Benutzer mit den meisten Antworten
Lync Edge Zertifikat

Frage
-
Hallo zusammen,
wir planen einen Rollout von Lync und haben während der Testphase auf unserem Edge Server ein bereits vorhandenes Wildcard Zertifikat eingesetzt. Um hier aber Ordnung zu schaffen sollte natürlich ein passendes Zertifikat angeschafft werden, nun meine Frage, was genau wird hier benötigt?
Zu unserer Struktur:
Wir haben mehrere SIP-Domains (contoso.com, contoso.de...) und der Edge Server läuft komplett auf sip.contoso.net. Die Zuweisung erfolgt im externen DNS via passendem SRV Records auf den .de und .com Domains.
Welche Eigenschaft muss das benötigte Zertifikat nun erfüllen, um z.B. auch die Federation zu MS bezüglich Push einzugehen? Welche SANs werden erwartet? Und welcher Anbieter wäre zu empfehlen, wenn man nicht grade tausende Euros ausgeben möchte?
Danke für Eure Unterstützung
- Typ geändert Raul TalmaciuMicrosoft contingent staff Donnerstag, 17. Mai 2012 13:51 Warten auf Feeback
- Typ geändert Holger Bunkradt Sonntag, 12. April 2015 10:48 ist eine frage
Samstag, 5. Mai 2012 07:50
Antworten
-
Als Provider könnte ich Godaddy empfehelen, hier kann mandie SAN auch noch nachträglich wieder ändern.
Da ja auch für den Reverse Proxy ein publich Certificate benötigt wird könnte man diese SAN gleich mit integrieren.
Wenn mit automatischen login gearbeitet wird, benötigt man für jede SIP Domäne einen SAN Eintrag.
also Zertifikat Name sip.contoso.net
SAN
sip.contoso.net, sip.contoso.de,sip,contoso.com usw
web.contoso.net (webaccess)
rp.contoso.net (reverseproxy)
lyncdiscover.contoso.net (mobile)
dialin.contoso.net
meet.contoso.net (hier für genauso für die vorhandenen Domänen)
ansonsten hilft sicherlich die Seite von Fran Carius weiter
http://www.msxfaq.de/lync/lynczertifikate.htm
regards Holger Technical Specialist UC
- Als Antwort markiert Holger Bunkradt Sonntag, 12. April 2015 10:48
Samstag, 5. Mai 2012 10:46
Alle Antworten
-
Als Provider könnte ich Godaddy empfehelen, hier kann mandie SAN auch noch nachträglich wieder ändern.
Da ja auch für den Reverse Proxy ein publich Certificate benötigt wird könnte man diese SAN gleich mit integrieren.
Wenn mit automatischen login gearbeitet wird, benötigt man für jede SIP Domäne einen SAN Eintrag.
also Zertifikat Name sip.contoso.net
SAN
sip.contoso.net, sip.contoso.de,sip,contoso.com usw
web.contoso.net (webaccess)
rp.contoso.net (reverseproxy)
lyncdiscover.contoso.net (mobile)
dialin.contoso.net
meet.contoso.net (hier für genauso für die vorhandenen Domänen)
ansonsten hilft sicherlich die Seite von Fran Carius weiter
http://www.msxfaq.de/lync/lynczertifikate.htm
regards Holger Technical Specialist UC
- Als Antwort markiert Holger Bunkradt Sonntag, 12. April 2015 10:48
Samstag, 5. Mai 2012 10:46 -
Haben Sie mit einem Godaddy Zertifikat eine Federation zu Office 365 aufbauen können (zwecks Push)? Nach meinen Recherchen gibt es nur wenige CAs, die dafür infrage kommen: http://support.microsoft.com/kb/929395
Welche Auswirkungen hat es, wenn außer den SIP URLs alle anderen URLs weiterhin über das Wildcard Zertifikat laufen? Bisher konnte ich beim Starten des Clients feststellen, dass es sich über das *.contoso.com Zertifikat des Mailservers muckiert, lyncdiscover scheint hier bisher aber kein Problem zu haben.
Samstag, 5. Mai 2012 11:12 -
Wir verwenden auch Android, Iphone, Ipad Lync apps sowie eine Federation mit Microsoft ohne Probleme.
Sollten Sie für Voice Enterprise auch Aries Phones einsetztenj werden hier Wildcard Zertifikate nicht unterstützt.
