Configurar certificados para servidores en Lync Server 2013

  • Artículo

 

Tema última modificación: 2013-03-17

Para completar correctamente este procedimiento, debe iniciar sesión como usuario que sea miembro del grupo RTCUniversalServerAdmins o que tenga los permisos correctos delegados. Para obtener más información sobre la delegación de permisos, consulte Delegar permisos de configuración en Lync Server 2013. Según la organización y los requisitos para solicitar certificados, es posible que necesite pertenencia a otros grupos. Consulta con el grupo que administra tu entidad de certificación (CA) de infraestructura de clave pública (PKI).

Nota

Lync Server 2013 incluye compatibilidad con el conjunto de aplicaciones SHA-2 (SHA-2 usa longitudes de resumen de 224, 256, 384 o 512 bits) de algoritmos hash de resumen y firma para las conexiones de clientes que ejecutan los sistemas operativos Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista o Windows XP, además de Lync Phone Edition. Para permitir el acceso externo mediante el conjunto de aplicaciones SHA-2, el certificado externo lo emite una CA pública que también puede emitir un certificado con las mismas longitudes de bits de síntesis.

Advertencia

La selección de la síntesis de hash y el algoritmo de firma depende de los clientes y de los servidores que usarán el certificado y de otros equipos y dispositivos con los que los clientes y servidores se comunicarán, quienes también deben saber cómo usar los algoritmos del certificado. Para obtener información sobre qué longitudes de resumen son compatibles con el sistema operativo y algunas aplicaciones cliente, consultehttps://go.microsoft.com/fwlink/?LinkId=287002.

Cada servidor Standard Edition o Front-End Server requiere hasta cuatro certificados: el certificado oAuthTokenIssuer, un certificado predeterminado, un certificado interno web y un certificado externo web. Sin embargo, es posible solicitar y asignar un único certificado predeterminado con entradas de nombre alternativo del asunto adecuadas, así como el certificado oAuthTokenIssuer. Para obtener más información sobre los requisitos del certificado, consulte Requisitos de certificados para servidores internos en Lync Server 2013. Para obtener más información sobre cómo solicitar, asignar e instalar el certificado oAuthTokenIssuer, consulte Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones de asociados en Lync Server 2013

Use el procedimiento siguiente para solicitar, asignar e instalar el servidor Standard Edition o los certificados front-end server. Repita el procedimiento para cada servidor front-end.

Importante

El procedimiento siguiente describe cómo configurar certificados de una PKI empresarial interna implementada por la organización y con el procesamiento de solicitudes sin conexión. Para obtener información sobre cómo obtener certificados de una CA pública, consulte Requisitos de certificados para servidores internos en Lync Server 2013 en la documentación de planeación. Además, este procedimiento describe cómo solicitar, asignar e instalar certificados durante la configuración del servidor front-end. Si ha solicitado certificados con antelación, como se describe en la sección Solicitar certificados por adelantado (opcional) para Lync Server 2013 de esta documentación de Implementación, o si no usa una PKI empresarial interna implementada en su organización para obtener certificados, debe modificar este procedimiento según corresponda.

Para configurar certificados para un servidor front-end

  1. En el Asistente para la implementación de Lync Server, haga clic en Ejecutar junto al paso 3: Solicitar, instalar o asignar certificados.

  2. En la página Asistente para certificados, haga clic en Solicitar.

  3. En la página Solicitud de certificado , haga clic en Siguiente.

  4. En la página Solicitudes retrasadas o inmediatas, acepte la opción predeterminada Envíe la solicitud inmediatamente a una entidad de certificación en línea haciendo clic en Siguiente. La CA interna con inscripción en línea automática debe estar disponible si selecciona esta opción. Si elige la opción para retrasar la solicitud, se le pedirá un nombre y una ubicación para guardar el archivo de solicitud de certificado. La solicitud de certificado debe ser presentada y procesada por una CA de su organización o bien por una CA pública. Después, tendrá que importar la respuesta de certificado y asignarla al rol de certificado apropiado.

  5. En la página Elegir una entidad de certificación (CA), seleccione la opción Seleccionar una CA de la lista detectada en su entorno y, a continuación, seleccione una CA conocida (mediante el registro en Servicios de dominio de Active Directory) de la lista. O bien, seleccione la opción Especificar otra entidad de certificación escriba el nombre de otra CA en el cuadro y haga clic en Siguiente.

