locked
Сертификат на Reverse proxy RRS feed

  • Вопрос

  • Коллеги, помогите разобраться с сертификатами!

    Ситуация такая. Есть Front-End.  Настраиваем Edge. Пока для тестовых целей планировали использовать сертификаты только внутреннего CA. В гайде вот такая строчка

    Request and Configure a Certificate for Your Reverse HTTP Proxy

    You need to install the root certification authority (CA) certificate for the CA that issued the server certificate on the Web server (that is, the IIS server running your Office Communications Server Web components) on the server running ISA Server 2006.

    You must install a Web server certificate on your ISA Server. This certificate should match the published FQDN of your external Web farm where you are hosting meeting content and Address Book files.

    If your internal deployment consists of more than one Standard Edition server or Enterprise pool, you must configure Web publishing rules for each external Web farm FQDN.

    Вопрос. Правильно ли я понимаю, что в данном случае на ису (2006 SP1) необходимо поставить рутовый сертификат. А так же необходимо запросить у внутреннего СА сертификат где будет указан внешний FQDN  Web farm, а так же в поле SAN перечислены sip.domain.com, webcon.domain.com, av.domain.com, ocs.internaldomain.local  (планируется использовать один внешний IP)?

     

     

    9 апреля 2010 г. 16:43

Все ответы

  • неверно вы поняли.

    - если сервер с ISA Server член домена, то у него и так будет доверие к вашему корпоративному ЦС. Если не член домена, то нет доверия корпоративному ЦС и это доверие нужно организовать, установив на этот сервер корневой сертификат вашего ЦС.

    - на ISA Server вы публикуете Веб компоненты OCS (это например содержимое веб конференций, адресная книга). Вот для внешнего имени (External Web Farm) этой публикации вам нужен сертификат с именем, например ocs.domain.ru (а внутри это имя вашего OCS пула poolname.domain.local). К Edge это не имеет никакого отношения.

    Для Edge вам нужно 3 отдельных общих IP, маршрутизируемых в сети Интернет (чисто технически можно и на одном, но это не есть правильно). Как правильно выставлять наружу Edge (в т.ч. если хотите за NAT его убрать) - читайте в документации по развертыванию Edge.


    MCITP
    9 апреля 2010 г. 19:09
  • Ок, теперь понятно, спасибо.

    12 апреля 2010 г. 15:08