외부 SIP 도메인 연결 문제로 며칠 동안 어려움을 겪었습니다.
내 설정은 다음과 같습니다. 공개적으로 액세스할 수 없는 표준 FE 서버가 1개 있습니다.
공개적으로 노출된 에지 서버가 있지만 IP는 NAT로 변환됩니다.
내 기본 SIP 도메인은 company1.co.za입니다. ---> 이 SIP 도메인의 사용자는 문제 없이 내부 및 외부에 연결할 수 있습니다. 내 다른 모든 SIP 도메인은 인증서 문제를 제공합니다. 이는 company1.co.za가 연결하는 자체 서명된 인증서에 포함되어 있습니다.
그래서: company2.co.za company3.co.za ... company15.co.za
그 중 누구도 연결할 수 없습니다.
개인 키로 인증서를 내보내고 회사 2 - 15 중 하나에서 가져오면 연결할 수 있습니다.
DIGICERT 인증서를 구입하는 것이 가치가 있습니까? 아니면 뭔가 빠졌습니까?
이 Lync 개발은 빠르게 확장되고 있으므로 기본 인증서에 SAN을 추가하는 것은 관리상의 악몽이 될 것입니다.
누군가 이것에 대해 좀 밝혀주고 나에게 조언을 해줄 수 있습니까?
답변1
클라이언트는 에지 서버의 외부 에지와 TLS 연결을 설정하므로 다음 두 가지 요구 사항이 있습니다.
- 클라이언트는 인증서의 진위 여부를 확인할 수 있어야 합니다.
- 인증서에는 클라이언트가 에지 서버에 연결하는 데 사용한 FQDN이 포함되어 있어야 합니다.
일반적으로 외부 에지에 대한 공용 CA로부터 항상 인증서를 얻어야 합니다. 이는 페더레이션(예: Lync Online 또는 Skype와의 페더레이션)을 위한 요구 사항이기도 합니다.
여러 도메인을 지원하려면 인증서에 여러 도메인이 포함되어 있어야 합니다. 공통 루트 도메인이 있는 경우 인증서에 와일드카드를 사용할 수 있습니다. 예를 들어 "hr.contoso.com"과 "eng.contoso.com"이라는 두 개의 도메인이 있는 경우 인증서에 "*.contoso.com"을 넣을 수 있습니다.