Konfigurieren von Zertifikaten für die AutoErmittlung in lync Server 2013Configuring certificates for Autodiscover in Lync Server 2013

 

Letztes Änderungsstand des Themas: 2012-12-12Topic Last Modified: 2012-12-12

Die Zertifikate für Ihre Directorpool, Front-End-Pool und Reverseproxy erfordern zusätzliche Alternative Antragstellernamen Einträge zur Unterstützung sicherer Verbindungen mit lync-Clients.The certificates for your Director pool, Front End pool, and reverse proxy require additional subject alternative name entries to support secure connections with Lync clients.

Hinweis

Mit dem Cmdlet Get-CsCertificate können Sie Informationen über die derzeit zugewiesenen Zertifikate anzeigen.You can use the Get-CsCertificate cmdlet to view information about the currently assigned certificates. In der Standardansicht werden die Eigenschaften des Zertifikats jedoch abgeschnitten, und die Werte in der Eigenschaft "SubjectAlternativeNames" werden nicht vollständig angezeigt.However, the default view truncates the properties of the certificate and does not display all values in the SubjectAlternativeNames property. Mit den Cmdlets Get-CsCertificate, Request-CsCertificate und Set-CsCertificate können Sie einige Informationen anzeigen und Zertifikate anfordern sowie zuweisen.You can use the Get-CsCertificate , Request-CsCertificate and the Set-CsCertificate cmdlets to view some information and to request and assign certificates. Wenn Sie sich bezüglich der Eigenschaften der alternativen Antragstellernamen im aktuellen Zertifikat unsicher sind, ist dies jedoch nicht unbedingt die am besten geeignete Methode.However, it’s not the best method to use if you are unsure of the properties of the subject alternative names (SAN) on the current certificate. Um das Zertifikat und alle Eigenschaften Mitglieder anzuzeigen, wird empfohlen, das Zertifikat-Snap-in Microsoft Management Console (MMC) zu verwenden oder den lync Server-Bereitstellungs-Assistenten zu verwenden.To view the certificate and all property members, it is suggested to use the Certificates snap-in the Microsoft Management Console (MMC) or to use the Lync Server Deployment Wizard. Im lync Server-Bereitstellungs-Assistenten können Sie den Zertifikat-Assistenten verwenden, um die Zertifikateigenschaften anzuzeigen.In the Lync Server Deployment Wizard, you can use the Certificate Wizard to view the certificate properties. Die Verfahren zum Anzeigen, anfordern und Zuweisen eines Zertifikats mithilfe der lync Server-Verwaltungsshell und der MMC (Microsoft Management Console) werden in den folgenden Verfahren erläutert.The procedures for viewing, requesting and assigning a certificate using the Lync Server Management Shell and the Microsoft Management Console (MMC) are detailed in the following procedures. Informationen zum Verwenden des lync Server-Bereitstellungs-Assistenten finden Sie unter Details hier, wenn Sie den optionalen Director oder Directorpool: configure certificates for the Director in lync Server 2013bereitgestellt haben.To use the Lync Server Deployment Wizard, see details here if you have deployed the optional Director or Director pool: Configure certificates for the Director in Lync Server 2013. Informationen zum Front-End-Server oder Front-End-Pool finden Sie unter Details hier: Konfigurieren von Zertifikaten für Server in lync Server 2013.For the Front End Server or Front End pool, see the details here: Configure certificates for servers in Lync Server 2013.
Die ersten Schritte in diesem Verfahren sind Vorbereitungsschritte zur Orientierung an der Rolle, die die aktuellen Zertifikate spielen.The initial steps in this procedure are preparation steps, to orient you as to what role the current certificates play. Standardmäßig verfügen die Zertifikate über keine lyncdiscover. < sipdomain " > oder" lyncdiscoverinternal ". < Interner Domänennamen > Eintrag, es sei denn, Sie haben zuvor Mobilitätsdienste installiert oder Ihre Zertifikate im Voraus vorbereitet.By default, the certificates will not have a lyncdiscover.<sipdomain> or lyncdiscoverinternal.<internal domain name> entry unless you have previously installed Mobility Services or have prepared your certificates in advance. Dieses Verfahren verwendet den SIP-Domänennamen "contoso.com" und den Beispiel internen Domänennamen "contoso.net".This procedure uses the example SIP domain name ‘contoso.com’ and the example internal domain name ‘contoso.net’.
Die Standardzertifikat Konfiguration für lync Server 2013 und lync Server 2010 besteht darin, ein einzelnes Zertifikat (mit dem Namen "Default") mit dem Verwendungszweck default (für alle Zwecke außer für die Webdienste), "webservicesexternal" und "webservicesinternal" zu verwenden.The default certificate configuration for Lync Server 2013 and Lync Server 2010 is to use a single certificate (named ‘Default’) with the purposes Default (for all purposes except for the web services), WebServicesExternal and WebServicesInternal. Optional können Sie ein separates Zertifikat für jeden Zweck verwenden.An optional configuration is to use separate certificates for each purpose. Zertifikate können mithilfe der Cmdlets lync Server-Verwaltungsshell und Windows PowerShell oder mithilfe des Zertifikat-Assistenten im lync Server-Bereitstellungs-Assistenten verwaltet werden.Certificates can be managed by using the Lync Server Management Shell and Windows PowerShell cmdlets, or by using the Certificate Wizard in the Lync Server Deployment Wizard.

