Lync Server 2013 の内部サーバーに対する証明書要件
トピックの最終更新日: 2017-02-17
Lync Server を実行しており、証明書を必要とする内部サーバーには、Standard Edition サーバー、Enterprise Edition フロント エンド サーバー、仲介サーバー、ディレクターが含まれます。 次の表に、これらのサーバーの証明書要件を示します。 Lync Server 証明書ウィザードを使用して、これらの証明書を要求できます。
ヒント
ワイルドカード証明書は、フロントエンド プール、フロント エンド サーバー、またはディレクターの単純な URL に関連付けられているサブジェクト代替名でサポートされています。 ワイルドカード証明書のサポートの詳細については、「 Lync Server 2013 でのワイルドカード証明書のサポート」を参照してください。
内部サーバーには内部エンタープライズ証明機関 (CA) をお勧めしますが、パブリック CA を使用することもできます。 ユニファイド コミュニケーション (UC) 証明書の特定の要件に準拠し、Microsoft と提携して Lync Server 証明書ウィザードと連携している証明書を提供するパブリック CA の一覧については、Microsoft サポート技術情報 929395の「Exchange Serverおよび通信サーバーの統合通信証明書パートナー」https://go.microsoft.com/fwlink/p/?linkId=202834の記事を参照してください。
Exchange 2013 などの他のアプリケーションやサーバーとの通信には、他のアプリケーションや製品でサポートされている証明書が必要です。 2013 リリースでは、Lync Server 2013 およびその他の Microsoft サーバー製品 (Exchange 2013 や SharePoint Server を含む) は、サーバー間認証と承認に対する Open Authorization (OAuth) プロトコルをサポートしています。 詳細については、「展開」または「操作」のドキュメントの 「Lync Server 2013 でのサーバー間認証 (OAuth) とパートナー アプリケーションの管理 」を参照してください。
Windows 7 オペレーティング システム、Windows Server 2008 オペレーティング システム、Windows Server 2008 R2 オペレーティング システム、Windows Vista オペレーティング システム、Microsoft Lync Phone Edition を実行しているクライアントからの接続の場合、Lync Server 2013 には SHA-256 暗号化ハッシュ関数を使用して署名された証明書のサポートが含まれています (ただし、必要ありません)。 SHA-256 を使用した外部アクセスをサポートするために、外部証明書は SHA-256 を使用してパブリック CA によって発行されます。
次の表は、フロント エンド プールと Standard Edition サーバーのサーバー ロール別の証明書要件を示しています。 これらはすべて、標準の Web サーバー証明書、秘密キー、エクスポート不可です。
証明書ウィザードを使用して証明書を要求すると、サーバー拡張キー使用法 (EKU) が自動的に構成されることに注意してください。
注意
各証明書フレンドリ名は、コンピューター ストアで一意である必要があります。
注意
DNS で sipinternal.contoso.com または sipexternal.contoso.com を構成している場合は、証明書のサブジェクトの別名に追加する必要があります。
Standard Edition Server の証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 | コメント |
|---|---|---|---|---|
Default |
プールの完全修飾ドメイン名 (FQDN) |
プールの FQDN とサーバーの FQDN SIP ドメインが複数あり、自動クライアント構成が有効な場合は、証明書ウィザードによって、サポートされている各 SIP ドメインの FQDN が検出され、追加されます。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密なドメイン ネーム システム (DNS) マッチングが必要な場合は、sip.sipdomain のエントリ (所有する各 SIP ドメイン用) も必要となります。 |
SN=se01.contoso.com; SAN=se01.contoso.com このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS マッチングが必要な場合は、SAN=sip.contoso.com、SAN=sip.fabrikam.com も必要です。 |
Standard Edition サーバーでは、サーバー FQDN はプール FQDN と同じです。 このウィザードでは、セットアップ時に指定した SIP ドメインが検出され、サブジェクトの別名に自動的に追加されます。 また、この証明書はサーバー間認証でも使用できます。 |
内部 Web |
サーバーの FQDN |
次のうちのすべて:
|
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
トポロジ ビルダーで内部 Web FQDN をオーバーライドすることはできません。 複数の Meet 単純な URL がある場合は、それらのすべてをサブジェクト代替名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
外部 Web |
サーバーの FQDN |
次のうちのすべて:
|
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
複数の Meet 単純な URL がある場合は、それらのすべてをサブジェクト代替名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
フロントエンド プール内のフロント エンド サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 | コメント |
|---|---|---|---|---|
Default |
プールの FQDN |
プールの FQDN とサーバーの FQDN。 SIP ドメインが複数あり、自動クライアント構成が有効な場合は、証明書ウィザードによって、サポートされている各 SIP ドメインの FQDN が検出され、追加されます。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS 照合が必要な場合は、sip.sipdomain のエントリも必要です (SIP ドメインごとに)。 |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS マッチングが必要な場合は、SAN=sip.contoso.com、SAN=sip.fabrikam.com も必要です。 |
このウィザードでは、セットアップ時に指定した SIP ドメインが検出され、サブジェクトの別名に自動的に追加されます。 また、この証明書はサーバー間認証でも使用できます。 |
Web 内部 |
プールの FQDN |
次のうちのすべて:
|
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
複数の Meet 単純な URL がある場合は、それらのすべてをサブジェクト代替名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
外部 Web |
プールの FQDN |
次のうちのすべて:
|
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
複数の Meet 単純な URL がある場合は、それらのすべてをサブジェクト代替名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
ディレクターの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
Default |
ディレクター プールの FQDN |
ディレクターの FQDN、ディレクター プールの FQDN このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS 照合が必要な場合は、sip.sipdomain のエントリも必要です (SIP ドメインごとに)。 |
SN=dir-pool.contoso.com;SAN=dir-pool.contoso.com;SAN=dir01.contoso.com このディレクター プールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS 照合が必要な場合は、SAN=sip.contoso.com も必要です。SAN=sip.fabrikam.com |
Web 内部 |
サーバーの FQDN |
次のうちのすべて:
|
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
外部 Web |
サーバーの FQDN |
次のうちのすべて:
|
Director 外部 Web FQDN は、フロント エンド プールまたはフロント エンド サーバーとは異なる必要があります。 SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
スタンドアロンの仲介サーバー プールがある場合、その仲介サーバーにはそれぞれ、次の表に示す証明書が必要です。 仲介サーバーをフロント エンド サーバーと併置する場合は、このトピックの「フロント エンド プールのフロント エンド サーバーの証明書」の表に記載されている証明書で十分です。
スタンドアロン仲介サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
Default |
プールの FQDN |
プールの FQDN プール メンバー サーバーの FQDN |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
存続可能ブランチ アプライアンスの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
Default |
アプライアンスの FQDN |
Sip。<sipdomain> (SIP ドメインごとに 1 つのエントリが必要) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |