Solicitar y configurar un certificado para el proxy HTTP inverso en Lync Server 2013

  • Artículo

 

Última modificación del tema: 2014-02-14

Debe instalar el certificado de entidad de certificación raíz (CA) en el servidor que ejecuta Microsoft Forefront Threat Management Gateway 2010 o IIS ARR para la infraestructura de CA que emitió los certificados del servidor a los servidores internos que ejecutan Microsoft Lync Server 2013.

También debe instalar un certificado de servidor web público en el servidor proxy inverso. Los nombres alternativos de asunto de este certificado deben contener los nombres de dominio externos completos (FQDN) publicados de cada grupo que sea el hogar de los usuarios habilitados para el acceso remoto y los FQDN externos de todos los directores o grupos de directores que se usarán dentro de esa infraestructura perimetral. El nombre alternativo del asunto también debe contener la dirección URL simple de la reunión, la url simple de acceso telefónico local y, si va a implementar aplicaciones móviles y tiene previsto usar la detección automática, la dirección URL del servicio de detección automática externa, tal como se muestra en la tabla siguiente.

Valor Ejemplo

Nombre del asunto

FQDN del grupo de servidores

webext.contoso.com

Nombre alternativo de sujeto

FQDN del grupo de servidores

webext.contoso.com

Importante

El nombre del asunto también debe estar presente en el nombre alternativo del asunto.

Nombre alternativo de sujeto

Director servicios web opcionales (si se implementa Director)

webdirext.contoso.com

Nombre alternativo de sujeto

Dirección URL simple de la reunión

Nota

Todas las direcciones URL sencillas de reuniones deben estar en el nombre alternativo del asunto. Cada dominio SIP debe tener al menos una url simple de reunión activa.

meet.contoso.com

Nombre alternativo de sujeto

URL sencilla de marcado

dialin.contoso.com

Nombre alternativo de sujeto

Servidor Office Web Apps

officewebapps01.contoso.com

Nombre alternativo de sujeto

Dirección URL del servicio de detección automática externa

lyncdiscover.contoso.com

Nota

Si también usa Microsoft Exchange Server también tendrá que configurar reglas de proxy inverso para las direcciones URL de detección automática y servicios web de Exchange.

Nota

Si la implementación interna consta de más de un servidor Standard Edition o un grupo de servidores front-end, debe configurar las reglas de publicación web para cada FQDN externo de granja de servidores web y necesitará un certificado y un agente de escucha web para cada uno de ellos, o debe obtener un certificado cuyo nombre alternativo de asunto contiene los nombres usados por todos los grupos, asígnelo a un agente de escucha web y compártalo entre varias reglas de publicación web.

Crear una solicitud de certificado

Se crea una solicitud de certificado en el proxy inverso. Crea una solicitud en otro equipo, pero debe exportar el certificado firmado con la clave privada e importarlo en el proxy inverso una vez que lo haya recibido de la entidad de certificación pública.

Nota

Una solicitud de certificado o una solicitud de firma de certificado (CSR) es una solicitud a una entidad de certificación pública (CA) de confianza para validar y firmar la clave pública del equipo solicitante. Cuando se genera un certificado, se crean una clave pública y una clave privada. Solo se comparte y firma la clave pública. Como su nombre indica, la clave pública estará disponible para cualquier solicitud pública. La clave pública es para que la usen clientes, servidores y otros solicitantes que necesiten intercambiar información de forma segura y validar la identidad de un equipo. La clave privada se mantiene protegida y solo la usa el equipo que creó el par de claves para descifrar mensajes cifrados con su clave pública. La clave privada se puede usar para otros fines. Con fines de proxy inverso, la cifrado de datos es el uso principal. En segundo lugar, la autenticación de certificado en el nivel de clave de certificado es otro uso y se limita solo a la validación de que un solicitante tiene la clave pública del equipo o de que el equipo para el que tiene una clave pública es realmente el equipo que dice ser.

Propina

Si planea los certificados de servidor perimetral y los certificados de proxy inverso al mismo tiempo, debe observar que hay una gran similitud entre los dos requisitos de certificado. Al configurar y solicitar el certificado de servidor perimetral, combine los nombres alternativos del servidor perimetral y el asunto del proxy inverso. Puede usar el mismo certificado para el proxy inverso si exporta el certificado y la clave privada, copia el archivo exportado en el proxy inverso y, a continuación, importa el certificado o el par de claves y lo asigna según sea necesario en los próximos procedimientos. Consulte los requisitos de certificado para el plan de servidor perimetral para certificados de servidor perimetral en Lync Server 2013 y el resumen del certificado de proxy inverso : proxy inverso en Lync Server 2013. Asegúrese de crear el certificado con una clave privada exportable. Es necesario crear el certificado y la solicitud de certificado con una clave privada exportable para los servidores perimetrales agrupados, por lo que esta es una práctica normal y el Asistente para certificados en el Asistente para la implementación de Lync Server para el servidor perimetral le permitirá establecer la marca Hacer que la clave privada exportable . Una vez que reciba la solicitud de certificado de la entidad de certificación pública, exportará el certificado y la clave privada. Consulte la sección "Para exportar el certificado con la clave privada para los servidores perimetrales en un grupo" en el tema Configurar certificados para la interfaz perimetral externa para Lync Server 2013 para obtener más información sobre cómo crear y exportar el certificado con una clave privada. La extensión del certificado debe ser del tipo .pfx.

