none
замена сертификата RRS feed

  • Вопрос

  • Есть внутренний домен domain.local и внешний домен domain.ru, используется разделённая DNS.
    Был установлен Lync Server 2013 (1 шт.), с именами пулов на основе внутреннего домена, и сертификатами, выданными внутренним ЦС.
    Внутренние и внешние клиенты подключаются и работают нормально.
    Теперь получен коммерческий wildcard сертификат с CN=*.domain.ru, SAN=*.domain.ru, domain.ru.
    в этой статье написано http://technet.microsoft.com/en-us/library/hh202161.aspx
    "There is no support for a wildcard entry as the subject name (also referred to as the common name or CN) for any role. The following server roles are supported when using wildcard entries in the SAN:"
    непонятно, то ли этот сертификат не годится, т.к. у него CN=*.domain.ru, то ли он всё же подойдет, т.к. в SAN тоже есть *.domain.ru.

    Могу ли я просто заменить "Сертификат по умолчанию" на wildcat-сертификат?

    3 февраля 2014 г. 19:11

Ответы

  • Зачем вам коммерческий сертификат для Lync если вы не собираетесь использовать внешний доступ? 

    Для внутреннего использования нет никакой необходимости в установке публичного сертификата. Тем более, если вы посмотрите имена, содержащиеся в сертификате Lync, выпущенном мастером запроса, вы увидите, что там присутствуют разные доменные имена. В том числе с суффиксом вашего SIP домена и локального домена AD. Поэтому ни о каком wildcard речи быть не может.

    Для внешнего доступа роль Edge необходима.


    Do not multiply entities beyond what is necessary

    4 февраля 2014 г. 9:21

Все ответы

  • Публичный сертификат нужен только для доступа внешних пользователей и федерации. Причем wildcard вполне можно использовать при публикации веб-служб Lync на обратном прокси. Для Lync Edge он не подойдет (статью технет вы читали). То есть есть шанс что внешний доступ и заработает даже, но решение это нерекомендуемое и неподдерживаемое. Для Edge необходим SAN сертификат.

    Do not multiply entities beyond what is necessary

    4 февраля 2014 г. 3:26
  • >>Для Lync Edge он не подойдет. Для Edge необходим SAN сертификат.

    У меня нет Edge. Под SAN вы имеете ввиду "не wildcard"?

    >>Публичный сертификат нужен только для доступа внешних пользователей

    а разве внутренние пользователи не используют https/ssl/tls?

    >>есть есть шанс что внешний доступ и заработает даже

    Т.е. то, что имена пулов на основе внутреннего домена, не помешает?

    4 февраля 2014 г. 8:22
  • Зачем вам коммерческий сертификат для Lync если вы не собираетесь использовать внешний доступ? 

    Для внутреннего использования нет никакой необходимости в установке публичного сертификата. Тем более, если вы посмотрите имена, содержащиеся в сертификате Lync, выпущенном мастером запроса, вы увидите, что там присутствуют разные доменные имена. В том числе с суффиксом вашего SIP домена и локального домена AD. Поэтому ни о каком wildcard речи быть не может.

    Для внешнего доступа роль Edge необходима.


    Do not multiply entities beyond what is necessary

    4 февраля 2014 г. 9:21