設定內部介面的憑證

Communications Server 2007 R2

上次修改主題的時間: 2009-01-23

Edge Server 與內部伺服器 (包括 A/V 會議伺服器與中繼伺服器) 之間的相互 TLS (MTLS) 通訊需要憑證。

如需憑證需求的詳細資料,請參閱外部使用者存取的憑證需求

若要為站台的 Edge Server 內部介面設定憑證,請遵循下列步驟:

  • 步驟 1:將內部介面的憑證授權單位 (CA) 憑證路徑下載到每個 Edge Server。如需詳細資料,請參閱準備 Edge Server 內部憑證
  • 步驟 2:在每個 Edge Server 上匯入內部介面的 CA 憑證路徑。
  • 步驟 3:確認 CA 位於每個 Edge Server 上受信任的根 CA 清單中。
  • 步驟 4:在一個 Edge Server (在此稱為第一部 Edge Server) 上,為內部介面建立憑證要求。
  • 步驟 5:在第一部 Edge Server 上匯入內部介面的憑證。
  • 步驟 6:使用第一部 Edge Server 匯出憑證。
  • 步驟 7:在此站台 (或部署在此負載平衡器之後) 的其他 Edge Server 上匯入憑證。
  • 步驟 8:為每一部 Edge Server 的內部介面指派憑證。

本主題稍後有步驟 2 到 8 的指示。

如果使用 Edge Server 的站台超過一個 (也就是合併多重站台的邊緣拓撲),或者在不同的負載平衡器後方部署了不同組的 Edge Server,就需要分別針對具有 Edge Server 的每個站台以及部署在不同的負載平衡器後方的每組 Edge Server 執行步驟 1 到 8。

Dd441270.note(zh-tw,office.13).gif附註:
本章節中的程序步驟是以使用 Windows Server 2003 企業 CA 或是 Windows Server 2003 R2 CA 為準。如需任何其他 CA 的逐步指引,請參閱該 CA 的文件。根據預設,所有經過驗證的使用者都有要求憑證的權限。

  1. 在部署中的每部 Edge Server 上,於 [部署精靈] 中,按一下 [部署 Edge Server] 頁面的 [步驟 4:設定 Edge Server 的憑證] 旁的 [執行]

  2. 在 [Communications 憑證精靈] 的 [歡迎] 頁面上,按 [下一步]

  3. [可用憑證工作] 頁面上,選取 [從 .P7B 檔案匯入憑證鏈結],然後按 [下一步]

  4. [匯入憑證鏈結] 頁面上,輸入 .P7B 檔案的完整路徑和名稱,然後按 [下一步]

  5. 按一下 [完成]

  6. 在每一部 Edge Server 上重複這個程序。

  1. 依序按一下 [開始][執行],然後在 [開啟] 方塊中輸入 mmc,然後按一下 [確定],在每一部 Edge Server 上開啟 Microsoft Management Console (MMC)。

  2. [檔案] 功能表中,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]

  3. [新增獨立嵌入式管理單元] 方塊中,按一下 [憑證],然後按一下 [新增]

  4. [憑證嵌入式管理單元] 對話方塊中,按一下 [電腦帳戶],然後按 [下一步]

  5. [選擇電腦] 對話方塊中,確定 [本機電腦(執行這個主控台的電腦):] 核取方塊已經選取,然後按一下 [完成]

  6. 按一下 [關閉],然後按一下 [確定]

  7. 在主控台樹狀目錄中,依序展開 [憑證 (本機電腦)][信任的根憑證授權],然後按一下 [憑證]

  8. 在詳細資料窗格中,確認您的 CA 位於受信任的 CA 清單上。

  9. 在每一部 Edge Server 上重複這個程序。

  1. 在 Edge Server 上,於 [部署精靈] 的 [部署 Edge Server] 頁面上,按一下 [步驟 4:設定 Edge Server 的憑證] 旁的 [執行]

  2. 在 [Communications 憑證精靈] 的 [歡迎] 頁面上,按 [下一步]

  3. [可用憑證工作] 頁面上,按一下 [建立新憑證],然後按 [下一步]

  4. [選取要求憑證的元件] 頁面上,選取 [Edge Server 私人介面] 核取方塊,然後按 [下一步]

  5. [延遲或立即要求] 頁面上,選取 [立即準備此要求,但稍後再傳送] 核取方塊,然後按 [下一步]

    Dd441270.note(zh-tw,office.13).gif附註:
    如果可以從 Edge Server 連絡企業 CA,您便可以使用 [立即將此要求傳送到線上憑證授權單位] 選項。由於這個情況並不常見,所以本指南的這個程序和其他憑證要求程序未涵蓋這個選項的使用。
    此外,請注意一旦要求建立之後,就會成為擱置狀態,而且除非您已經處理擱置的要求,「憑證精靈」將不會讓您再建立其他要求。
  6. [名稱和安全性設定] 頁面上,輸入容易記得的憑證名稱,然後指定位元長度 (預設值通常是 1024),並確認已選取 [將憑證標示為可匯出] 核取方塊,然後再按 [下一步]

  7. [組織資訊] 頁面上,輸入組織的名稱和組織單位 (例如適當的部門),然後按 [下一步]

  8. [您的伺服器的主體名稱] 頁面上,輸入或選取 Edge Server 的主體名稱和主體別名。

    主體名稱應該要符合內部介面 (您設定此憑證的地方) 之內部防火牆所發行之 Edge Server 的完整網域名稱 (FQDN):

