Asignar un certificado de autenticación de servidor a servidor a Microsoft Lync Server 2013

 

Última modificación del tema: 2013-10-24

Para determinar si ya se ha asignado un certificado de autenticación de servidor a servidor a Microsoft Lync Server 2013, ejecute el siguiente comando desde el Shell de administración de Lync Server 2013:

Get-CsCertificate -Type OAuthTokenIssuer

Si no recibe información del certificado, necesita asignar un certificado del emisor de token para poder usar la autenticación de servidor a servidor. Como norma general, cualquier certificado de Lync Server 2013 se puede usar como certificado de OAuthTokenIssuer; por ejemplo, el certificado predeterminado de Lync Server 2013 también se puede usar como certificado OAuthTokenIssuer. (El certificado OAUthTokenIssuer también puede ser cualquier certificado de servidor web que incluya el nombre de su dominio SIP en el campo Subject). Los dos requisitos principales para el certificado usado para la autenticación de servidor a servidor son los siguientes: 1)el mismo certificado debe configurarse como el certificado OAuthTokenIssuer en todos los servidores front-end; y, 2) el certificado debe tener al menos 2048 bits.

Si no dispone de un certificado que pueda usarse para la autenticación de servidor a servidor, puede obtener uno nuevo, importarlo y usarlo para este tipo de autenticación. Después de haber solicitado y obtenido el nuevo certificado, puede iniciar sesión en cualquiera de sus servidores front-end y usar un comando Windows PowerShell similar a este para importar y asignar ese certificado:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

En el comando anterior, el parámetro Path representa la ruta de acceso completa al archivo de certificado, y el parámetro Password representa la contraseña que se asignó al certificado. Este procedimiento solo debe ejecutarse una vez: el servicio de replicación de Lync Server creará automáticamente un conjunto de tareas programadas que descifrarán e implementarán el certificado en todos los servidores front-end.

Como alternativa, puede usar un certificado existente como certificado de autenticación de servidor a servidor. (Como se ha indicado, el certificado predeterminado se puede usar como certificado de autenticación de servidor a servidor). El siguiente par de comandos de Windows PowerShell recuperan el valor de la propiedad Thumbprint del certificado predeterminado y, a continuación, usan ese valor para convertir el certificado predeterminado en certificado de autenticación de servidor a servidor:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

En el comando anterior, el certificado recuperado está configurado para funcionar como el certificado de autenticación de servidor a servidor global; esto significa que el certificado se replicará en todos los servidores front-end y los usarán. De nuevo, este comando solo debe ejecutarse una vez y solo en uno de los servidores front-end. Aunque todos los servidores front-end deben usar el mismo certificado, no debe configurar el certificado OAuthTokenIssuer en cada servidor front-end. En su lugar, configure el certificado una vez y deje que el servidor de replicación de Lync Server se ocupe de copiar ese certificado en cada servidor.

El cmdlet de Set-CsCertificate toma el certificado en cuestión y configura inmediatamente ese certificado para que actúe como el certificado OAuthTokenIssuer actual. (Lync Server 2013 conserva dos copias de un tipo de certificado: el certificado actual y el certificado anterior). Si necesita que el nuevo certificado comience a actuar inmediatamente como el certificado OAuthTokenIssuer, debe usar el cmdlet de Set-CsCertificate.

También puede usar el cmdlet Set-CsCertificate para la "sucesión" de un nuevo certificado. "Sucesión" significa simplemente que se configura un nuevo certificado para que pase a ser el certificado OAuthTokenIssuer actual en un momento determinado. Por ejemplo, este comando recupera el certificado predeterminado y configura ese certificado para que tome el control como el certificado OAuthTokenIssuer actual a partir del 1 de julio de 2012:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2012" -Roll

El 1 de julio de 2012, el nuevo certificado se configurará como el certificado OAuthTokenIssuer actual y el certificado OAuthTokenIssuer "antiguo" se configurará como el certificado anterior.

Si no desea usar Windows PowerShell también puede usar la consola MMC Certificados para exportar un certificado de un servidor front-end y, a continuación, importar ese mismo certificado en todos los demás servidores front-end. Si lo hace así, no olvide exportar la clave privada junto con el propio certificado.

Advertencia

En este caso, el procedimiento debe realizarse en cada servidor front-end. Al exportar e importar certificados de esta manera, Lync Server 2013 no replicará ese certificado en cada servidor front-end.

Después de importar el certificado a todos los servidores front-end, ese certificado se puede asignar mediante el Asistente para la implementación de Lync Server en lugar de Windows PowerShell. Para asignar un certificado con el Asistente para la implementación, siga estos pasos en un equipo donde este asistente esté instalado:

1. Haga clic en Inicio, Todos los programas, Microsoft Lync Server 2013 y, a continuación, haga clic en Asistente para la implementación de Lync Server.

2. En el Asistente para la implementación, haga clic en Instalar o actualizar el sistema de Lync Server.

3. En la página Microsoft Lync Server 2013, haga clic en el botón Ejecutar bajo el encabezado Paso 3: Solicitar, instalar o asignar certificados. Nota: si ya ha instalado certificados en este equipo, en lugar del botón Ejecutar, aparecerá Ejecutar de nuevo.

4. En el Asistente para certificados, seleccione el certificado OAuthTokenIssuer y haga clic en Asignar.

5. En la página Asignación de certificado del Asistente para certificados, haga clic en Siguiente.

6. En la página Almacén de certificados, seleccione el certificado que desea usar para la autenticación de servidor a servidor y haga clic en Siguiente.

7. En la página Resumen de asignación de certificados, haga clic en Siguiente.

8. En la página Ejecutar comandos, haga clic en Finalizar.

9. Cierre el Asistente para certificados y el Asistente para la implementación.