ここ数日、外部 SIP ドメインの接続に苦労しています。
私の設定は次のとおりです: パブリックにアクセスできない標準 FE サーバーが 1 つあります。
公開されているエッジ サーバーがありますが、IP は NAT によって変換されます。
私のプライマリ SIP ドメインは company1.co.za です ---> この SIP ドメインのユーザーは問題なく内部および外部に接続できます。他のすべての SIP ドメインで証明書の問題が発生しています - これらは、company1.co.za が接続する自己署名証明書に含まれています。
つまり、company2.co.za company3.co.za ... company15.co.za
いずれも接続できません。
秘密鍵を含む証明書をエクスポートし、会社 2 - 15 のいずれかにインポートすると、接続できるようになります。
DIGICERT 証明書を購入する価値はあるでしょうか、それとも何か見逃しているのでしょうか。
この Lync 開発は急速に拡大しているため、プライマリ証明書に SAN を追加することは管理上の悪夢になるでしょう。
誰かこれについて説明し、ヒントをくれませんか...
答え1
クライアントはエッジ サーバーの外部エッジとの TLS 接続を確立するため、次の 2 つの要件があります。
- クライアントは証明書の信頼性を検証できる必要があります。
- 証明書には、クライアントがエッジ サーバーにアクセスするために使用した FQDN が含まれている必要があります。
一般的に、外部エッジでは必ずパブリック CA から証明書を取得する必要があります。これは、Lync Online や Skype とのフェデレーションなど、フェデレーションにも必要です。
複数のドメインをサポートするには、証明書に複数のドメインが含まれている必要があります。共通のルート ドメインがある場合は、証明書でワイルドカードを使用できます。たとえば、「hr.contoso.com」と「eng.contoso.com」という 2 つのドメインがある場合は、証明書に「*.contoso.com」を含めることができます。