none
Сертификат для SFB 2015 RRS feed

  • Вопрос

  • Добрый день, коллеги. Помогите разобраться с сертификатом для SFB 2015.

    Есть sip домен company.ru

    Есть еще под домены: dochka1.company.ru, dochk2.company.ru, dochka3.company.ru, dochka4.company.ru.

    Так же есть записи в dns: reverseproxypool.company.ru, edgepool.company.ru, sfb.company.ru, sip.company.ru, lyncdiscover.company.ru, webconf.company.ru, xmpp.company.ru. И dns записи для под доменов: lyncdiscover.dochka1.company.ru, sip.dochka1.company.ru, webconf.dochka1.company.ru, xmpp.dochka1.company.ru, lyncdiscover.dochkа2.company.ru, sip.dochkа2.company.ru, webconf.dochkа2.company.ru, xmpp.dochkа2.company.ru.

    Теперь вопрос. Нужно ли на внешний сертификат (SAN-сертификат) добавлять вот эти записи:lyncdiscover.dochka1.company.ru, sip.dochka1.company.ru, webconf.dochka1.company.ru, xmpp.dochka1.company.ru, lyncdiscover.dochkа2.company.ru, sip.dochkа2.company.ru, webconf.dochkа2.company.ru, xmpp.dochkа2.company.ru,  dochka1.company.ru, dochk2.company.ru? 

    25 июля 2016 г. 4:52

Ответы

  • Коллеги, как я понял необходимо будет перечислить следующие SAN имена в сертификате:

    reverseproxypool.company.ru, edgepool.company.ru, sfb.company.ru, sip.company.ru, lyncdiscover.company.ru, webconf.company.ru, xmpp.company.ru. 

    И для каждой дочки: lyncdiscover.dochka1.company.ru, sip.dochka1.company.ru, webconf.dochka1.company.ru, xmpp.dochka1.company.ru

    Я правильно Вас понял?

    Нет)

    Вы сначала должны понимать разницу между reverse proxy и Edge.

    Я бы посоветовал и сертификаты отдельно брать.

    Для Edge описано в статье от Schertz что и как надо.

    Единственное, с кем вы XMPP собираетесь делать?

    Если хоть кого-то найдете, то можно добавить просто имя домена dochka1.company.ru для всех. 

    Для Reverse proxy нужно:

    Subject Name: SkypeWebext.domain.com
    Subject Alternative Name(s):

    Lyncdiscover.domain.com (для всех доменов)
    Meet.domain.com (нужно настроить, чтоб была одна запись)
    Dialin.domain.com
    SkypeWebext.domain.com
    officewebapps.domain.com(если есть)

    сюда можно добавить и имена Exchange, если используется.



    scientia potentia est
    My blog

    25 июля 2016 г. 10:20

Все ответы

  • Относительно сертификата на Reverse Proxy - в вашем случае гораздо логичнее купить wildcard сертификат на имя *.company.ru. А вот, что касается Edge - тут немного сложнее. Посмотрите отличную статью на эту тему.

    Do not multiply entities beyond what is necessary

    25 июля 2016 г. 5:10
  • Добрый день. 

    Извините я в этом деле новичок. 

    Подскажите пожалуйста reverse proxy используется ведь для подключения внешних клиентов?

    А для чего EDGE? 

    25 июля 2016 г. 6:37
  • Edge как раз для подключения внешних и федеративных клиентов, а так же для организации собраний с участием таких пользователей. Обратный прокси необходим для подключения мобильных клиентов и публикации веб-служб SfB в интернет (в частности, публикация адресной книги, URL доступа к собранию и прочее...)

    Do not multiply entities beyond what is necessary

    25 июля 2016 г. 6:53
  • + насколько помню, wildcard поддерживается только в разделе SAN-записей. CN у Вас должен прописан быть в явном виде, хотя по факту оно работает (федерацию не тестил)

    Как инструкция для публикации через IIS ARR (не Schertz, конечно, но всё же :) ):

    https://rlevchenko.com/2016/02/04/totd-publish-skype-for-business-and-office-web-apps-through-iis-arr/

    Про DNS смотрите TechNet:

    https://technet.microsoft.com/en-us/library/dn951397.aspx

    У вас задача сделать так, чтобы все необходимые записи для SFB резолвились на FE с любого клиента Вашей инфраструктуры.