  6. En la página Cuenta de la entidad de certificación, se solicitan sus credenciales para solicitar y procesar la solicitud de certificado en la CA. Es necesario que haya determinado si es necesario un nombre de usuario y una contraseña para solicitar un certificado por adelantado. El administrador de ca tendrá la información necesaria y puede que tenga que ayudarle en este paso. Si tiene que especificar credenciales alternativas, active la casilla, escriba un nombre de usuario y una contraseña en los cuadros de texto y haga clic en Siguiente.

  7. En la página Especificar plantilla de certificado alternativa, haga clic en Siguiente para usar la plantilla de servidor web predeterminada.

    Nota

    Si su organización ha creado una plantilla para usar como alternativa a la plantilla de la CA de servidor web predeterminada, seleccione la casilla y escriba el nombre de la plantilla alternativa. Necesitará el nombre de la plantilla definido por el administrador de CA.

  8. En la página Configuración de nombre y seguridad , especifique un Nombre descriptivo que le permita identificar el certificado y la finalidad. Si lo deja en blanco, se generará un nombre automáticamente. Establezca la longitud de bits de la clave o acepte el valor predeterminado de 2048 bits. Seleccione marcar la clave privada del certificado como exportable si determina que el certificado y la clave privada deben moverse o copiarse a otros sistemas y, a continuación, haga clic en Siguiente.

    Nota

    Lync Server 2013 tiene requisitos mínimos para una clave privada exportable. Uno de estos sitios se encuentra en los servidores perimetrales en un grupo de servidores, donde el servicio de autenticación relé multimedia usa copias del certificado, en lugar de certificados individuales para cada instancia en el grupo de servidores.

  9. En la página Información de la organización, si lo desea, proporcione información de la organización y después haga clic en Siguiente.

  10. En la página Información geográfica, si lo desea, escriba información geográfica y después haga clic en Siguiente.

  11. En la página Nombre del sujeto/Nombres alternativos del juego, revise los nombres alternativos del sujeto que se van a agregar y haga clic en Siguiente.

  12. En la página Configuración del dominio SIP, active la casilla Dominio SIP y haga clic en Siguiente.

  13. En la página Configurar nombres alternativos de sujeto adicionales, agregue los nombres alternativos de sujeto adicionales que desee, incluido cualquiera que piense que puede ser necesario para dominios SIP adicionales en el futuro, y haga clic en Siguiente.

  14. En la página Resumen de la solicitud de certificados, revise la información del resumen. Si la información es correcta, haga clic en Siguiente. Si necesita corregir o modificar una configuración, haga clic en Atrás para ir a la página pertinente y realizar la corrección o modificación.

  15. En la página Ejecución de comandos, haga clic en Siguiente.

  16. On the Online Certificate Request Status page, review the information returned. You should note that the certificate was issued and installed into the local certificate store. Si se notifica que se ha emitido e instalado, pero no es válido, asegúrese de que el certificado raíz de CA se ha instalado en el almacén de CA raíz de confianza del servidor. Refer to your CA documentation on how to retrieve a Trusted Root CA certificate. If you need to view the retrieved certificate, click View Certificate Details. De forma predeterminada, la casilla Asignar el certificado a usos de certificados de Lync Server está activada. If you want to manually assign the certificate, clear the check box, and then click Finish.

  17. Si desmarque la casilla Asignar el certificado a los usos de certificados de Lync Server en la página anterior, se le mostrará la página Asignación de certificado . Haga clic en Siguiente.

  18. En la página Almacén de certificados, seleccione el certificado solicitado. Si desea ver el certificado, haga clic en Ver detalles del certificado y en Siguiente para continuar.

    Nota

    Si la página Estado de solicitud de certificado en línea notifica un problema con el certificado(por ejemplo, si el certificado no es válido), ver el certificado real puede ayudar a resolver el problema. Dos problemas específicos que pueden hacer que un certificado no sea válido son que falte el certificado de la CA raíz de confianza mencionado anteriormente o que falte una clave privada asociada con el certificado. Consulte la documentación de la CA para resolver estos dos problemas.

  19. En la página Resumen de asignación de certificados, revise la información proporcionada para garantizar que este sea el certificado que debe asignarse y haga clic en Siguiente.

  20. En la página Ejecución de comandos, revise el resultado del comando. Haga clic en Ver registro si desea revisar el proceso de asignación o si se ha emitido algún error o advertencia. Cuando termine, haga clic en Finalizar.

  21. En la página Asistente para certificados , compruebe que el estado del certificado es "Asignado" y, a continuación, haga clic en Cerrar.