Exchange 2013 和 Lync Server 部署適用的憑證建議

您必須有一個由執行 Exchange 之電腦和執行 Lync 伺服器之電腦兩者皆信任的憑證。在具有 Lync 伺服器和整合通訊的環境 中，利用下列指南部署信任的憑證：

• 在您的 Lync Server、用戶端存取伺服器、信箱伺服器、Lync Server 中繼伺服器和媒體閘道上，匯入由私人或公開憑證授權單位 (CA) 所簽署的有效憑證。這個憑證必須是受信任的協力廠商商業憑證或是公開金鑰基礎結構 (PKI) 憑證。

• 匯入每一個 Exchange 伺服器的憑證若是同一個協力廠商商業憑證或 PKI 憑證，則可降低複雜度。同時，請在執行 Microsoft Lync Server 和 Lync Server 中繼伺服器的每部電腦上安裝此一受信任的憑證。這不僅會讓您在部署憑證時問題較少，同時可減少部署憑證時的管理負擔。不過，您必須取得支援主體別名 (SAN) 的信任憑證。

  當您使用 UM 部署傳輸層安全性 (TLS) 時，用戶端伺服器和信箱伺服器兩者所使用的憑證都必須在憑證的主體名稱中包含本機電腦的完整網域名稱 (FQDN)。若要解決此問題，請使用公開憑證並在所有用戶端存取和信箱伺服器、任何 VoIP 閘道器、IP PBX 和所有 Lync 伺服器上匯入憑證。

  如果您的部署含有 VoIP 閘道器或 IP PBX，而且如果您使用 SIP 安全或安全撥號對應表，用戶端存取和信箱伺服器以及 VoIP 閘道器或 IP PBX 之間都必須使用信任憑證。如果使用直接 (SIP) 連線，則也需要信任憑證。如果您使用 SIP 安全或安全撥號對應表，您可以在 Lync 和 Exchange 伺服器上使用與 VoIP 閘道器或 IP PBX 同一個信任憑證。

• 將 Exchange 用戶端存取伺服器與信箱伺服器連線至 Microsoft Lync Server 或是協力廠商 SIP 閘道或專用交換機 (PBX) 電話設備時，您必須使用由內部或公開協力廠商 CA 所簽署的有效憑證，以保護工作階段的安全。只要憑證的 SAN 清單中具有所有用戶端存取和信箱伺服器的 FQDN，您就可以在所有用戶端存取和信箱伺服器上使用單一憑證。或者，您可使用該伺服器主體一般名稱 (CN) 或憑證的 SAN 清單中出現的本機電腦 FQDN，為每一個用戶端存取和信箱伺服器產生不同的憑證。Exchange UM 不支援 Microsoft Lync Server 使用萬用字元憑證。

  Lync 伺服器和 Exchange 若要一同使用，就必須使用非萬用字元主體名稱。UM 和 Lync 伺服器指出信任 SIP 同儕節點的方式就是使用主體名稱。Lync 伺服器還需要在某些電話轉接方案中使用非萬用字元主題名稱。FQDN 必須作為 [發行給] 的值使用。

  對於 Exchange UM，不支援在 [憑證名稱] 中放置萬用字元。但是，您可以在 SAN 中放置萬用字元。

下表顯示安裝和設定 Exchange UM 憑證的憑證要求。