He estado luchando durante algunos días con la conectividad en mis dominios SIP externos.
Mi configuración es la siguiente: Tengo 1 servidor FE estándar al que no se puede acceder públicamente.
Tengo un servidor perimetral que está expuesto públicamente pero la IP se traduce mediante NAT.
mi dominio SIP principal es company1.co.za ---> los usuarios de este dominio SIP pueden conectarse interna y externamente sin ningún problema. Todos mis demás dominios SIP generan problemas de certificados; están incluidos en el certificado autofirmado al que se conecta company1.co.za.
entonces: empresa2.co.za empresa3.co.za ... empresa15.co.za
Ninguno de ellos puede conectarse.
exportando el certificado con la clave privada e importando en cualquiera de las empresas 2 - 15, luego podrán conectarse.
¿Valdrá la pena comprar un certificado DIGICERT o me falta algo?
Este desarrollo de Lync se está expandiendo rápidamente, por lo que agregar SAN al certificado principal será una pesadilla administrativa.
¿Puede alguien arrojar algo de luz sobre esto y darme algunos consejos...?
Respuesta1
El cliente establece una conexión TLS con el borde externo del servidor perimetral, por lo que existen dos requisitos:
- El cliente debe poder verificar la autenticidad del certificado.
- El certificado debe contener el FQDN que el cliente utilizó para llegar al servidor perimetral.
En general, siempre tendrás que obtener un certificado de una CA pública para tu borde externo. Este también es un requisito para la federación; por ejemplo, para federar con Lync Online o Skype.
Para admitir varios dominios es necesario que el certificado contenga varios dominios. Si hay un dominio raíz común, puede utilizar un comodín en su certificado. Por ejemplo, si tiene dos dominios "hr.contoso.com" y "eng.contoso.com", puede poner "*.contoso.com" en su certificado.