So aktualisieren Sie Zertifikate mit neuen alternativen Antragstellernamen mithilfe der lync Server-VerwaltungsshellTo update certificates with new subject alternative names using the Lync Server Management Shell

  1. Melden Sie sich am Computer mit einem Konto an, das über die Rechte und Berechtigungen eines lokalen Administrators verfügt.Log on to the computer using an account that has local administrator rights and permissions.

  2. Starten Sie die lync Server-Verwaltungsshell: Klicken Sie auf Start, dann auf Alle Programme, klicken Sie auf Microsoft lync Server 2013, und klicken Sie dann auf lync Server-Verwaltungsshell.Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2013, and then click Lync Server Management Shell.

  3. Stellen Sie fest, welche Zertifikate dem Server für welchen Verwendungszweck zugeordnet wurden. Sie benötigen diese Informationen im nächsten Schritt, um das aktualisierte Zertifikat zuzuweisen. Geben Sie an der Befehlszeile Folgendes ein:Find out what certificates have been assigned to the server and for which type of use. You need this information in the next step to assign the updated certificate. At the command line, type:

    Get-CsCertificate
    
  4. Suchen Sie in der Ausgabe des im vorherigen Schritte eingegebenen Befehls, ob ein einzelnes Zertifikat für mehrere Verwendungszwecke vorhanden ist oder ob für jeden Verwendungszweck ein anderes Zertifikat zugewiesen wurde. Sie können anhand des Use-Parameters feststellen, wie ein Zertifikat verwendet wird. Vergleichen Sie den Thumbprint-Parameter für die angezeigten Zertifikate, um festzustellen, ob ein Zertifikat für mehrere Verwendungszwecke vorgesehen ist.Look in the output from the previous step to see whether a single certificate is assigned for multiple uses or whether a different certificate is assigned for each use. Look in the Use parameter to find out how a certificate is used. Compare the Thumbprint parameter for the displayed certificates to see if the same certificate has multiple uses.

  5. Aktualisieren Sie das Zertifikat. Geben Sie an der Befehlszeile Folgendes ein:Update the certificate. At the command line, type:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>
    

    Wenn das Get-CsCertificate-Cmdlet beispielsweise drei Zertifikate anzeigt, deren Use-Parameter jeweils einen anderen Wert ("Default", "WebServicesInternal" und "WebServicesExternal") enthält und alle denselben Thumbprint-Wert aufweisen, geben Sie an der Befehlszeile Folgendes ein:For example, if the Get-CsCertificate cmdlet displayed a certificate with Use of Default, another with a Use of WebServicesInternal, and another with a Use of WebServicesExternal, and they all had the same Thumbprint value, at the command line, type:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
    

    Wichtig:Important:

    Wenn für jeden Verwendungszweck ein anderes Zertifikat zugewiesen ist (der Thumbprint-Wert ist für jedes Zertifikat unterschiedlich), ist es wichtig, dass Sie das Set-CsCertificate-Cmdlet nicht mit mehreren Typen ausführen.If a separate certificate is assigned for each use (the Thumbprint value is different for each certificate), it is important that you do not run the Set-CsCertificate cmdlet with multiple types. Führen Sie in diesem Fall das Set-CsCertificate-Cmdlet für jeden Verwendungszweck separat aus.In this case, run the Set-CsCertificate cmdlet separately for each use. Beispiel:For example:

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
    Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
    Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
    
  6. Um das Zertifikat anzuzeigen, klicken Sie auf Start und auf Ausführen. Geben Sie "MMC" ein, um die Microsoft Management Console zu öffnen.To view the certificate, click Start, click Run…. Type MMC to open the Microsoft Management Console.

