none
Teams Direct Routing & SBC public Certificate RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hello.

    A customer wants to set up Direct Routing for Teams with an onPrem SBC.
    I know the requirement of the certificate (CN, SAN, etc.), but the certificate the customer wants to use, is a certificate for several services (SfB onPrem with Hybrid deployment, etc.), so the question is:

    Can we use a SAN certificate where the CN is different to the SBC external DNS Host A record, but the SBC external DNS is ONLY in the SAN entry?
    Example:

    CN=sip.contoso.com (for SfB onPrem)
    SAN1=xxx.contoso.com
    SAN2=sbc.contoso.com (DNS for the SBC)
    SAN3=yyy.contoso.com
    SANx=...

    So the question is: can MS work with this kind of public certificate ?? Can the DR be sucessfully established with this kind of certificate?

    Thanks
    Frank

    Donnerstag, 3. September 2020 15:20
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    da es supported ist, mehrere SBCs mit einem Zertifikat zu versehen, wäre es quasi das Szenario "primärer SBC hört auf sip.contoso.com, zusätzlicher SBC hört auf sbc.contoso.com". Den Primären gibt es nicht, aber das weiß Teams ja nicht ;-)

    Insofern ja, ich würde es damit probieren. Wenn Du 100% auf Nummer sicher gehen willst, weißt Du ja, was Du zu tun hast ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert FrankZie Donnerstag, 8. Oktober 2020 07:17
    Montag, 7. September 2020 10:27
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Kannst du bitte im deutschen User-Forum die Frage auf deutsch wiederholen?
    Donnerstag, 3. September 2020 15:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja klar.

    Hallo.

    ein Kunde möchte Direct Routing für Teams mit einem onPrem SBC konfigurieren.
    Das SBC onPrem Zertifikat soll für mehrere Dienste sein, z.B. SfB inPrem Hybrid Deployment, Exchange, etc.
    Die Frage ist:
    Können wir ein Zertifikat nutzen, welches lediglich im SAN den DNS Eintrag für den onPrem SBC hat:
    Beispiel:
    CN=sip.contoso.com (für SfB onPrem)
    SAN1=xxx.contoso.com
    SAN2=sbc.contoso.com (DNS für den SBC)
    SAN3=yyy.contoso.com
    SANx=...
    Kann solch ein öffentliches Zertifikat hergenommen werden? Kann DR erfolgreich funktionieren mit diesem Zertifikat oder MUSS der CN dem DNS Eintrag entsprechen?

    Vielen Dank
    Frank

    Montag, 7. September 2020 08:07
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    da es supported ist, mehrere SBCs mit einem Zertifikat zu versehen, wäre es quasi das Szenario "primärer SBC hört auf sip.contoso.com, zusätzlicher SBC hört auf sbc.contoso.com". Den Primären gibt es nicht, aber das weiß Teams ja nicht ;-)

    Insofern ja, ich würde es damit probieren. Wenn Du 100% auf Nummer sicher gehen willst, weißt Du ja, was Du zu tun hast ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert FrankZie Donnerstag, 8. Oktober 2020 07:17
    Montag, 7. September 2020 10:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    danke für Dein Response.

    Genau DAS dachte ich auch, dass es so funktionieren könnte (DNS Name NUR in einem SAN entry). SIP OPTIONS laufen jedoch nocht nicht von MS zurück zum onPrem SBC. Firewall sollte offen sein.
    Ich glaube ich muss noch etwas Grundlagenforschung betreiben, bevor ich ein neues Zertifikat beim Kunde beantrage in dem lediglich der DNS FQDN für den SBC enthalten ist.

    Ich gebe Feedback.

    Gruß
    Frank

    Mittwoch, 9. September 2020 11:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe nun getestet, es funktioniert.
    Teams DR akzeptiert den DNS FQDS für den Kunden-SBC auch dann, wenn er lediglich im SAN Eintrag enthalten ist.
    Er muss nicht zwingend im CN stehen, auch ein Wildcard Zertifikat würde funkionieren.

    Gruß
    Frank

    Donnerstag, 8. Oktober 2020 07:16
    |