    • 如果是 Edge Server 的內部介面,則主體名稱應該要符合您的內部伺服器用來連接 Edge Server 的名稱 (通常是 Edge Server 之內部介面的 FQDN)。
    • 如果您有使用負載平衡器,則 Edge Server 流量仍然會使用此伺服器 (伺服器名稱) 內部邊緣的 FQDN,但是如果您使用 Edge Server 的虛擬 IP 位址,此憑證應該要符合內部負載平衡器上由這個伺服器角色所使用之虛擬 IP 位址的 FQDN。如果是內部介面,這通常是周邊網路 (對應到 Edge Server) 的已發行網域名稱系統 (DNS) 名稱。
  9. 如果要將 Edge Server 的電腦名稱加入至憑證的別名清單,請選取 [自動將本機電腦名稱新增到主體替代名稱]

  10. [下一步]

  11. [地理資訊] 頁面上,輸入位置資訊,然後按 [下一步]

  12. [憑證要求檔案名稱] 頁面的 [檔案名稱] 方塊中,輸入用來儲存此要求的完整路徑和檔案名稱 (例如,C:\certrequest_AccessEdge.txt),然後按 [下一步]

  13. [要求摘要] 頁面上,按 [下一步]

  14. 在精靈完成頁面上,確認已順利完成,然後按一下 [完成]

  15. 將這個檔案送出給 CA (透過電子郵件或是您的組織對企業 CA 支援的其他方法),然後當您收到回應檔案時,將新的憑證複製到這部電腦上,讓它可供匯入。

  16. 在每一部 Edge Server 上重複這個程序。

  1. 在您建立憑證要求的 Edge Server 上,於 [部署精靈][部署 Edge Server] 頁面上,按一下 [步驟 4:設定 Edge Server 的憑證] 旁的 [執行]

  2. 在 [Communications 憑證精靈] 的 [歡迎] 頁面上,按 [下一步]

  3. [擱置的憑證要求] 頁面上,按一下 [處理離線憑證要求並匯入憑證],然後按 [下一步]

  4. [處理擱置的要求] 頁面的 [路徑和檔案名稱] 中,輸入您為此 Edge Server 的內部介面所要求和接收的憑證之完整路徑和檔案名稱,然後按 [下一步]

  5. 在精靈完成頁面上,確認已順利完成,然後按一下 [完成]

  1. 在您要求並匯入憑證的 Edge Server 上,於 [部署精靈][部署 Edge Server] 頁面上,按一下 [步驟 4:設定 Edge Server 的憑證] 旁的 [執行]

  2. 在 [Communications 憑證精靈] 的 [歡迎] 頁面上,按 [下一步]

  3. [可用憑證工作] 頁面上,按一下 [將憑證匯出到 .PFX 檔案],然後按 [下一步]

  4. [可用憑證] 頁面的 [選取憑證] 中,按一下您匯入到此 Edge Server 的憑證,然後按 [下一步]

  5. [匯出憑證] 頁面的 [路徑和檔案名稱] 中,輸入要匯出此憑證的目標完整路徑和檔案名稱,然後按 [下一步]

    盡可能在憑證路徑中包含所有憑證。

  6. [匯出憑證密碼] 頁面的 [密碼] 中,輸入將用來在其他 Edge Server 上匯入憑證的密碼,然後按 [下一步]

  7. 在精靈完成頁面上,確認已順利完成,然後按一下 [完成]

  8. 將匯出的檔案複製到可由其他 Edge Server 存取的位置或媒體上。

  1. 在其他各 Edge Server 上,於 [部署精靈] 中的 [部署 Edge Server] 頁面上,按一下 [步驟 4:設定 Edge Server 的憑證] 旁的 [執行]

  2. 在 [Communications 憑證精靈] 的 [歡迎] 頁面上,按 [下一步]

  3. [可用憑證工作] 頁面上,按一下 [從 .PFX 檔案匯入憑證],然後按 [下一步]

  4. [匯入憑證] 頁面的 [路徑和檔案名稱] 中,輸入您從第一部 Edge Server 匯出之憑證的完整路徑和檔案名稱,清除 [將憑證標示為可匯出] 核取方塊,然後按 [下一步]

  5. [匯入憑證密碼][密碼] 中,輸入當您從第一部伺服器匯出憑證時所輸入的密碼,然後按 [下一步]

  6. 在精靈完成頁面上,確認已順利完成,然後按一下 [完成]

  7. 為將使用相同憑證的每一部 Edge Server 重複這個程序。

  1. 在每一部 Edge Server 上,於 [部署精靈] 的 [部署 Edge Server] 頁面上,按一下 [步驟 4:設定 Edge Server 的憑證] 旁的 [執行]

  2. 在 [Communications 憑證精靈] 的 [歡迎] 頁面上,按 [下一步]

  3. [可用憑證工作] 頁面上,按一下 [指派現有的憑證],然後按 [下一步]

  4. [可用憑證] 頁面上,選取您為這部 Edge Server 內部介面要求的憑證,然後按 [下一步]

  5. [可用的憑證指派] 頁面上,選取 [Edge Server 私人介面] 核取方塊 (也就是您要安裝憑證的伺服器介面),然後按 [下一步]

  6. [設定您的伺服器憑證設定] 頁面上,檢閱您的設定,然後按 [下一步] 指派憑證。

  7. 在精靈完成頁面中,按一下 [完成]

  8. 為指派這個憑證的每一部 Edge Server 重複這個程序。

顯示: