我已经为外部 SIP 域的连接问题挣扎了好几天了。
我的设置如下:我有 1 个不公开访问的标准 FE 服务器。
我有一个公开的边缘服务器,但其 IP 是由 NAT 转换的。
我的主要 SIP 域是 company1.co.za ---> 此 SIP 域的用户可以毫无问题地进行内部和外部连接。我所有的其他 SIP 域都存在证书问题 - 它们包含在 company1.co.za 连接到的自签名证书中。
所以:company2.co.za company3.co.za ... company15.co.za
它们都无法连接。
导出带有私钥的证书,然后在公司 2 - 15 中的任何一家上导入,然后他们就可以连接了。
购买 DIGICERT 证书是否值得,或者我是否遗漏了什么。
Lync 开发正在迅速扩大,因此将 SAN 添加到主要证书将成为一场管理噩梦。
有人可以对此作出解释并给我一些指点吗?
答案1
客户端与边缘服务器的外部边缘建立 TLS 连接,因此有两个要求:
- 客户端必须能够验证证书的真实性。
- 该证书必须包含客户端用于到达边缘服务器的 FQDN。
一般情况下,您始终需要从公共 CA 获取证书,以用于外部边缘。这也是联盟的要求 - 例如,与 Lync Online 或 Skype 联盟。
支持多个域要求证书包含多个域。如果有一个共同的根域,那么您可以在证书中使用通配符。例如,如果您有两个域“hr.contoso.com”和“eng.contoso.com”,那么您可以在证书中输入“*.contoso.com”。