locked
Lync Edge Zertifikat RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    wir planen einen Rollout von Lync und haben während der Testphase auf unserem Edge Server ein bereits vorhandenes Wildcard Zertifikat eingesetzt. Um hier aber Ordnung zu schaffen sollte natürlich ein passendes Zertifikat angeschafft werden, nun meine Frage, was genau wird hier benötigt?

    Zu unserer Struktur:

    Wir haben mehrere SIP-Domains (contoso.com, contoso.de...) und der Edge Server läuft komplett auf sip.contoso.net. Die Zuweisung erfolgt im externen DNS via passendem SRV Records auf den .de und .com Domains.

    Welche Eigenschaft muss das benötigte Zertifikat nun erfüllen, um z.B. auch die Federation zu MS bezüglich Push einzugehen? Welche SANs werden erwartet? Und welcher Anbieter wäre zu empfehlen, wenn man nicht grade tausende Euros ausgeben möchte?

    Danke für Eure Unterstützung

    Samstag, 5. Mai 2012 07:50

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Als Provider könnte ich Godaddy empfehelen, hier kann mandie SAN auch noch nachträglich wieder ändern.

    Da ja auch für den Reverse Proxy ein publich Certificate benötigt wird könnte man diese SAN gleich mit integrieren.

    Wenn mit automatischen login gearbeitet wird, benötigt man für jede SIP Domäne einen SAN Eintrag.

    also Zertifikat Name sip.contoso.net

    SAN

    sip.contoso.net, sip.contoso.de,sip,contoso.com usw

    web.contoso.net (webaccess)

    rp.contoso.net (reverseproxy)

    lyncdiscover.contoso.net (mobile)

    dialin.contoso.net

    meet.contoso.net (hier für genauso für die vorhandenen Domänen)

    ansonsten hilft sicherlich die Seite von Fran Carius weiter

    http://www.msxfaq.de/lync/lynczertifikate.htm

    regards Holger Technical Specialist UC

    Samstag, 5. Mai 2012 10:46

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Als Provider könnte ich Godaddy empfehelen, hier kann mandie SAN auch noch nachträglich wieder ändern.

    Da ja auch für den Reverse Proxy ein publich Certificate benötigt wird könnte man diese SAN gleich mit integrieren.

    Wenn mit automatischen login gearbeitet wird, benötigt man für jede SIP Domäne einen SAN Eintrag.

    also Zertifikat Name sip.contoso.net

    SAN

    sip.contoso.net, sip.contoso.de,sip,contoso.com usw

    web.contoso.net (webaccess)

    rp.contoso.net (reverseproxy)

    lyncdiscover.contoso.net (mobile)

    dialin.contoso.net

    meet.contoso.net (hier für genauso für die vorhandenen Domänen)

    ansonsten hilft sicherlich die Seite von Fran Carius weiter

    http://www.msxfaq.de/lync/lynczertifikate.htm

    regards Holger Technical Specialist UC

    Samstag, 5. Mai 2012 10:46
  • Question
    Anmelden
    0
    Anmelden

    Haben Sie mit einem Godaddy Zertifikat eine Federation zu Office 365 aufbauen können (zwecks Push)? Nach meinen Recherchen gibt es nur wenige CAs, die dafür infrage kommen: http://support.microsoft.com/kb/929395

    Welche Auswirkungen hat es, wenn außer den SIP URLs alle anderen URLs weiterhin über das Wildcard Zertifikat laufen? Bisher konnte ich beim Starten des Clients feststellen, dass es sich über das *.contoso.com Zertifikat des Mailservers muckiert, lyncdiscover scheint hier bisher aber kein Problem zu haben.

    Samstag, 5. Mai 2012 11:12
  • Question
    Anmelden
    0
    Anmelden

    Wir verwenden auch Android, Iphone, Ipad Lync apps sowie eine Federation mit Microsoft ohne Probleme.

    Sollten Sie für Voice Enterprise auch Aries Phones einsetztenj werden hier Wildcard Zertifikate nicht unterstützt.

    Ansonsten, wenn Sie Kosten sparen wollen, verwenden Sie eine Gruppenrichtlinie um die Lync Clients manuell zu konfigurieren.

    Das würde natürlich auch bei den Mobile Clients funktionieren.

