none
lync 2013. Вопрос по сертификатам. RRS feed

  • Вопрос

  • Здравствуйте.

    Установил в локальной сети lync 2013 front . Клиенты коннектятся, разговаривают. Вроде всё работает. Сейчас задача установить edge сервер.

    Я понимаю что нужен только один внешний сертификат с именем sip.tricolor.tv и san lyncwebcon.tricolor.tv. Но у нас куплен сертификат *.tricolor.tv выданный comodo. Могу я использовать его?

    и еще вопрос. Одного сертификата на lync edge сервере достаточно?



    26 июня 2013 г. 7:59

Ответы

  • Добрый день,

    Wildcard * сертификаты не поддерживаются на внешнем интрефейсе Lync Edge.
    Вам необходимо один сертификат с 3 именами в SAN или 3 отдельных сертификата.
    Детали смотрите
    http://technet.microsoft.com/en-us/library/gg413010.aspx

    • Помечено в качестве ответа Alexandrovavav 26 июня 2013 г. 8:43
    26 июня 2013 г. 8:19
  • sip.fabricam.com необходима если у вас несколько sip доменов.

    Сертификат для внутреннего интрерфейса с FQDN сервера в SN(srv-off-edge.nsc.ru).


    Requirements for the private (or public) certificate used for the Edge internal interface are as follows:

    • The certificate can be issued by an internal CA or an approved public certificate CA.
    • The subject name of the certificate is typically the Edge internal interface FQDN or hardware load balancer VIP (for example, lsedge.contoso.com). However, you can use a wildcard certificate on the Edge internal.
    • No subject alternative name list is required.

      http://technet.microsoft.com/en-us/library/gg398920.aspx


    • Помечено в качестве ответа Alexandrovavav 26 июня 2013 г. 10:53
    26 июня 2013 г. 9:12
  • работать в принципе будет. Дополнительно необходимо настроить еще маршрутизацию через внутр. ip к клиентам линка, если они в сети отличной от 172.16.0.x

    не рекомендуется использовать один ip на внешнем интерфейсе, возможны сложности с портами
    http://technet.microsoft.com/en-us/library/gg412787.aspx
    • Помечено в качестве ответа Alexandrovavav 26 июня 2013 г. 13:39
    26 июня 2013 г. 13:15

Все ответы

  • Добрый день,

    Wildcard * сертификаты не поддерживаются на внешнем интрефейсе Lync Edge.
    Вам необходимо один сертификат с 3 именами в SAN или 3 отдельных сертификата.
    Детали смотрите
    http://technet.microsoft.com/en-us/library/gg413010.aspx

    • Помечено в качестве ответа Alexandrovavav 26 июня 2013 г. 8:43
    26 июня 2013 г. 8:19
  • а я читал что кроме сертификата выданного внешним центром сертификации (comodo...) нужен еще внутренний сертификат выданный моим внутренним центром сертификации (привязанный к внутреннему интерфейсу) или достаточно одного?
    26 июня 2013 г. 8:49
  • а я читал что кроме сертификата выданного внешним центром сертификации (comodo...) нужен еще внутренний сертификат выданный моим внутренним центром сертификации (привязанный к внутреннему интерфейсу) или достаточно одного?

    Читаю вашу ссылку. Спасибо . Не понятно что у них за запись sip.fabricam.com . Зачем она нужна если есть sip.contoso.com?

    И по второму сертификату. Там прописывается fqdn edge сервера. Так как он не в домене я ему прописал суффикс nsc.ru . nsc.ru это наш внутренний домен. На него делать сертификат? Получется сервер srv-off-edge.nsc.ru или надо прописывать внешний суффикс tricolor.tv? И выдавать сертификат на srv-off-edge.tricolor.tv?

    26 июня 2013 г. 8:58
  • sip.fabricam.com необходима если у вас несколько sip доменов.

    Сертификат для внутреннего интрерфейса с FQDN сервера в SN(srv-off-edge.nsc.ru).


    Requirements for the private (or public) certificate used for the Edge internal interface are as follows:

    • The certificate can be issued by an internal CA or an approved public certificate CA.
    • The subject name of the certificate is typically the Edge internal interface FQDN or hardware load balancer VIP (for example, lsedge.contoso.com). However, you can use a wildcard certificate on the Edge internal.
    • No subject alternative name list is required.

      http://technet.microsoft.com/en-us/library/gg398920.aspx


    • Помечено в качестве ответа Alexandrovavav 26 июня 2013 г. 10:53
    26 июня 2013 г. 9:12
  • спасибо что помогаете.

    У меня еще один вопрос. Сервер lync front имеет адрес 172.16.0.185.

    172.16.0.x - это диапазон внутренней сети

    у lync edge два интерфейса внешний 10.111.111.5 он будет натиться (nat) в белый Ip и внутренний 172.16.0.188.

    С такой адресацией сервера lync будут работать?

    26 июня 2013 г. 11:07
  • работать в принципе будет. Дополнительно необходимо настроить еще маршрутизацию через внутр. ip к клиентам линка, если они в сети отличной от 172.16.0.x

    не рекомендуется использовать один ip на внешнем интерфейсе, возможны сложности с портами
    http://technet.microsoft.com/en-us/library/gg412787.aspx
    • Помечено в качестве ответа Alexandrovavav 26 июня 2013 г. 13:39
    26 июня 2013 г. 13:15