Wir veröffentlichen an dieser Stelle in regelmäßigen Abständen Artikel aus dem Blog von Microsoft MVP Thomas Pött.


Wenn Sie Microsoft Teams mittels Direct Routing für Cloud Voice ausführen, ist ein Zertifikat einer öffentlichen Zertifizierungsstelle auf Ihrem Session Border Controller (SBC) notwendig. Für dieses Zertifikat wird eine Verschlüsselung mit TLS verwendet. Zur Erstellung des Zertifikats haben Sie die drei folgenden Möglichkeiten.


Sicherheitshinweis: Bei der Generierung der CSR sollte die Größe des privaten Schlüssels mindestens 2048 betragen.


Support-Hinweis: Die Domäne onmicrosoft.com für Zertifikate wird nicht unterstützt.


Das Zertifikat muss den SBC-FQDN in den Feldern „Subject“, „Common Name“ oder „Subject Alternative Name“ aufweisen.




Option 1 – Single SBC

Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FDQN) des SCBC muss im Betreff (Subject), im allgemeinen Namen (Common Name, CN) sowie in der alternativen Namensbezeichnung (Subject Alternative Name, SAN) enthalten sein.


SN/CNSAN
{Public FQDN of SBC}{Public FQDN of SBC}



Option 2 – Mehrere SBC

Der vollqualifizierte Domänenname des SBC muss im Subject, im CN sowie im SAN enthalten sein, einschließlich der zusätzlichen SBCs.


SN/CNalternativer Antragstellername/SAN
{Public FQDN of SBC}{Public FQDN of SBC},
 {Public FQDN of Additional SBC},
 {Public FQDN of Additional SBC}



Option 3 – Single / Multiple SBCs mit Wildcard

Möglichkeit eines Platzhalterzertifikats mit einer beliebigen vollqualifizierten Domäne im CN und im SAN, einschließlich des Platzhalters und der SBC-FQDN.


SN/CNalternativer Antragstellername/SAN
{Public FQDN of SBC}{wildcard},
 {Public FQDN of SBC}

Hinweis: Sie können zwar ein Platzhalterzertifikat im CN/SN oder nur mit SAN konfigurieren, jedoch wird dies nicht unterstützt.




Unterstützte öffentliche Zertifizierungsstellen

Microsoft unterstützt derzeit die nachfolgend genannten öffentlichen Zertifizierungsstellen. Das Signieren eines Zertifikats ist daher nur für die folgenden externen vertrauenswürdigen Stammzertifizierungsstellen gültig.


  • AffirmTrust
  • Externes Zertifizierungsstellen-Stammverzeichnis
  • Baltimore CyberTrust Root
  • Buypass
  • Cybertrust
  • Öffentliche primäre Zertifizierungsstelle der Klasse 3
  • Comodo Secure Root CA
  • Deutsche Telekom
  • Globale Digicert-Stammzertifizierungsstelle
  • Digicert-Stammzertifizierungsstelle für höchste Sicherheit
  • Entrust
  • GlobalSign
  • Go Daddy
  • GeoTrust
  • VeriSign, Inc.
  • Starfield
  • Symantec Enterprise Mobile-root für Microsoft
  • SwissSign
  • Thawte-Timestamping-Zertifizierungsstelle
  • Trustwave
  • TeliaSonera
  • T-Systems International GmbH (Deutsche Telekom)
  • QuoVadis