lync相关文章列表 - 天威诚信

Microsoft Lync Server 2010/2013 通信软件支持使用用于访问和 Web 会议边缘外部接口，以及 A/V 身份验证服务的单个可信SSL证书。边缘内部接口通常使用内部证书颁发机构 (CA) 颁发的专用SSL证书，但同时也可以使用可信ssl证书，前提是该证书是由受信任的受信任的CA 颁发。部署中的反向代理使用可信证书，并会使用 HTTP 对反向代理与客户端以及反向代理与内部服务器之间的通信进行加密（即 HTTP 上的传输层安全性）。

以下是用于访问、Web 会议边缘外部接口以及 A/V 身份验证服务的可信SSL证书的要求：

证书必须由经过批准的受信任的CA 颁发，且该 CA 支持使用者替代名称，比如Symantec公司的VeriSign SSL证书
如果证书要在边缘池上使用，必须将其创建为可导出的证书，并在边缘池中的每台边缘服务器上使用相同的证书。可导出的私钥要求针对的是 A/V 身份验证服务，该服务必须在池中所有边缘服务器上使用同一私钥。

证书的使用者名称是访问边缘外部接口完全限定域名 (FQDN) 或硬件负载平衡器 VIP（例如，access.contoso.com）。

注意：
对于 Lync Server 2010，不再需要满足此要求，但为了与 Office Communications Server 兼容，仍建议满足该要求。

使用者替代名称列表包含以下各项的 FQDN：

访问边缘外部接口或硬件负载平衡器 VIP（例如，access.contoso.com）。

注意：
即使证书使用者名称是访问边缘 FQDN，使用者替代名称还必须包含访问边缘 FQDN，因为传输层安全性 (TLS) 将忽略使用者名称，而使用使用者替代名称条目进行验证。

Web 会议边缘外部接口或硬件负载平衡器 VIP（例如，webcon.contoso.com）。
如果要使用客户端自动配置或联盟，还需要包含公司内部使用的任何 SIP 域 FQDN（例如，sip.contoso.com、sip.fabrikam.com）。
A/V 身份验证服务不使用使用者名称或使用者替代名称条目。

注意：
使用者替代名称列表中的 FQDN 顺序无关紧要。

如果要在站点上部署多台负载平衡边缘服务器，则安装在每台边缘服务器上的 A/V 身份验证服务证书必须由同一 CA 颁发且必须使用同一私钥。请注意，证书的私钥必须是可导出的，不管是在一台边缘服务器上使用还是在多台边缘服务器上使用。如果要从任何计算机（边缘服务器除外）请求证书，则私钥也必须可导出。由于 A/V 身份验证服务不使用使用者名称或使用者替代名称，因此，一旦满足访问边缘和 Web 会议边缘的使用者名称和使用者替代名称要求，且证书的私钥是可导出的，您就能重用访问边缘证书。

用于边缘内部接口的专用（或可信）证书的要求如下所示：

证书可由内部 CA 或经过批准的受信任的CA 颁发。
证书的使用者名称通常是边缘内部接口 FQDN 或硬件负载平衡器 VIP（例如，lsedge.contoso.com）。但是，可以在边缘内部上使用通配证书。
不需要使用者替代名称列表。

部署服务中的反向代理请求：

对会议的会议内容的外部用户访问权
用于扩展和显示通讯组成员的外部用户访问权
对可从通讯簿服务下载的文件的外部用户访问权
对 Lync Web App 客户端的外部用户访问权
对“电话拨入式会议设置”网页的外部用户访问权
对位置信息服务的外部用户访问权
对设备更新服务的外部设备访问权并获取更新

反向代理会发布内部服务器 Web 组件 URL。与拓扑生成器中的外部 Web 服务一样，Web 组件 URL 是在控制器、前端服务器或前端池上定义的。

可以在分配给反向代理的证书的使用者替代名称字段中使用通配符条目。

Microsoft Lync Server 2010 使用证书来提供通信加密和服务器身份信息验证。在某些情况下，如通过反向代理的 Web 发布，不需要使用与提供服务的服务器的完全限定域名 (FQDN) 匹配的强主题备用名称 (SAN) 项。在这些情况下，可以使用具有通配符 SAN 项（通常称为“通配符证书”）的证书来减少从公共证书颁发机构请求证书的成本，并降低证书规划流程的复杂性。

警告：
若要保留统一通信 (UC) 设备（例如，桌面电话）的功能，您应该小心测试已部署的证书，确保设备在实施通配符证书后可以正常运行。

不支持使用通配符项作为任何角色的主题名称（也称为公用名或 CN）。使用 SAN 中的通配符项时支持以下服务器角色：

反向代理。简单的 URL 发布证书支持通配符 SAN 项。
控制器。控制器 Web 组件中的简单 URL 支持通配符 SAN 项。
前端服务器（标准版）和前端池（企业版）。前端 Web 组件中的简单 URL 支持通配符 SAN 项。
Exchange 统一消息 (UM)。部署为独立的服务器时，服务器不使用 SAN 项。
Microsoft Exchange Server 客户端访问服务器。内部客户端和外部客户端支持 SAN 中的通配符项。
相同服务器上的 Exchange 统一消息 (UM) 和 Microsoft Exchange Server 客户端访问服务器。支持通配符 SAN 项。

该主题中未提到的服务器角色：

内部服务器角色（包括但不限于中介服务器、存档和监控服务器、Survivable Branch Appliance 或Survivable Branch Server）
外部边缘服务器界面

内部边缘服务器

注意：
对于内部边缘服务器界面，可以将通配符项分配到 SAN，支持该操作。不会在内部边缘服务器上查询 SAN，但通配符 SAN 项具有有限的值。

为了描述可能的通配符证书的使用，此处复制了规划文档中参考结构所使用的证书指南，以保持一致性。有关详细信息，请参阅参考体系结构。如前所述，UC 设备将利用强名称匹配，如果在 FQDN 项之前呈现通配符 SAN 项，将无法进行验证。按照以下表格中所示的顺序操作，可以限制 UC 设备和 SAN 中的通配符项可能发生的问题。

Lync Server 2010 的通配符证书配置

组件	主题名称	SAN 项/顺序	证书颁发机构 (CA)	增强型密钥使用 (EKU)	组件
反向代理	lsrp.contoso.com	lsweb-ext.contoso.com*.contoso.com	公共	服务器	通讯簿服务、通讯组扩展和 Lync IP 设备发布规则。主题备用名称包括：外部 Web 服务 FQDN如果 meet 和 dialin 简单 URL 使用以下格式，通配符会取代 meet 和 dialin SAN：<FQDN>/meet <FQDN>/dialin 或 meet.<FQDN> dialin.<FQDN>
控制器	dirpool01.contoso.net	sip.contoso.comsip.fabrikam.comdirweb.contoso.netdirweb-ext.contoso.com <主机名称>.contoso.net，例如，池中控制器的 <主机名称> 是 director01 dirpool.contoso.net *.contoso.com	私有	服务器	分配到控制器池中的以下服务器和角色：池中的每部控制器或独立的控制器（未部署控制器池时）。如果 meet 和 dialin 简单 URL 使用以下格式，通配符会取代 meet 和 dialin SAN：<FQDN>/admin <FQDN>/meet <FQDN>/dialin 或 admin.<FQDN> meet.<FQDN> dialin.<FQDN>
企业版前端	pool01.contoso.net（对于负载平衡的池）	sip.contoso.comsip.fabrikam.comlsweb.contoso.netlsweb-ext.contoso.com <主机名称>.contoso.net，例如，池中前端服务器的 <主机名称> 是 fe01 pool01.contoso.net *.contoso.com	私有	服务器	分配到下一个跃点池中的以下服务器和角色：Pool01 中的前端如果 meet 和 dialin 简单 URL 使用以下格式，通配符会取代 meet 和 dialin SAN：<FQDN>/admin <FQDN>/meet <FQDN>/dialin 或 admin.<FQDN> meet.<FQDN> dialin.<FQDN>
标准版前端	se01.contoso.net	sip.contoso.comsip.fabrikam.comlsweb.contoso.netlsweb-ext.contoso.com se01.contoso.net *.contoso.com	私有	服务器	分配到下一个跃点池中的以下服务器和角色：如果 meet 和 dialin 简单 URL 使用以下格式，通配符会取代 meet 和 dialin SAN：<FQDN>/admin<FQDN>/meet <FQDN>/dialin 或 admin.<FQDN> meet.<FQDN> dialin.<FQDN>

Microsoft Exchange Server 2007 和 Exchange Server 2010

安装和配置 Microsoft Exchange Server 时，会创建并实施自签名证书。将 CA 提供的证书添加到服务器时，我们建议您不要删除自签名证书，除非已将所有服务和 Web 服务重新配置为成功使用新证书。在某些组件不能正常运行的情况下，自签名证书仍可用，因此可以重新配置原始设置和还原原始功能，尽管自签名SSL证书将不会允许您需要的所有功能。这样可以在不影响所有生产功能的情况下为您提供更多的时间来解决配置问题。

对于使用 Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署的 Microsoft Exchange Server，此处有四个可能的部署应用场景：

应用场景 1：Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署在不同的服务器上，客户端访问服务器面向 Internet。
应用场景 2：Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器并置在相同的服务器上并且面向 Internet。
应用场景 3：Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署在不同的服务器（具有用于发布的反向代理）上。
应用场景 4：Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器并置在相同的服务器（具有用于发布的反向代理）上。

应用场景 1：Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器部署在不同的服务器上（客户端访问服务器面向 Internet）

Microsoft Exchange 组件	主题名称	SAN 项/顺序	证书颁发机构 (CA)	增强型密钥使用 (EKU)	组件
Exchange 统一消息 (UM)服务器名称：exchum01.contoso.com	exchum01.contoso.com	Exchange UM 角色不应该包含 SAN 项	私有	服务器	Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。必须在 Exchange UM 服务器上启用传输层安全性 (TLS)，才能将证书分配到 Exchange UM 角色。分配该证书，以用于在 Exchange 客户端访问服务器上与 Outlook Web Access 和即时消息 (IM) 集成。
Exchange 客户端访问服务器面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：exchcas01.contoso.com	mail.contoso.com	mail.contoso.comautodiscover.contoso.com*.contoso.com	公共	服务器	主题名称和 SAN 项必须匹配，才能支持外部 UC 设备。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配，可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover SAN 项才能支持外部 UC 设备。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：internalcas01.contoso.net	internalcas01.contoso.com	internalcas01.contoso.com*.contoso.com	私有	服务器	非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务（例如邮箱）的用户或服务，则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 EWS 和脱机通讯簿服务经过配置，可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。

Microsoft Exchange 组件

主题名称

SAN 项/顺序

证书颁发机构 (CA)

增强型密钥使用 (EKU)

组件

Exchange 统一消息 (UM)服务器名称：exchum01.contoso.com

exchum01.contoso.com

Exchange UM 角色不应该包含 SAN 项

私有

服务器

Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。必须在 Exchange UM 服务器上启用传输层安全性 (TLS)，才能将证书分配到 Exchange UM 角色。

分配该证书，以用于在 Exchange 客户端访问服务器上与 Outlook Web Access 和即时消息 (IM) 集成。

Exchange 客户端访问服务器面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：exchcas01.contoso.com

mail.contoso.com

mail.contoso.comautodiscover.contoso.com*.contoso.com

公共

服务器

主题名称和 SAN 项必须匹配，才能支持外部 UC 设备。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配，可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover SAN 项才能支持外部 UC 设备。

Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：internalcas01.contoso.net

internalcas01.contoso.com

internalcas01.contoso.com*.contoso.com

私有

服务器

非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务（例如邮箱）的用户或服务，则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 EWS 和脱机通讯簿服务经过配置，可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。

应用场景 2：Exchange 统一消息 (UM) 和 Exchange 客户端访问服务器并置在相同的服务器（面向 Internet）上

Microsoft Exchange 组件	主题名称	SAN 项/顺序	证书颁发机构 (CA)	增强型密钥使用 (EKU)	组件
Exchange 统一消息 (UM)服务器名称：exchcas01.contoso.com	exchcas01.contoso.com	Exchange UM 角色不应该包含 SAN 项	私有	服务器	Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。必须在 Exchange UM 服务器上启用 TLS，才能将证书分配到 Exchange UM 角色。分配该证书，以用于在客户端访问服务器上与 Outlook Web Access 和 IM 集成。
Exchange 客户端访问服务器和面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：exchcas01.contoso.com	mail.contoso.com	mail.contoso.comautodiscover.contoso.com*.contoso.com	公共	服务器	主题名称和 SAN 项必须匹配，才能支持外部 UC 设备。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配，可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover.<域命名空间> SAN 项才能支持外部 UC 设备。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：internalcas01.contoso.net	internalcas01.contoso.com	internalcas01.contoso.com*.contoso.com	私有	服务器	非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务（例如邮箱）的用户或服务，面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置，可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。