  7. Wählen Sie im MMC-Menü den Eintrag Datei und dann Snap-In hinzufügen/entfernen aus. Klicken Sie auf Hinzufügen. Wählen Sie das Computerkonto, wenn Sie dazu aufgefordert werden, und klicken Sie auf Weiter.From the MMC menu, select File, select Add/Remove snap-in…, select Certificates. Click Add. When prompted, select Computer account, then click Next.

  8. Wenn sich das Zertifikat auf diesem Computer befindet, wählen Sie lokaler Computeraus.If the certificate is located on this computer, select Local computer. Wenn sich das Zertifikat auf einem anderen Computer befindet, wählen Sie einen anderen Computeraus, geben Sie den vollqualifizierten Domänennamen des Computers ein, oder klicken Sie auf Durchsuchen geben Sie den Namen des zu verwendenden Objektsein, geben Sie den Namen des Computers ein.If the certificate is located on another computer, select Another computer, type in the fully qualified domain name of the computer or click Browse In Enter the object name to select, type the name of the computer. Klicken Sie auf Namen überprüfen.Click Check Names. Wenn der Name des Computers aufgelöst ist, wird er unterstrichen.When the name of the computer is resolved, it will be underlined. Klicken Sie auf OKund dann auf Fertig stellen.Click OK, then click Finish. Klicken Sie auf OK , um einen Commit für die Auswahl auszuführen und das Dialogfeld Snap-Ins hinzufügen oder entfernen zu schließen.Click OK to commit the selection and close the Add or Remove Snap-ins dialog.

    Wichtig

    Wenn das Zertifikat nicht in der Konsole angezeigt wird, stellen Sie sicher, dass Sie keinen Benutzer oder Dienst ausgewählt haben.If the certificate does not show up in the console, ensure that you have not selected User or Service. Sie müssen Computer auswählen, oder das probper-Zertifikat kann nicht gefunden werden.You must select Computer, or you will not be able to locate the probper certificate.

  9. Um die Eigenschaften des Zertifikats anzuzeigen, erweitern Sie den Eintrag Zertifikate und den Eintrag Eigene Zertifikate, und wählen Sie Zertifikate aus. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie anzeigen möchten, und klicken Sie auf Öffnen.To view the properties of the certificate, expand Certificates, expand Personal, and select Certificates. Select the certificate to view, right-click on the certificate and select Open.

  10. Wählen Sie in der Ansicht Zertifikat den Eintrag Details aus. Dort können Sie den Namen des Zertifikat-Antragstellers auswählen, indem Sie den Antragsteller auswählen. Daraufhin wird der zugewiesene Antragstellername zusammen mit den zugewiesenen Eigenschaften angezeigt.In the Certificate view, select Details. From here, you can select the certificate subject name by selecting Subject and the assigned subject name and associated properties are displayed.

  11. Um die zugewiesenen alternativen Antragstellernamen anzuzeigen, wählen Sie Alternativer Antragstellername aus.To view the assigned subject alternative names, select Subject Alternative Name. Daraufhin werden alle zugewiesenen alternativen Antragstellernamen angezeigt.All assigned subject alternative names are displayed. Die alternativen Antragstellernamen der Eigenschaft weisen normalerweise den Typ DNS-Name auf.The subject alternative names that are found in the property are of type DNS Name by default. Die Datensätze folgender Member (bei denen es sich jeweils um einen vollqualifizierten Domänennamen wie im DNS-Host dargestellt (A oder bei IPv6 AAAA) handeln sollte) werden erwartet:You should see the following members (all of which should be fully qualified domain names as represented in DNS host (A or, if IPv6 AAAA) records:

    • Der Poolname für diesen Pool oder der Name des einzelnen Servers, wenn es sich nicht um einen Pool handelt.Pool name for this pool, or the single server name if this is not a pool

    • Der Name des Servers, dem das Zertifikat zugewiesen wurde.Server name that the certificate is assigned to

    • Einfache URL-Datensätze, üblicherweise "meet" und "dialin".Simple URL records, typically meet and dialin

    • Interne Webdienste und Webdienste externe Namen (beispielsweise webpool01.contoso.net, webpool01.contoso.com), basierend auf den im Topologie-Generator und über berittenen Webdiensten vorgenommenen Auswahlmöglichkeiten.Web services internal and Web services external names (for example, webpool01.contoso.net, webpool01.contoso.com), based on choices made in Topology Builder and over-ridden web services selections.

