Überprüfen oder Konfigurieren der Authentifizierung und Zertifizierung für virtuelle IIS-Verzeichnisse in Lync Server 2013

  • Artikel

 

Thema Letzte Änderung: 25.05.2012

Verwenden Sie das folgende Verfahren, um das Zertifikat in Ihren virtuellen Verzeichnissen der Internetinformationsdienste (IIS) zu konfigurieren oder zu überprüfen, ob das Zertifikat ordnungsgemäß konfiguriert ist. Führen Sie das folgende Verfahren auf jedem Server aus, auf dem IIS in Ihrem internen Lync Server-Pool und den optionalen Director.or Director-Poolservern ausgeführt wird.

Hinweis

Das folgende Verfahren definiert eine Prozedur zum Anfordern eines kombinierten Zertifikats, das für alle Zwecke von Lync Server, interner Website und externer Website in IIS verwendet wird. In Lync Server 2010 wurde eine Reihe von Lync Server-Verwaltungsshell-Windows PowerShell Cmdlets für den ausdrücklichen Zweck der Verwaltung von Zertifikatanforderung, -import und -zuweisung eingeführt. Das Verfahren setzt voraus, dass es eine intern bereitgestellte Zertifizierungsstelle (CA) gibt, die die Anforderung verarbeiten kann. Wenn Sie öffentliche Zertifikate für Ihre Lync Server-Zwecke verwenden oder Ihre Zertifizierungsstelle eine Offlineanforderung erfordert, finden Sie in der ausführlichen Syntax in diesem Thema Informationen zum Parameter "–Output". Request-CsCertificate

So konfigurieren Sie Authentifizierung und Zertifikate in virtuellen IIS-Verzeichnissen

  1. Um Folgendes erfolgreich abzuschließen, müssen Sie bei dem Computer (Front-End-Server oder Director) angemeldet sein, auf dem die Webdienste installiert sind, und ein lokaler Administrator sein. Sie müssen über die Lese - und Registrierungsberechtigungen für die Zertifizierungsstelle verfügen, von der Sie Zertifikate anfordern, wenn die Zertifizierungsstelle die Zertifizierungsstelle Ihrer Organisation ist. Sie benötigen keine Berechtigungen für die Zertifizierungsstelle, wenn Sie eine Offlinezertifikatanforderung konfigurieren und senden.

  2. Klicken Sie auf "Start", wählen Sie "Alle Programme", dann " Verwaltungstools" und dann auf "Internetinformationsdienste(IIS)-Manager" aus.

  3. Wählen Sie im IIS-Manager (Internetinformationsdienste)die Option "ServerName" aus. Wählen Sie in der Featuresansicht"Serverzertifikate" aus, klicken Sie mit der rechten Maustaste, und wählen Sie "Feature öffnen" aus.

    Tipp

    Wenn dem Server Zertifikate zugewiesen sind, werden sie in der Featureansicht "Serverzertifikate" hier angezeigt. Wenn ein Zertifikat vorhanden ist, das den Anforderungen für die externe Website in IIS entspricht, können Sie dieses Zertifikat erneut verwenden. Um ein Zertifikat anzuzeigen, klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie "Ansicht" aus...

  4. Klicken Sie auf dem Front-End-Server oder -Director, für den Sie das Zertifikat anfordern, auf "Start", wählen Sie "Alle Programme", wählen Sie "Microsoft Lync Server 2013" aus, und klicken Sie dann auf "Lync Server Management Shell".

  5. Geben Sie in der Lync Server-Verwaltungsshell Folgendes ein:

    Get-CsCertificate

    Die Ausgabe ist eine Liste der Zertifikate, die sich derzeit auf dem Server im Computer Personal-Zertifikatspeicher befinden. Beachten Sie, dass im kombinierten Zertifikat (d. h. in dem standardmäßige, interne Webdienste und externe Webdienste dasselbe Zertifikat verwenden) die Eigenschaft "Use" mit "Default", "WebServicesInternal" und "WebServicesExternal" aufgefüllt wird. Außerdem ist die Thumbprint-Eigenschaft für jeden Use-Typ identisch. In diesem Beispiel wird eine Beispielausgabe von Get-CsCertificate gezeigt:

    Get-CsCertificate info on current scert status

  6. Geben Sie in der Lync Server-Verwaltungsshell Folgendes ein:

    Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -CA <CA Server FQDN\CA Instance> -Verbose -DomainName "<FQDN entries to be added to the Subject Alternative Name>"

    Der vollständige Befehl würde wie im folgenden Beispiel angezeigt:

    Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -CA dc01.contoso.net\contoso-DC01-CA -Verbose -DomainName "LyncdiscoverInternal.Contoso.com,Lyncdiscover.Contoso.com"

    Tipp

    Standardmäßig füllt Request-CsCertificate den Antragstellernamen mit dem Server- oder Poolnamen auf und füllt Einträge im alternativen Antragstellernamen mit dem Server-FQDN, pool-FQDN, FQDNs für einfache URLs sowie internen und externen Webdienst-FQDNs auf. Dazu verweisen Sie auf das Topologiedokument in Ihrer Bereitstellung. Wenn ein Wert fehlt und Sie den Parameter "-Verbose" angegeben haben, werden Sie benachrichtigt, dass die berechneten und tatsächlichen Werte für alternative Namen unterschiedlich sind, sie informieren Sie jedoch nicht darüber, welche Werte fehlen. Es liefert Ihnen den gesamten berechneten Wert, auf den das Cmdlet verweist. Verwenden Sie die berechnete Zeichenfolge für alternative Namen in der Ausgabe, um erneut ein neues Zertifikat anzufordern, das alle Werte enthält.

    Ausgabe von Zertifikatanforderung mit request-CsCertifica

  7. Geben Sie in der Lync Server-Verwaltungsshell Folgendes ein:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Thumbprint of certificate to use>

    Der vollständige Befehl würde wie im folgenden Beispiel angezeigt:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint 466D9BB0E8B928B65AF38FA2D9F41E1B301ECE9D

    Die Ausgabe des cmdlets Set-CsCertificate zeigt an, dass dasselbe Zertifikat (identifiziert durch den Fingerabdruck des Zertifikats) für die Standard-, WebServicesExternal- und WebServicesInternal-Verwendung zugewiesen ist.

    Ausgabe von Set-CsCertificate in IIS WebExt

So überprüfen oder konfigurieren Sie Authentifizierung und Zertifikate in virtuellen IIS-Verzeichnissen

  1. Klicken Sie auf "Start", wählen Sie "Alle Programme", dann " Verwaltungstools" und dann auf "Internetinformationsdienste(IIS)-Manager" aus.

  2. Erweitern Sie im IIS-Manager (Internetinformationsdienste)den Eintrag "ServerName" und dann " Websites".

  3. Klicken Sie mit der rechten Maustaste auf die externe Lync Server-Website, und klicken Sie dann auf "Bindungen bearbeiten".

  4. Stellen Sie sicher, dass https port 4443 zugeordnet ist, und klicken Sie dann auf https.

  5. Wählen Sie den HTTPS-Eintrag aus, klicken Sie auf "Bearbeiten", und überprüfen Sie dann, ob Lync Server WebServicesExternalCertificate an dieses Protokoll gebunden ist. Vergleichen Sie den Fingerabdruck aus dem cmdlet Set-CsCertificate, um sicherzustellen, dass das erwartete Zertifikat der HTTPS-Bindung ordnungsgemäß zugeordnet ist.