一台服务器上:

  • 没有 Lync 2010 或 Lync 2013

  • 非 SIP 拨号计划

客户端访问和邮箱服务器之间需要证书。这是客户端访问和邮箱服务器以及 VoIP 网关、IP PBX 或 SBC 之间使用的相同证书。

客户端访问和邮箱在不同服务器上:

  • 没有 Lync 2010 或 Lync 2013

  • 非 SIP 拨号计划

必须有证书。客户端访问服务器和邮箱服务器上的证书必须匹配。客户端访问服务器和邮箱服务器与 VoIP 网关、IP PBX 或 SBC 之间也需要证书。此证书可以与在客户端访问服务器和邮箱服务器之间使用的证书相同或不同。对于客户端访问服务器和邮箱服务器,可以从其中任何一台服务器上运行 Create-ExchangeCertificate cmdlet。

客户端访问和邮箱在同一台服务器上:

  • 具有 Lync 2010 或 Lync 2013

  • SIP 拨号计划

必须有证书。客户端访问服务器和邮箱服务器必须具有和 Lync 2010 或 Lync 2013 服务器相同的证书。

客户端访问和邮箱在不同服务器上:

  • 具有 Lync 2010 或 Lync 2013

  • SIP 拨号计划

必须有证书。客户端访问服务器和邮箱服务器必须具有和 Lync 2010 或 Lync 2013 服务器相同的证书。