none
использование wildcard сертификата на lync 2010 RRS feed

  • Вопрос

  • Добрый день! Прошу скинуть ссылку на официальную информацию по вопросу использования wildcard сертификата на lync 2010. Или сообщите насколько корректно можно использовать wildcard сертификата на lync 2010.
    15 сентября 2014 г. 9:03

Ответы

  • Внимательно читайте для каких сервисов он поддерживается, а для каких нет.

    Wildcard certificate support in Lync Server 2013

    Certificate requirements for external user access in Lync Server 2013


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Изменено Oleg.KovalenkoModerator 15 сентября 2014 г. 9:12
    • Предложено в качестве ответа Anton MasyanMVP 15 сентября 2014 г. 13:06
    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:45
    15 сентября 2014 г. 9:09
    Модератор
  • *.domain.com

    Вот вам пример подстановочного знака.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:45
    15 сентября 2014 г. 10:16
  • Рекомендую читать оригинальный текст, а не машинный перевод. 

    После машинного перевода, такой бред получается.

    There is no support for a wildcard entry as the subject name (also referred to as the common name or CN) for any role. The following server roles are supported when using wildcard entries in the SAN

    Смотрите примеры по внешним (Certificate requirements for external user access in Lync Server 2013) и внутренним (Certificate requirements for internal servers in Lync Server 2013) подключениям.
    В столбцах вы увидите имена с Wildcard сертификатами.
    Обратите внимание на поля SN и SAN.

    SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

    Using a wildcard certificate:

    SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

    Если вы почитаете про сертификаты в общем, то обратите внимание.
    SN = subject name (also referred to as the common name or CN)
    SAN = subject alternative name

    Проще говоря назавание сертификата SN/CN не может быть *.domain.com, а только sip.domain.com.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Изменено Oleg.KovalenkoModerator 15 сентября 2014 г. 10:39
    • Предложено в качестве ответа Anton MasyanMVP 15 сентября 2014 г. 13:06
    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 10:30
    Модератор
  • Резюмируя подробный ответ Олега скажу:

    Wildcard сертификат в рамках организации Lync можно использовать на обратном прокси для публикации веб-сервисов Lync. Во всех остальных случаях это должен быть SAN сертификат, выпущенный внутренним CA для внутренних ролей и коммерческий для Lync Edge.

    Как то так :)

    Все это относится к поддерживаемым вендором решениям. Использование Wildcard сертификата на Lync Front End и/или Lync Edge является неподдерживаемым и может вызвать проблемы функционирования.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 11:03
  • Но данная информация про сертификаты wildcard описана для lync 2013, а для lync 2010 она аналогична?

    Аналогична.

    Также эта информация касается локально развернутого сервера lync 2010\2013. А если планируется гибридное развертывание Lync 2010+Lync online в облаке Office 365.Относится ли данная информация по сертификатам wildcard к  такой структуре?

    Аналогична и обязательна.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 11:15
    Модератор
  • 1)правильно ли я понимаю:  если Wildcard  сертификат выдан на *.domain.net? то для sip.domain net он работать не будет

    Да, на edge НЕ БУДЕТ РАБОТАТЬ, так как служба не запустится из-за не правильного имени.

    2)и например для обратного прокси нужны сертификаты  для служб meet.domain.net и webconf.domain.ua, то поскольку Wildcard  выдается на одно доменное имя), то тоже Wildcard в данном случае не подходит?

    Request and configure a certificate for your reverse HTTP proxy in Lync Server 2013

    3)Но если Url-адреса привести к одному доменному именованию, то можно ли :На внутреннем PKI выдать SAN сертификат для Lync со всеми именами 

    На внутреннем интерфейсе не составит труда создать те имена сертификатов которые нужны, так как выдаются на локальном PKi сервере.

    Пример алгоритма сертификата для RP

    Certificate summary - Reverse proxy in Lync Server 2013

    ЗЫ. Читайте в документации все написано.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 13:40
    Модератор

Все ответы

  • Внимательно читайте для каких сервисов он поддерживается, а для каких нет.

    Wildcard certificate support in Lync Server 2013

    Certificate requirements for external user access in Lync Server 2013


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Изменено Oleg.KovalenkoModerator 15 сентября 2014 г. 9:12
    • Предложено в качестве ответа Anton MasyanMVP 15 сентября 2014 г. 13:06
    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:45
    15 сентября 2014 г. 9:09
    Модератор
  • объясните, пожалуйста, значение следующей фразы:

    "Ни для одной из ролей нет поддержки записи с подстановочными знаками в качестве имени субъекта (которое также называется общим именем). При использовании записей с подстановочными знаками в альтернативном имени субъекта поддерживаются следующие роли сервера"

    что значит с подстановочными знаками? может пример приведете?

    15 сентября 2014 г. 10:00
  • *.domain.com

    Вот вам пример подстановочного знака.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:45
    15 сентября 2014 г. 10:16
  • Рекомендую читать оригинальный текст, а не машинный перевод. 

    После машинного перевода, такой бред получается.

    There is no support for a wildcard entry as the subject name (also referred to as the common name or CN) for any role. The following server roles are supported when using wildcard entries in the SAN

    Смотрите примеры по внешним (Certificate requirements for external user access in Lync Server 2013) и внутренним (Certificate requirements for internal servers in Lync Server 2013) подключениям.
    В столбцах вы увидите имена с Wildcard сертификатами.
    Обратите внимание на поля SN и SAN.

    SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

    Using a wildcard certificate:

    SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

    Если вы почитаете про сертификаты в общем, то обратите внимание.
    SN = subject name (also referred to as the common name or CN)
    SAN = subject alternative name

    Проще говоря назавание сертификата SN/CN не может быть *.domain.com, а только sip.domain.com.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Изменено Oleg.KovalenkoModerator 15 сентября 2014 г. 10:39
    • Предложено в качестве ответа Anton MasyanMVP 15 сентября 2014 г. 13:06
    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 10:30
    Модератор
  • Резюмируя подробный ответ Олега скажу:

    Wildcard сертификат в рамках организации Lync можно использовать на обратном прокси для публикации веб-сервисов Lync. Во всех остальных случаях это должен быть SAN сертификат, выпущенный внутренним CA для внутренних ролей и коммерческий для Lync Edge.

    Как то так :)

    Все это относится к поддерживаемым вендором решениям. Использование Wildcard сертификата на Lync Front End и/или Lync Edge является неподдерживаемым и может вызвать проблемы функционирования.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 11:03
  • Большое спасибо. Но данная информация про сертификаты wildcard описана для lync 2013, а для lync 2010 она аналогична? Также эта информация касается локально развернутого сервера lync 2010\2013. А если планируется гибридное развертывание Lync 2010+Lync online в облаке Office 365.Относится ли данная информация по сертификатам wildcard к  такой структуре?
    15 сентября 2014 г. 11:09
  • Но данная информация про сертификаты wildcard описана для lync 2013, а для lync 2010 она аналогична?

    Аналогична.

    Также эта информация касается локально развернутого сервера lync 2010\2013. А если планируется гибридное развертывание Lync 2010+Lync online в облаке Office 365.Относится ли данная информация по сертификатам wildcard к  такой структуре?

    Аналогична и обязательна.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 11:15
    Модератор
  • Certificate requirements for internal servers and CertificateRequest Script

    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    15 сентября 2014 г. 13:05
    Модератор
  • Прошу еще прокоментировать правильно ли я понимаю следующую информацию(как-то немного запуталась):

    "here is no support for a wildcard entry as the subject name (also referred to as the common name or CN) for any role. The following server roles are supported when using wildcard entries in the SAN:

             Reverse proxy.   Wildcard SAN entry is supported for Simple URL (meet and dialin) publishing certificate

    Reverse proxy.   Wildcard SAN entry is supported for the SAN entries for LyncDiscover on the publishing certificate

    1)правильно ли я понимаю:  если Wildcard  сертификат выдан на *.domain.net? то для sip.domain net он работать не будет, так как не поддерживается подстановочные знаки в СN (subject name) и в альтернативных именах нельзя будет прописать webconf или можно любые SAN прописывать имеющие окончание .domain.net? 

    2)и например для обратного прокси нужны сертификаты  для служб meet.domain.net и webconf.domain.ua, то поскольку Wildcard  выдается на одно доменное имя), то тоже Wildcard в данном случае не подходит?

    3)Но если Url-адреса привести к одному доменному именованию, то можно ли :На внутреннем PKI выдать SAN сертификат для Lync со всеми именами или внутренний Wildcard сертификат , а внешний Wildcard использовать на External Network Card в Edge и в Reverse Proxy?

    15 сентября 2014 г. 13:23
  • 1)правильно ли я понимаю:  если Wildcard  сертификат выдан на *.domain.net? то для sip.domain net он работать не будет

    Да, на edge НЕ БУДЕТ РАБОТАТЬ, так как служба не запустится из-за не правильного имени.

    2)и например для обратного прокси нужны сертификаты  для служб meet.domain.net и webconf.domain.ua, то поскольку Wildcard  выдается на одно доменное имя), то тоже Wildcard в данном случае не подходит?

    Request and configure a certificate for your reverse HTTP proxy in Lync Server 2013

    3)Но если Url-адреса привести к одному доменному именованию, то можно ли :На внутреннем PKI выдать SAN сертификат для Lync со всеми именами 

    На внутреннем интерфейсе не составит труда создать те имена сертификатов которые нужны, так как выдаются на локальном PKi сервере.

    Пример алгоритма сертификата для RP

    Certificate summary - Reverse proxy in Lync Server 2013

    ЗЫ. Читайте в документации все написано.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Помечено в качестве ответа mriyato 15 сентября 2014 г. 13:44
    15 сентября 2014 г. 13:40
    Модератор
  • я стараюсь резюмировать изученную информацию, прошу прокомментировать мои выводы и ответить на вопросы.

    1) здесь указано  Wildcard certificate support in Lync Server 2013 что на сервера lync (Front End Server,directors и mediation) можно установить внутренние Wildcard сертификаты. Я права?

    2)на ресурсах microsoft я не нашла информации о возможности использования Wildcard сертификатов для внешних интерфейсов Edge сервера.

    здесь указано, что на обратном прокси можно использовать Wildcard сертификаты, но не указано на каких интерфейсах.

    Но здесь указано, что на внешние интерфейсы Edge сервера и обратного прокси можно установить внешние Wildcard сертификаты (на внутренние интерфейсы, как я понимаю можно установить внутренние Wildcard сертификаты ).  ри этом будут проблемы с федеративными партнерами и интеграцией с публичными сервисами типа MSN. Так ли это?

    3)  на какое имя вообще выдается Wildcard сертификат на domain.net или *.domain.net?

    4)Сейчас существует сертификат для  Edge сервера:

    кому выдан         кем выдан       SAN

    sip.domain.net     geotrust    sip.domain.net,sip.domain.ua,webconf.domain.ua,webconf.domain.net

    если получить Wildcard сертификаты на domain.net как будут выглядеть записи в указанных столбцах?

    "кому выдан" будет sip.domain.net или domain.net?

    в "SAN" будут sip.domain.net,webconf.domain.net или *.domain.net, а sip.domain.ua,webconf.domain.ua работать не будут?

    15 сентября 2014 г. 18:37