Para generar una solicitud de firma de certificado en el equipo donde se asignará el certificado y la clave privada, haga lo siguiente:

Crear una solicitud de firma de certificado

  1. Abre Microsoft Management Console (MMC) y agrega el complemento Certificados, selecciona Equipos y, a continuación, expande Personal. Para obtener más información sobre cómo crear una consola de certificados en Microsoft Management Console (MMC), consulte https://go.microsoft.com/fwlink/?LinkId=282616.

  2. Haga clic con el botón derecho en Certificados, haga clic en Todas las tareas, en Operaciones avanzadas y en Crear solicitud personalizada.

  3. En la página Inscripción de certificado , haga clic en Siguiente.

  4. En la página Seleccionar directiva de inscripción de certificados en Solicitud personalizada, seleccione Continuar sin directiva de inscripción. Haga clic en Siguiente.

  5. En la página Solicitud personalizada , en Plantilla , seleccione (Sin plantilla) Clave heredada. A menos que su proveedor de certificados indique lo contrario, deje desactivada la opción Suprimir extensiones predeterminadas y seleccione Solicitar formato en PKCS #10. Haga clic en Siguiente.

  6. En la página Información del certificado , haga clic en Detalles y, a continuación, haga clic en Propiedades.

  7. En la página Propiedades del certificado en la pestaña General del campo Nombre descriptivo , escriba un nombre para este certificado. Si lo desea, escriba una descripción en el campo Descripción . El nombre descriptivo y la descripción normalmente los usa el administrador para identificar cuál es el propósito del certificado, como el agente de escucha de proxy inverso para Lync Server.

  8. Seleccione la pestaña Asunto . En Nombre del asunto del tipo, seleccione Nombre común para el tipo de asunto. En Valor, escriba el nombre del asunto que usará para el proxy inverso y, a continuación, haga clic en Agregar. En el ejemplo proporcionado en la tabla de este tema, el nombre del asunto se webext.contoso.com y se escribiría en el campo Valor del nombre del asunto.

  9. En la pestaña Asunto , en Nombre alternativo, seleccione DNS en la lista desplegable para Tipo. Para cada nombre alternativo de asunto definido que necesite en el certificado, escriba el nombre de dominio completo y, a continuación, haga clic en Agregar. Por ejemplo, en la tabla hay tres nombres alternativos de temas, meet.contoso.com, dialin.contoso.com y lyncdiscover.contoso.com. En el campo Valor , escriba meet.contoso.com y, a continuación, haga clic en Agregar. Repita este procedimiento para cada nombre alternativo de asunto que necesite definir.

  10. En la página Propiedades del certificado , haga clic en la pestaña Extensiones . En esta página, definirá los fines de las claves criptográficas en Uso de claves y el uso de claves extendido en Uso de claves extendido (directivas de aplicación).

  11. Haga clic en la flecha Uso de claves para mostrar las Opciones disponibles. En Opciones disponibles, haga clic en Firma digital y, a continuación, haga clic en Agregar. Haga clic en Cifrado de teclas y, a continuación, haga clic en Agregar. Si la casilla hacer que estos usos de claves sean críticos está desactivada, activa la casilla.

  12. Haga clic en la flecha Uso extendido de claves (directivas de aplicación) para mostrar las opciones disponibles. En Opciones disponibles, haga clic en Autenticación de servidor y, a continuación, haga clic en Agregar. Haga clic en Autenticación de cliente y, a continuación, haga clic en Agregar. Si la casilla hacer que los usos de claves extendidos sean críticos está activada, desmarque la casilla. Al contrario que la casilla Uso de claves (que debe estar activada), debe estar seguro de que la casilla Uso de claves extendida no está activada.

  13. En la página Propiedades del certificado , haga clic en la pestaña Clave privada . Haga clic en la flecha Opciones de tecla . Para Tamaño de tecla, seleccione 2048 en la lista desplegable. Si está generando este par de claves y CSR en un equipo que no sea el proxy inverso para el que está diseñado este certificado, seleccione Hacer que la clave privada se exporte.

    Nota de seguridad:
    Al seleccionar Hacer que una clave privada se exporte , generalmente se recomienda que tenga más de un proxy inverso en una granja de servidores, ya que copiará el certificado y la clave privada en cada equipo de la granja de servidores. Si permite una clave privada exportable, debe tener más cuidado con el certificado y el equipo en el que se genera. La clave privada, si se ve comprometida, hará que el certificado sea inútil, así como exponer potencialmente el equipo o los equipos a acceso externo y otras vulnerabilidades de seguridad.

  14. En la pestaña Clave privada , haga clic en la flecha Tipo de clave . Seleccione la opción Exchange .

  15. Haga clic en Aceptar para guardar las propiedades de certificado que ha establecido.

  16. En la página Inscripción de certificado , haga clic en Siguiente.

  17. En la página ¿Dónde desea guardar la solicitud sin conexión? , se le pedirá un nombre de archivo y un formato de archivo para guardar la solicitud de firma de certificado.

  18. En el campo de entrada Nombre de archivo, escriba una ruta de acceso y un nombre de archivo para la solicitud o haga clic en Examinar para seleccionar una ubicación para el archivo y escriba el nombre de archivo de la solicitud.

  19. Para formato de archivo, haga clic en Base 64 o binario. Seleccione Base 64 a menos que el proveedor le indique lo contrario para sus certificados.

  20. Busque el archivo de solicitud que guardó en el paso anterior. Envíalo a la entidad de certificación pública.

    Importante

    Microsoft ha identificado ca públicas que cumplen los requisitos para fines de comunicaciones unificadas. En el artículo knowledge base siguiente se mantiene una lista. https://go.microsoft.com/fwlink/?LinkId=282625