準備 Communicator Web Access 的憑證

Communications Server 2007 R2

上次修改主題的時間: 2011-11-17

Communicator Web Access (2007 R2 版本) 會使用相互 TLS (MTLS) 和安全通訊端層 (SSL) 兩種不同的通訊協定,以便順利完成其指定的工作。MTLS 是一種可在兩台電腦之間提供安全通訊的通訊協定。在這種情況中,Communicator Web Access 與 Office Communications Server 2007 R2 之間會使用 MTLS 來驗證連線。

安全通訊端層 (SSL) 是一種網際網路通訊協定,可同時做為在交談中驗證使用者的方法以及加密該交談的方法。當使用 Communicator Web Access 時,會利用 SSL (和憑證) 確保用戶端和伺服器之間的連線安全。

雖然 Communicator Web Access 使用兩種不同的通訊協定,一般您在安裝單一憑證時會通過此通訊協定,但在大多數案例中,可在 MTLS 及 SSL 使用相同的憑證。(在您啟動 Communicator Web Access 時會指派 MTLS 憑證,而在每次您建立虛擬伺服器時則會指派 SSL 憑證)。若您只使用一部 Communicator Web Access 伺服器,可以使用單一憑證,只要憑證符合下列條件:

主體名稱

符合 Communicator Web Access 網站的 URL。例如,如果 URL 是 https://im.contoso.com,則憑證的主體名稱應為 im.contoso.com。符合 Communicator Web Access 伺服器的完整網域名稱 (FQDN)。Communicator Web Access 伺服器 URL 應該在 SAN 欄位中定義。

主體別名 (SAN)

包括下列項目:

  • Communicator Web Access 網站的 URL。
  • as 的 URL。
  • download 的 URL。
  • Communicator Web Access 伺服器的完整網域名稱 (FQDN)。

例如。假設您擁有名為 cwaserver.contoso.com 的電腦,且使用者使用 im.contoso.com 主機名稱來存取此伺服器。在這個情況下,您的憑證需要包含下列資訊:

主體名稱

  • im.contoso.com

主體別名 (SAN)

  • im.contoso.com
  • as.im.contoso.com
  • download.im.contoso.com
  • cwaserver.contoso.com

單一 Communicator Web Access 電腦可以裝載多台虛擬伺服器 (例如:im.contoso.comim.fabrikam.com)。在這個情況下,您需要 contoso.com 和 fabrikam.com 的兩種憑證。

也可能有不同的 SSL 和 MTLS 憑證。例如:如果您的 Communicator Web Access URL 是 https://im.contoso.com,則 SSL 憑證應該有下列資訊:

主體名稱

  • im.contoso.com

主體別名 (SAN)

  • im.contoso.com
  • as.im.contoso.com
  • download.im.contoso.com

MTLS 憑證應在憑證的主體名稱中列出 Communications Web Access 電腦的完整網域名稱 (FQDN)。如果該電腦的完整網域名稱 (FQDN) 是 cwaserver.contoso.com,則 MTLS 憑證應包含下列資訊 (不需要主體別名):

主體名稱

  • cwaserver.contoso.com

指派給 Communicator Web Access 伺服器的憑證與指派給 Office Communications Server 的憑證不需要由同一個憑證授權單位發出。這樣您就可將來自公用 CA 的憑證指派給外部使用者所使用的虛擬伺服器。如需詳細資訊,請參閱要求 Communicator Web Access 的協力廠商憑證。這對於從公用電腦 (例如網咖電腦) 或外借電腦登入 Communicator Web Access 的使用者而言非常重要。如果虛擬伺服器使用由 CA 發出的 SSL 憑證,而此憑證不受電腦信任,則當使用者存取 Communicator Web Access 登入畫面時,會看到 [封鎖的內容] 訊息。雖然使用者還是可以登入,但將無法傳送立即訊息或參與桌面共用工作階段。唯一的解決辦法就是指派新的憑證給虛擬伺服器,或讓每一個用戶端從該虛擬伺服器所使用的 CA 取得憑證。

顯示: