Distribuzione di certificati per la messaggistica unificata in Exchange Server

Si applica a: Exchange Server 2013, Exchange Server 2016

È possibile utilizzare TLS (Transport Layer Security) reciproca per abilitare Messaggistica unificata per crittografare i dati inviati tra server Microsoft Exchange 2013 e gateway VoIP, IP PBX, session border controller (SBC) e Microsoft Lync Server. I certificati associano l'identità del proprietario del certificato a una coppia di chiavi elettroniche (pubblica e privata) utilizzate per crittografare e firmare le informazioni con firma digitale.

Se si utilizzano dial plan protetti con SIP o protetti nell'organizzazione Exchange 2010, sarà necessario importare i certificati utilizzati nei server Accesso client di Exchange 2013 che eseguono il servizio di routing delle chiamate di messaggistica unificata di Microsoft Exchange e i server Cassette postali che eseguono il servizio Messaggistica unificata di Microsoft Exchange. È possibile utilizzare uno dei seguenti certificati per i servizi Messaggistica unificata e routing delle chiamate di messaggistica unificata:

  • Un certificato autofirmato (Exchange)

  • Un certificato interno dell'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure)

  • Certificato commerciale di terze parti

Per impostazione predefinita, quando si installa la messaggistica unificata, viene creato e usato un certificato autofirmato. Questo certificato autofirmati può essere usato con gateway VoIP, IP PBX e SBC, ma non durante l'integrazione della messaggistica unificata con Lync Server. Se si distribuiscono certificati da usare con Lync Server, è necessario usare la procedura guidata per i certificati di Exchange o il cmdlet New-ExchangeCertificate per ottenere un certificato emesso da un'autorità di certificazione (CA) interna o PKI oppure acquistare un certificato commerciale o di terze parti che sia reciprocamente attendibile da Messaggistica unificata e Lync Server.

Distribuzione di certificati per gateway VoIP, IP PBX e SBC

Per abilitare Messaggistica unificata a crittografare i dati inviati tra gateway VoIP, IP PBX e SBC, è necessario procedere come segue:

  • Utilizzare il certificato di messaggistica unificata autofirmato, creare la richiesta per un nuovo certificato di Exchange e ottenere un certificato PKI interno oppure acquistare un certificato commerciale di terze parti che sia possibile utilizzare per TLS reciproco tra Messaggistica unificata e gateway VoIP, IP PBX e SBC.

  • Importare il certificato che verrà utilizzato su tutti i server cassette postali e Accesso client nell'organizzazione.

  • Abilitare il certificato che verrà utilizzato dai servizi di messaggistica unificata.

  • Importare il certificato su gateway VoIP, IP PBX e SBC

  • Configurare il dial plan di messaggistica unificata come dial plan SIP con protezione o protetto.

  • Configurare la modalità di avvio della messaggistica unificata sui server Accesso client e Cassette postali nell'organizzazione.

  • Creare i gateway IP di messaggistica unificata richiesti con un nome di dominio completo (FQDN, fully qualified domain name).

  • Configurare la porta di attesa sui gateway IP di messaggistica unificata per utilizzare la porta TLS 5061.

  • Riavviare il servizio routing delle chiamate di messaggistica unificata su tutti i server Accesso client e riavviare il servizio Messaggistica unificata di Microsoft Exchange su tutti i server Cassette postali.

Distribuzione di certificati per Lync Server

Per crittografare i dati inviati tra Messaggistica unificata e Lync Server, è necessario:

  • Creare una nuova richiesta di certificato di Exchange e ottenere un certificato PKI interno o acquistare un certificato commerciale di terze parti. Il certificato deve essere considerato attendibile reciprocamente dalla messaggistica unificata e da Lync Server.

  • Importare il certificato che verrà utilizzato su tutti i server cassette postali e Accesso client nell'organizzazione.

  • Abilitare il certificato che verrà utilizzato dai servizi di messaggistica unificata.

  • Importare il certificato su computer che eseguono Lync Server.

  • Configurare il dial plan di messaggistica unificata SIP URI come SIP con protezione o protetto.

  • Configurare la modalità di avvio della messaggistica unificata sui server Accesso client e Cassette postali nell'organizzazione.

  • Eseguire OcsUmUtil.exe da un computer Lync Server.

  • Riavviare il servizio routing delle chiamate di messaggistica unificata su tutti i server Accesso client e riavviare il servizio Messaggistica unificata di Microsoft Exchange su tutti i server Cassette postali nell'organizzazione. Per dettagli, vedere Procedure di servizi di messaggistica unificata.

  • Riavviare il servizio Lync Server Front-End su tutti i Lync Server che fanno parte di un pool Front End di Enterprise Edition oppure riavviare i server Front End di Standard Edition. È possibile utilizzare il cmdlet Stop-CsWindowsService per interrompere i servizi Lync Server e il cmdlet Start-CsWindowsService per avviare i servizi Lync Server.

    I cmdlet Start-CsWindowsService e Stop-CsWindowsService sono analoghi a quelli generici di Windows PowerShell Start-Service e Stop-Service. Se lo si desidera, è possibile utilizzare i cmdlet Start-Service o Stop-Service per avviare e arrestare un servizio Lync Server. Tuttavia, i cmdlet Start-CsWindowsServiceStop-CsWindowsService includono un parametro ComputerName che semplifica l'arresto e l'avvio di un servizio Lync Server in un computer remoto. A tale scopo, includere il parametro ComputerName seguito dal nome di dominio completo (FQDN) del computer remoto. I cmdlet Start-Service e Stop-Service non dispongono di un parametro simile.

    Nota

    Per l'integrazione completa di Messaggistica unificata e Lync Server, è inoltre necessario eseguire lo script ExchUcUtil.ps1 su ciascun server Cassette postali o Accesso client nell'organizzazione.