应用场景 3：Exchange 统一消息 (UM)/Exchange 客户端访问服务器部署在不同的服务器（具有用于发布的反向代理）上

Microsoft Exchange 组件	主题名称	SAN 项/顺序	证书颁发机构 (CA)	增强型密钥使用 (EKU)	组件
Exchange 统一消息 (UM)服务器名称：exchum01.contoso.com	exchum01.contoso.com	Exchange UM 角色不应该包含 SAN 项	私有	服务器	Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。必须在 Exchange UM 服务器上启用 TLS，才能将证书分配到 Exchange UM 角色。分配该证书，以用于在客户端访问服务器上与 Outlook Web Access 和 IM 集成。
Exchange 客户端访问服务器服务器名称：exchcas01.contoso.com	exchcas01.contoso.com	exchcas01.contoso.commail.contoso.comautodiscover.contoso.com*.contoso.com	私有	服务器	主题名称和 SAN 项必须匹配，才能支持外部 UC 设备。将私有 CA 根证书导入到每个 Exchange 客户端访问服务器。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配，可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover SAN 项才能支持外部 UC 设备。必须存在计算机名称（在该示例中为 exchcas01.contoso.com）的项，才能与 Outlook Web Access 和 IM 集成。
反向代理服务器名称：rp.contoso.com	mail.contoso.com	mail.contoso.comautodiscover.contoso.com*.contoso.com	公共	服务器	另外，主题名称的匹配项必须在证书的 SAN 内。在反向代理位置终止 TLS 或 SSL 后重新建立客户端访问服务器的 TLS 或 SSL，将导致 UC 设备发生故障。如果要支持 UC 设备，则不能使用某些产品（如 Microsoft Internet Security、Acceleration (ISA) Server 和 Microsoft Forefront Threat Management Gateway）的功能以及其他第三方实施、TLS 或 SSL 终止。必须存在 autodiscover 的 SAN 项，才能使 UC 设备正常运行。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：internalcas01.contoso.com	internalcas01.contoso.com	internalcas01.contoso.com*.contoso.com	私有	服务器	非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询此 Active Directory 站点内承载的服务（例如邮箱）的用户或服务，则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置，可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。

应用场景 4：Exchange 统一消息 (UM)/Exchange 客户端访问服务器并置在相同的服务器（具有用于发布的反向代理）上

Microsoft Exchange 组件	主题名称	SAN 项/顺序	证书颁发机构 (CA)	增强型密钥使用 (EKU)	组件
Exchange 统一消息 (UM)服务器名称：exchum01.contoso.com	exchum01.contoso.com	Exchange UM 角色不应该包含 SAN 项	私有	服务器	Exchange UM 服务器仅与内部客户端和服务器通信。将私有 CA 根证书导入到每个 Exchange UM 服务器。为每个 Exchange UM 服务器创建并分配唯一的证书。主题名称必须与服务器名称匹配。无需使用 SAN。必须在 Exchange UM 服务器上启用 TLS，才能将证书分配到 Exchange UM 角色。
Exchange 客户端访问服务器Exchange 统一消息 (UM)服务器名称：exchcas01.contoso.com	mail.contoso.com	exchcas01.contoso.commail.contoso.comautodiscover.contoso.com*.contoso.com	私有	服务器	主题名称和 SAN 项必须匹配，才能支持外部 UC 设备。将私有 CA 根证书导入到每个 Exchange 客户端访问服务器。主题名称和 SAN 项 mail.contoso.com 是用于表示 Outlook Web Access、Outlook 无处不在、EWS 和脱机通讯簿的一个示例名称。唯一的要求是该项必须与 DNS 记录匹配，可以由给定名称引用外部 URL 和其他服务项。需要使用 autodiscover SAN 项才能支持外部 UC 设备。必须存在计算机名称（在该示例中为 exchcas01.contoso.com）的项，才能与 Outlook Web Access 和 IM 集成。
反向代理服务器名称：rp.contoso.com	mail.contoso.com	mail.contoso.comautodiscover.contoso.com*.contoso.com	公共	服务器	另外，主题名称的匹配项必须在证书的 SAN 内。在反向代理位置终止 TLS 或 SSL 后重新建立至客户端访问服务器的 TLS 或 SSL，将导致 UC 设备发生故障。如果要支持 UC 设备，则不能使用某些产品（如 ISA Server 和 Forefront Threat Management Gateway (TMG)）的功能，以及其他第三方实施、TLS 或 SSL 终止。必须存在 autodiscover 的 SAN 项，才能使 UC 设备正常运行。
Exchange 客户端访问服务器非面向 Internet 的 Active Directory 站点客户端访问服务器服务器名称：internalcas01.contoso.com	internalcas01.contoso.com	internalcas01.contoso.com*.contoso.com	私有	服务器	非面向 Internet 的 Active Directory 站点客户端访问服务器仅与内部客户端和服务器通信。如果请求来自查询 Active Directory 站点内承载的服务（例如邮箱）的用户或服务，则面向 Internet 的 Active Directory 站点客户端访问服务器会将通信代理到该客户端访问服务器。非面向 Internet 的 Active Directory 站点上的 Exchange Web 服务和脱机通讯簿服务经过配置，可使用已部署的证书。该证书可以来自内部的私有 CA。该私有 CA 的根证书必须导入到面向 Internet 的 Active Directory 站点客户端访问服务器上的“受信任的第三方根证书”存储区。