    Roman Levchenko, MVP, MCSE, MCSA, MCITP, MCTS, VCP6-DCV http://www.rlevchenko.com

    25 июля 2016 г. 7:28
  • Относительно сертификата на Reverse Proxy - в вашем случае гораздо логичнее купить wildcard сертификат на имя *.company.ru. А вот, что касается Edge - тут немного сложнее. Посмотрите отличную статью на эту тему.

    Do not multiply entities beyond what is necessary

    Я думаю, что проще как раз сделать отдельные имена, так как там записи 4 уровня lyncdiscover не будут подпадать под wildcard и придется ридерект делать, проще уж 5 lyncdiscover записей добавить.

    Плюс настройте, чтобы meet было одинаковое имя верхнего уровня для всех.


    scientia potentia est
    My blog

    25 июля 2016 г. 8:25
  • под *.domain.com попадают все записи этого и выше уровней, то есть lyncdiscover.sub.domain.com так же попадает. По условиям добавлены SIP домены, являющиеся поддоменами основного, так что идея применить wildcard не такая уж плохая. Учитывая, сколько теперь стоить добавление одного имени в SAN.

    Do not multiply entities beyond what is necessary

    25 июля 2016 г. 8:44
  • Коллеги, как я понял необходимо будет перечислить следующие SAN имена в сертификате:

    reverseproxypool.company.ru, edgepool.company.ru, sfb.company.ru, sip.company.ru, lyncdiscover.company.ru, webconf.company.ru, xmpp.company.ru. 

    И для каждой дочки: lyncdiscover.dochka1.company.ru, sip.dochka1.company.ru, webconf.dochka1.company.ru, xmpp.dochka1.company.ru

    Я правильно Вас понял?

    25 июля 2016 г. 9:00
  • под *.domain.com попадают все записи этого и выше уровней, то есть lyncdiscover.sub.domain.com так же попадает. По условиям добавлены SIP домены, являющиеся поддоменами основного, так что идея применить wildcard не такая уж плохая. Учитывая, сколько теперь стоить добавление одного имени в SAN.

    Do not multiply entities beyond what is necessary

    Это не так) Попадает только один уровень. http://www.ietf.org/rfc/rfc2818.txt

    Например, на office 365 такие имена в lync.com:

    DNS-имя=*.online.lync.com
    DNS-имя=meet.lync.com
    DNS-имя=*.infra.lync.com
    DNS-имя=sched.lync.com
    DNS-имя=*.lync.com


    scientia potentia est
    My blog



    25 июля 2016 г. 9:04
  • Коллеги, как я понял необходимо будет перечислить следующие SAN имена в сертификате:

    reverseproxypool.company.ru, edgepool.company.ru, sfb.company.ru, sip.company.ru, lyncdiscover.company.ru, webconf.company.ru, xmpp.company.ru. 

    И для каждой дочки: lyncdiscover.dochka1.company.ru, sip.dochka1.company.ru, webconf.dochka1.company.ru, xmpp.dochka1.company.ru

    Я правильно Вас понял?

    Нет)

    Вы сначала должны понимать разницу между reverse proxy и Edge.

    Я бы посоветовал и сертификаты отдельно брать.

    Для Edge описано в статье от Schertz что и как надо.

    Единственное, с кем вы XMPP собираетесь делать?

    Если хоть кого-то найдете, то можно добавить просто имя домена dochka1.company.ru для всех. 

    Для Reverse proxy нужно:

    Subject Name: SkypeWebext.domain.com
    Subject Alternative Name(s):

    Lyncdiscover.domain.com (для всех доменов)
    Meet.domain.com (нужно настроить, чтоб была одна запись)
    Dialin.domain.com
    SkypeWebext.domain.com
    officewebapps.domain.com(если есть)

    сюда можно добавить и имена Exchange, если используется.



    scientia potentia est
    My blog

    25 июля 2016 г. 10:20