Сертификат для службы Cloud PBX-Teams

Выбор SSL-сертификата для Cloud PBX-Teams

Служба Cloud PBX-Teams для защищенного взаимодействия с серверами Microsoft должна использовать SSL-сертификат. Возможно либо использование сертификата, предоставляемого заказчиком, или возможно использование общего сертификата, принадлежащего компании LanCloud.

Особенности каждого варианта:

Сертификат, приобретаемый заказчиком:

Сертификат компании-заказчика должен восходить к одному из следующих корневых центров сертификации:

  • AffirmTrust
  • AddTrust External CA Root
  • Baltimore CyberTrust Root
  • Buypass
  • Cybertrust
  • Class 3 Public Primary Certification Authority
  • Comodo Secure Root CA
  • Deutsche Telekom
  • DigiCert Global Root CA
  • DigiCert High Assurance EV Root CA
  • Entrust
  • GlobalSign
  • Go Daddy
  • GeoTrust
  • Verisign, Inc.
  • Starfield
  • Symantec Enterprise Mobile Root for Microsoft
  • SwissSign
  • Thawte Timestamping CA
  • Trustwave
  • TeliaSonera
  • T-Systems International GmbH (Deutsche Telekom)
  • QuoVadis

Сертификаты от LetsEncrypt или StartSSL не поддерживаются!

Сертификат должен относиться к любому из имен доменов, добавленных в тенант Office 365. Если в тенанте добавлены 10 доменов, и присутствуют пользователи с Teams-именами из всех 10 доменов — достаточно использовать сертификат, относящийся к одному любому имени домена. Например, если в тенанте присутствует домен yourname.ru, то в сертификате должно присутствовать одно имя вида teamsgw.yourname.ru, или любое другое по желанию заказчика — но обязательно относящееся к одному из доменов, добавленных в тенант. Также возможно использование wildcard-сертификата с именем *.yourname.ru.

При использовании собственного сертификата, и выбранного имени для службы в своем домене, заказчик должен создать запись в своей внешней DNS-зоне, с выбранным именем для службы, ссылающуюся на адрес службы Cloud PBX-Teams, например:

  • Запись teamsgw — тип A — значение 45.84.84.68

Заказчик самостоятельно должен оплачивать, получать и продлять собственный сертификат, и обязательно должен предоставлять его для обновления в службе Cloud PBX-Teams администраторам службы.

Плюсы такого варианта:
. не нужно добавлять служебный домен службы в тенант, и временно тратить +1 лишнюю лицензию на активацию домена.

Минусы такого варианта:
. Необходимость самостоятельно приобретать и продлевать сертификат у выбранного центра сертификации.
. Необходимость самостоятельно следить за истечением срока жизни сертификата, опоздание с продлением сертификата равняется невозможности службы Cloud PBX-Teams установить соединение с серверами Office 365, и неработоспособности связи с телефонией до момента предоставления заказчиком нового валидного сертификата.

Использование общего сертификата, принадлежащего компании LanCloud

Если заказчик не хочет приобретать SSL-сертификат самостоятельно, или предоставлять имеющийся у него сертификат для работы службы Cloud PBX-Teams — служба Cloud PBX-Teams будет использовать общий сертификат, выданный на имя *.teams.lancloud.ru. Для заказчика нами выделяется специальное уникальное имя, связанное с именем клиента, например clientname.teams.lancloud.ru, «покрываемое» данным сертификатом.

Для того, чтобы заказчику в своём тенанте можно было использовать общий сертификат службы Cloud PBX-Teams — необходимо выполнить два действия:

  1. добавить в свой тенант в список доменов тот домен, который равен выделенному имени, предоставленному администраторами службы Cloud PBX-Teams — например, добавляется имя clientname.teams.lancloud.ru. При добавлении имени домена, заказчик сообщает код для подтверждения из администраторской панели Office 365 администраторам Cloud PBX-Teams, и после внесения этого кода в DNS, домен будет успешно добавлен в тенант. Конфигурировать данный домен под какие-либо записи DNS не нужно.
  2. Для активации этого домена в Teams, и возможности использовать это имя как имя службы телефонии — необходимо создать одного пользователя-активатора, чей домен в логине будет равен добавленному домену службы, и обязательно пролицензировать его лицензией, включающей в себя Teams (E1, E3, E5). Присвоение лицензии «Телефонная система» пользователю не нужно. Например, создается скрытый отключенный пользователь с именем teamsactivator@clientname.teams.lancloud.ru, и ему назначается необходимая лицензия Office 365. После этого, пользователь с этим именем реплицируется в службу Teams, «активируя» и позволяя использовать в настройках это имя домена.
    Важно: пользователь-активатор должен присутствовать в тенанте Office 365 заказчика как минимум 24 часа, лучше дольше, для нормальной активации имени домена в тенанте, после чего пользователя можно будет удалить и освободить назначенную ему лицензию.

Плюсы такого варианта:
. Заказчик не приобретает и не продляет сертификат
. Администраторы LanCloud самостоятельно следят за истечением срока жизни сертификата, и обновляют его автоматически и не заметно для клиента.

Минусы такого варианта:
. Временно (минимум на сутки) тратится на пользователя-активатора одна лицензия E1, Е3, или Е5.