如果要在站点上部署多台负载平衡边缘服务器,则安装在每台边缘服务器上的 A/V 身份验证服务证书必须由同一 CA 颁发且必须使用同一私钥。请注意,证书的私钥必须是可导出的,不管是在一台边缘服务器上使用还是在多台边缘服务器上使用。如果要从任何计算机(边缘服务器除外)请求证书,则私钥也必须可导出。由于 A/V 身份验证服务不使用使用者名称或使用者替代名称,因此,一旦满足访问边缘和 Web 会议边缘的使用者名称和使用者替代名称要求,且证书的私钥是可导出的,您就能重用访问边缘证书。
Microsoft Lync Server 2010 使用证书来提供通信加密和服务器身份信息验证。在某些情况下,如通过反向代理的 Web 发布,不需要使用与提供服务的服务器的完全限定域名 (FQDN) 匹配的强主题备用名称 (SAN) 项。在这些情况下,可以使用具有通配符SAN 项(通常称为“通配符证书”)的证书来减少从公共证书颁发机构请求证书的成本,并降低证书规划流程的复杂性。
对于内部边缘服务器界面,可以将通配符项分配到 SAN,支持该操作。不会在内部边缘服务器上查询 SAN,但通配符 SAN 项具有有限的值。
为了描述可能的通配符证书的使用,此处复制了规划文档中参考结构所使用的证书指南,以保持一致性。有关详细信息,请参阅参考体系结构。如前所述,UC 设备将利用强名称匹配,如果在 FQDN 项之前呈现通配符 SAN 项,将无法进行验证。按照以下表格中所示的顺序操作,可以限制 UC 设备和 SAN 中的通配符项可能发生的问题。
安装和配置 Microsoft Exchange Server 时,会创建并实施自签名证书。将 CA 提供的证书添加到服务器时,我们建议您不要删除自签名证书,除非已将所有服务和 Web 服务重新配置为成功使用新证书。在某些组件不能正常运行的情况下,自签名证书仍可用,因此可以重新配置原始设置和还原原始功能,尽管自签名SSL证书将不会允许您需要的所有功能。这样可以在不影响所有生产功能的情况下为您提供更多的时间来解决配置问题。
对于使用 Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署的 Microsoft Exchange Server,此处有四个可能的部署应用场景:
Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。必须在 Exchange UM 服务器上启用传输层安全性 (TLS),才能将证书分配到 Exchange UM 角色。
分配该证书,以用于在 Exchange 客户端访问服务器上与 Outlook Web Access 和即时消息 (IM) 集成。
Exchange 客户端访问服务器面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称:exchcas01.contoso.com
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover SAN 项才能支持外部 UC 设备。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称:internalcas01.contoso.net
internalcas01.contoso.com
internalcas01.contoso.com*.contoso.com
私有
服务器
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 EWS 和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。
Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。必须在 Exchange UM 服务器上启用 TLS,才能将证书分配到 Exchange UM 角色。分配该证书,以用于在客户端访问服务器上与 Outlook Web Access 和 IM 集成。
Exchange 客户端访问服务器和面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称:exchcas01.contoso.com
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover.<域命名空间> SAN 项才能支持外部 UC 设备。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称:internalcas01.contoso.net
internalcas01.contoso.com
internalcas01.contoso.com*.contoso.com
私有
服务器
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。
Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。必须在 Exchange UM 服务器上启用 TLS,才能将证书分配到 Exchange UM 角色。
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。将私有 CA 根证书导入到每个 Exchange 客户端访问服务器。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover SAN 项才能支持外部 UC 设备。
必须存在计算机名称(在该示例中为 exchcas01.contoso.com)的项,才能与 Outlook Web Access 和 IM 集成。
另外,主题名称的匹配项必须在证书的 SAN 内。在反向代理位置终止 TLS 或 SSL 后重新建立客户端访问服务器的 TLS 或 SSL,将导致 UC 设备发生故障。如果要支持 UC 设备,则不能使用某些产品(如 Microsoft Internet Security、Acceleration (ISA) Server 和 Microsoft Forefront Threat Management Gateway)的功能以及其他第三方实施、TLS 或 SSL 终止。必须存在 autodiscover 的 SAN 项,才能使 UC 设备正常运行。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称:internalcas01.contoso.com
internalcas01.contoso.com
internalcas01.contoso.com*.contoso.com
私有
服务器
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询此 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。
Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。无需使用 SAN。必须在 Exchange UM 服务器上启用 TLS,才能将证书分配到 Exchange UM 角色。
主题名称和 SAN 项必须匹配,才能支持外部 UC 设备。将私有 CA 根证书导入到每个 Exchange 客户端访问服务器。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配,可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover SAN 项才能支持外部 UC 设备。
必须存在计算机名称(在该示例中为 exchcas01.contoso.com)的项,才能与 Outlook Web Access 和 IM 集成。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称:internalcas01.contoso.com
internalcas01.contoso.com
internalcas01.contoso.com*.contoso.com
私有
服务器
非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务(例如邮箱)的用户或服务,则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置,可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。
将社交媒体威胁视为企业问题。
公司往往不愿意全面限制对社交媒体网站的访问,但必须想办法防御这些网站以及其他网站上基于 Web 的恶意软件。这意味着需要在网关和客户端电脑上安装多层安全软件。此外,还应当积极安装修补程序和更新程序,以降低偷渡式下载感染风险。最后,用户培训和明确的政策必不可少,尤其在用户在线泄露的个人信息量方面。