Requisitos de certificado para acesso do usuário externo no Lync Server 2013

Tópico última modificação: 29/03/2016

O software de comunicações do Microsoft Lync Server 2013 dá suporte ao uso de um único certificado público para interfaces externas do Edge de acesso e webconferência, além do serviço de Autenticação A/V. A interface interna do Edge normalmente usa um certificado privado emitido por uma AC (autoridade de certificação) interna, mas também pode usar um certificado público, desde que seja de uma AC pública confiável. O proxy reverso em sua implantação usa um certificado público e criptografa a comunicação do proxy reverso para clientes e o proxy reverso para servidores internos usando HTTP (ou seja, Segurança da Camada de Transporte por HTTP).

A seguir estão os requisitos para o certificado público usado para interfaces externas de borda de acesso e webconferência e o serviço de autenticação A/V:

• O certificado deve ser emitido por uma AC pública aprovada que dê suporte ao nome alternativo da entidade. Para obter detalhes, consulte o artigo 929395 base de dados de conhecimento da Microsoft, "Unified Communications Certificate Partners for Exchange Server and for Communications Server", em https://go.microsoft.com/fwlink/p/?linkId=202834.

• Se o certificado for usado em um pool de Borda, ele deverá ser criado como exportável, com o mesmo certificado usado em cada Servidor de Borda no pool de Borda. O requisito de chave privada exportável é para fins do serviço de Autenticação A/V, que deve usar a mesma chave privada em todos os Servidores de Borda no pool.

• Se você quiser maximizar o tempo de atividade para seus serviços de Áudio/Vídeo, examine os requisitos de certificado para implementar um certificado de serviço A/V Edge separado (ou seja, um certificado de serviço A/V Edge separado das outras finalidades de certificado de Borda Externa). Para obter detalhes, consulte Alterações no Lync Server 2013 que afetam o planejamento do Servidor de Borda, o Plano para certificados do Servidor de Borda no Lync Server 2013 e os certificados AV e OAuth de preparo no Lync Server 2013 usando -Roll in Set-CsCertificate.

• O nome da entidade do certificado é o FQDN (nome de domínio totalmente qualificado) ou o VIP do balanceador de carga de hardware (por exemplo, access.contoso.com). ). O nome da entidade não pode ter um caractere curinga, ele deve ser um nome explícito.

  Nota

  Para o Lync Server 2013, isso não é mais um requisito, mas ainda é recomendado para compatibilidade com o Office Communications Server.

• A lista de nomes alternativos da entidade contém os FQDNs do seguinte:

  • A interface externa do serviço do Access Edge ou o VIP do balanceador de carga de hardware (por exemplo, sip.contoso.com).

    Nota

    Embora o nome da entidade do certificado seja igual ao FQDN de borda de acesso, o nome alternativo da entidade também deve conter o FQDN de borda de acesso porque o protocolo TLS ignora o nome da entidade e usa as entradas de nome alternativo da entidade para validação.

  • A interface externa do Edge de webconferência ou o VIP do balanceador de carga de hardware (por exemplo, webcon.contoso.com).

  • Se você estiver usando a configuração automática ou federação do cliente, inclua também quaisquer FQDNs de domínio SIP usados em sua empresa (por exemplo, sip.contoso.com, sip.fabrikam.com).

  • O serviço A/V Edge não usa o nome da entidade ou as entradas de nomes alternativos da entidade.

  Nota

  A ordem dos FQDNs na lista de nomes alternativos da entidade não importa.

Se você estiver implantando vários Servidores de Borda com balanceamento de carga em um site, o certificado do serviço de autenticação A/V instalado em cada Servidor de Borda deverá ser da mesma AC e deve usar a mesma chave privada. Observe que a chave privada do certificado deve ser exportável, independentemente de ela ser usada em um servidor de borda ou em muitos servidores de borda. Ele também deverá ser exportável se você solicitar o certificado de qualquer computador que não seja o Servidor de Borda. Como o serviço de autenticação A/V não usa o nome da entidade ou o nome alternativo da entidade, você pode reutilizar o certificado de borda de acesso, desde que os requisitos de nome alternativo da entidade e da entidade sejam atendidos para a borda de acesso e a borda de webconferência e a chave privada do certificado seja exportável.

Os requisitos para o certificado privado (ou público) usado para a interface interna do Edge são os seguintes:

• O certificado pode ser emitido por uma AC interna ou por uma AC de certificado público aprovada.

• O nome da entidade do certificado normalmente é o FQDN da interface interna do Edge ou o VIP do balanceador de carga de hardware (por exemplo, lsedge.contoso.com). No entanto, você pode usar um certificado curinga no Edge interno.

• Nenhuma lista de nomes alternativos de assunto é necessária.

O proxy reverso em suas solicitações de serviços de implantação para:

• Acesso de usuário externo ao conteúdo da reunião para reuniões

• Acesso de usuário externo para expandir e exibir membros de grupos de distribuição

• Acesso de usuário externo a arquivos baixáveis do Serviço catálogo de endereços

• Acesso de usuário externo ao cliente do Lync Web App

• Acesso de usuário externo à página da Web Configurações de Conferência Discada

• Acesso de usuário externo ao Serviço de Informações de Localização

• Acesso de dispositivo externo ao Serviço de Atualização de Dispositivo e obtenção de atualizações

O proxy reverso publica as URLs de Componentes Web do servidor interno. As URLs de Componentes Web são definidas no director, no servidor front-end ou no pool de front-end como os serviços Web externos no Construtor de Topologias.

Há suporte para entradas curinga no campo de nome alternativo da entidade do certificado atribuído ao proxy reverso. Para obter detalhes sobre como configurar a solicitação de certificado para o proxy reverso, consulte Solicitar e configurar um certificado para o proxy HTTP reverso no Lync Server 2013.