    • Wenn bereits zugewiesen, lyncdiscover.<sipdomain>If already assigned, the lyncdiscover.<sipdomain> und "lyncdiscoverinternal".<sipdomain>and lyncdiscoverinternal.<sipdomain> Datensätze.records.

    Das letzte Element ist für Sie am interessantesten – falls ein SAN-Eintrag für "lyncdiscover" bzw. für "lyncdiscoverinternal" vorhanden ist.The last item is what you are most interested in – if there is a lyncdiscover and lyncdiscoverinternal SAN entry.

    Sobald Sie über diese Informationen verfügen, können Sie die Zertifikatansicht und die MMC schließen.Once you have this information, you can close the certificate view and the MMC.

  12. Wenn ein AutoErmittlungsdienst, das heißt lyncdiscover. > Domänenname > und "lyncdiscoverinternal".<domain name>If an Autodiscover Service, meaning the lyncdiscover.>domain name> and lyncdiscoverinternal.<domain name> (je nachdem, ob es sich um ein externes oder internes Zertifikat handelt) fehlt der Alternative Antragstellername, und Sie verwenden ein einzelnes Standardzertifikat für die Typen Default, "webservicesinternal" und WebServiceExternal, und führen Sie die folgenden Schritte aus:(based on if this is an external or internal certificate) subject alternative name is missing, and you are using a single Default certificate for the Default, WebServicesInternal and WebServiceExternal types, do the following:

    • Geben Sie an der lync Server-Verwaltungsshell Eingabeaufforderung für die Befehlszeile Folgendes ein:At the Lync Server Management Shell command line prompt, type:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden.If you have many SIP domains, you cannot use the new AllSipDomain parameter. Verwenden Sie stattdessen den DomainName-Parameter.Instead, you must use DomainName parameter. Wenn Sie den DomainName-Parameter verwenden, müssen Sie den FQDN für die Datensätze "lyncdiscoverinternal" und "lyncdiscover" definieren.When you use the DomainName parameter, you must define the FQDN for the lyncdiscoverinternal and lyncdiscover records. Beispiel:For example:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      
    • Geben Sie Folgendes ein, um das Zertifikat zuzuweisen:To assign the certificate, type the following:

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      "Thumbprint" steht für den Fingerabdruck, der für das neu ausgestellte Zertifikat angezeigt wird.Where “Thumbprint” is the thumbprint displayed for the newly issued certificate.

  13. Gehen Sie wie folgt vor, wenn Sie separate Zertifikate für "Default", "WebServicesInternal" und "WebServicesExternal" verwenden und ein alternativer Antragstellername für den internen AutoErmittlungsdienst fehlt:For a missing internal Autodiscover subject alternative names when using separate certificates for Default, WebServicesInternal, and WebServicesExternal, do the following:

    • Geben Sie an der lync Server-Verwaltungsshell Eingabeaufforderung für die Befehlszeile Folgendes ein:At the Lync Server Management Shell command line prompt, type:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose
      

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den DomainName-Parameter verwenden. Bei Verwendung des DomainName-Parameters müssen Sie für den FQDN der SIP-Domäne ein entsprechendes Präfix verwenden. Beispiel:If you have many SIP domains, you cannot use the new AllSipDomain parameter. Instead, you must use DomainName parameter. When you use the DomainName parameter, you must use an appropriate prefix for the SIP domain FQDN. For example:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      
    • Wenn ein alternativer Antragstellername für einen externen AutoErmittlungsdienst fehlt, geben Sie an der Befehlszeile Folgendes ein:For a missing external Autodiscover subject alternative name, at the command line, type:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den DomainName-Parameter verwenden. Bei Verwendung des DomainName-Parameters müssen Sie für den FQDN der SIP-Domäne ein entsprechendes Präfix verwenden. Beispiel:If you have many SIP domains, you cannot use the new AllSipDomain parameter. Instead, you must use DomainName parameter. When you use the DomainName parameter, you must use an appropriate prefix for the SIP domain FQDN. For example:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose
      
    • Geben Sie Folgendes ein, um die einzelnen Zertifikattypen zuzuweisen:To assign the individual certificate types, type the following:

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      "Thumbprint" steht für den Fingerabdruck, der für die neu ausgestellten Zertifikate angezeigt wird.Where “Thumbprint” is the thumbprint displayed for the newly issued individual certificates.