Ansonsten, wenn Sie Kosten sparen wollen, verwenden Sie eine Gruppenrichtlinie um die Lync Clients manuell zu konfigurieren.
Das würde natürlich auch bei den Mobile Clients funktionieren.
Generell gibt es immer ein Problem mit den DNS Einträgen wenn der SRV Record auf eine andere Domäne verweist.
regards Holger Technical Specialist UC
- Bearbeitet Holger Bunkradt Samstag, 5. Mai 2012 11:33
Samstag, 5. Mai 2012 11:32 -
Hallo,
aus bereits angesprochenem Grund würde ich GoDaddy nicht empfehlen. Federationen mit Office365 Partnern führen zu Problemen.
Es gibt ebenfalls Probleme bei der Federation mit MSN.
Deswegen ist GoDaddy auch nicht auf der Liste der unterstützten CA's!
Außerdem sollte für den Reverse Proxy ein eigenes Zertifikat verwendet werden (Technet MS) Dieses müßte im SAN die URL der externen Lync Webdienste enthalten (meet... dialin ... oder eben einen selbsterstellen Namen) und für mobility auch noch lyncdiscover. DOMAIN.
Wenn es nicht gerade Verisign sein muss, würde ich von der CA Liste Thawte empfehlen.
UC Blog http://blogs.pepperhost.de
Samstag, 5. Mai 2012 14:51 -
aus bereits angesprochenem Grund würde ich GoDaddy nicht empfehlen. Federationen mit Office365 Partnern führen zu Problemen.
Es gibt ebenfalls Probleme bei der Federation mit MSN.
Deswegen ist GoDaddy auch nicht auf der Liste der unterstützten CA's!
Außerdem sollte für den Reverse Proxy ein eigenes Zertifikat verwendet werden (Technet MS) Dieses müßte im SAN die URL der externen Lync Webdienste enthalten (meet... dialin ... oder eben einen selbsterstellen Namen) und für mobility auch noch lyncdiscover. DOMAIN.
Wenn es nicht gerade Verisign sein muss, würde ich von der CA Liste Thawte empfehlen.
UC Blog http://blogs.pepperhost.de
Wir hatten bis jetzt kein Problem weder mit MSN noch mit Office 365. Allerdings stimme ich Falk zu, es ist natürlich immer am sichersten eine entsprechende public CA von der MS Liste zu nehmen.
http://support.microsoft.com/kb/929395/en-us
Es gibt aber keinen technischen Grund warum nicht ein Zertifikat für Edge und den Reverse Proxy verwendet werden kann, außer man möchte aus Sicherheitsgründen beide Zertifikate von einander trennen.
regards Holger Technical Specialist UC
Samstag, 5. Mai 2012 16:02 -
Hallo,
ist die Thematik noch aktuell?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.Mittwoch, 16. Mai 2012 14:10 -
Hallo zusammen,
wir sind gerade dabei die Mobility Services auf einer Lync Installation, mit Standardserver, Edge und TMG ReverseProxy, zu veröffentlichen. Dabei stoßen wir auf das Problem, dass wir ein SAN Zertifikat für 5 Domänen gekauft haben und nun mit dem Eintrag "Lyncdiscover.domain.tld" auf 6 Einträge kommen würden.
Unsere Idee war nun, aus dem vorhandenen SAN Zertifikat, den Eintrag "dialin.domain.tld" herauszunehmen und durch "Lyncdiscover.domain.tld" zu ersetzen, was kostenfrei möglich wäre. Die Lync Installation soll, bis auf weiteres, kein Enterprise Voice oder Einwahlkonferenzen zur Verfügung stellen.
Wird in einen solchen Szenario die "dialin.domain.tld" überhaupt benutzt?
Viele Grüße
Rene
Donnerstag, 18. Oktober 2012 09:18 -
Hallo ReneDa,
die Dialin Page dient zur Administration durch den Lync User und enthält die User Hilfe für die Konferenzeinwahl.
Es würde also ein Webfehler auftreten wenn der externe Lync User im Lync auf Pin ändern gehen würde oder ein externer Konferenz Teilnehmer in der Lync Meeting Einladung auf den Link klickt um sich alle Einwahlrufnummern anzeigen zu lassen.
Da zur Zeit diese Funktion nicht genutzt werden soll, wäre es natürlich möglich die SAN zu ändern
regards Holger Technical Specialist UC
Sonntag, 21. Oktober 2012 09:39