    Generell gibt es immer ein Problem mit den DNS Einträgen wenn der SRV Record auf eine andere Domäne verweist.

    regards Holger Technical Specialist UC


    Samstag, 5. Mai 2012 11:32
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    aus bereits angesprochenem Grund würde ich GoDaddy nicht empfehlen. Federationen mit Office365 Partnern führen zu Problemen.

    Es gibt ebenfalls Probleme bei der Federation mit MSN.

    Deswegen ist GoDaddy auch nicht auf der Liste der unterstützten CA's!

    Außerdem sollte für den Reverse Proxy ein eigenes Zertifikat verwendet werden (Technet MS) Dieses müßte im SAN die URL der externen Lync Webdienste enthalten (meet... dialin ... oder eben einen selbsterstellen Namen) und für mobility auch noch lyncdiscover. DOMAIN.

    Wenn es nicht gerade Verisign sein muss, würde ich von der CA Liste Thawte empfehlen.

    UC Blog http://blogs.pepperhost.de

    Samstag, 5. Mai 2012 14:51
  • Question
    Anmelden
    0
    Anmelden

    aus bereits angesprochenem Grund würde ich GoDaddy nicht empfehlen. Federationen mit Office365 Partnern führen zu Problemen.

    Es gibt ebenfalls Probleme bei der Federation mit MSN.

    Deswegen ist GoDaddy auch nicht auf der Liste der unterstützten CA's!

    Außerdem sollte für den Reverse Proxy ein eigenes Zertifikat verwendet werden (Technet MS) Dieses müßte im SAN die URL der externen Lync Webdienste enthalten (meet... dialin ... oder eben einen selbsterstellen Namen) und für mobility auch noch lyncdiscover. DOMAIN.

    Wenn es nicht gerade Verisign sein muss, würde ich von der CA Liste Thawte empfehlen.

    UC Blog http://blogs.pepperhost.de

    Wir hatten bis jetzt kein Problem weder mit MSN noch mit Office 365. Allerdings stimme ich Falk zu, es ist natürlich immer am sichersten eine entsprechende public CA von der MS Liste zu nehmen.

    http://support.microsoft.com/kb/929395/en-us

    Es gibt aber keinen technischen Grund warum nicht ein Zertifikat für Edge und den Reverse Proxy verwendet werden kann, außer man möchte aus Sicherheitsgründen beide Zertifikate von einander trennen.

    regards Holger Technical Specialist UC

    Samstag, 5. Mai 2012 16:02
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ist die Thematik noch aktuell?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 16. Mai 2012 14:10
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    wir sind gerade dabei die Mobility Services auf einer Lync Installation, mit Standardserver, Edge und TMG ReverseProxy, zu veröffentlichen. Dabei stoßen wir auf das Problem, dass wir ein SAN Zertifikat für 5 Domänen gekauft haben und nun mit dem Eintrag "Lyncdiscover.domain.tld" auf 6 Einträge kommen würden.

    Unsere Idee war nun, aus dem vorhandenen SAN Zertifikat, den Eintrag "dialin.domain.tld" herauszunehmen und durch "Lyncdiscover.domain.tld" zu ersetzen, was kostenfrei möglich wäre. Die Lync Installation soll, bis auf weiteres, kein Enterprise Voice oder Einwahlkonferenzen zur Verfügung stellen.

    Wird in einen solchen Szenario die  "dialin.domain.tld"  überhaupt benutzt?

    Viele Grüße

    Rene

    Donnerstag, 18. Oktober 2012 09:18
  • Question
    Anmelden
    0
    Anmelden

    Hallo ReneDa,

    die Dialin Page dient zur Administration durch den Lync User und enthält die User Hilfe für die Konferenzeinwahl.

    Es würde also ein Webfehler auftreten wenn der externe Lync User im Lync auf Pin ändern gehen würde oder ein externer Konferenz Teilnehmer in der Lync Meeting Einladung auf den Link klickt um sich alle Einwahlrufnummern anzeigen zu lassen.

    Da zur Zeit diese Funktion nicht genutzt werden soll, wäre es natürlich möglich die SAN zu ändern

    regards Holger Technical Specialist UC

    Sonntag, 21. Oktober 2012 09:39