Share via

Configurar certificados para la interfaz perimetral externa en Lync Server 2013

  • Artículo

 

Última modificación del tema: 2012-09-08

Importante

Al ejecutar el Asistente para certificados, asegúrese de que ha iniciado sesión con una cuenta que es miembro de un grupo al que se han asignado los permisos adecuados para el tipo de plantilla de certificado que usará. De forma predeterminada, una solicitud de certificado de Lync Server usará la plantilla de certificado de Servidor web. Si usa una cuenta que es miembro del grupo RTCUniversalServerAdmins para solicitar un certificado con esta plantilla, compruebe que se han asignado al grupo los permisos de inscripción necesarios para usar esa plantilla.

Cada servidor perimetral requiere un certificado público en la interfaz entre la red perimetral e Internet, y el nombre alternativo del asunto del certificado debe contener los nombres externos del servicio perimetral de acceso y del servicio perimetral de conferencia web nombres de dominio completos (FQDN).

Para obtener más información sobre este y otros requisitos de certificado, consulte Requisitos de certificado para el acceso de usuarios externos en Lync Server 2013.

Para obtener una lista de entidades de certificación (CA) públicas que proporcionan certificados que cumplen con requisitos específicos para los certificados de comunicaciones unificadas y se han asociado con Microsoft para asegurarse de que funcionan con el Asistente para certificados de Lync Server 2013, consulte el artículo de Microsoft Knowledge Base 929395 " Unified Communications Certificate Partners for Exchange Server and for Communications Server", en https://go.microsoft.com/fwlink/p/?linkId=202834.

Configuración de certificados en las interfaces externas

Para configurar un certificado en la interfaz perimetral externa de un sitio, use los procedimientos descritos en esta sección para hacer lo siguiente:

  • Cree la solicitud de certificado para la interfaz externa del servidor perimetral.

  • Envíe la solicitud a su ca pública.

  • Importe el certificado para la interfaz externa de cada servidor perimetral.

  • Asigne el certificado para la interfaz externa de cada servidor perimetral.

  • Si la implementación incluye varios servidores perimetrales, exporte el certificado junto con su clave privada y, a continuación, cópielo en los otros servidores perimetrales. Después, para cada servidor perimetral, impórtelo y asígnelo como se describió anteriormente. Repita este procedimiento para cada servidor perimetral.

Puede solicitar certificados públicos directamente a una entidad de certificación pública (por ejemplo, desde el sitio web de una CA pública). Los procedimientos descritos en esta sección usan el Asistente para certificados para la mayoría de las tareas de certificado. Si decide solicitar un certificado directamente desde una CA pública, deberá modificar cada procedimiento según corresponda para solicitar, transportar e importar el certificado, así como para importar la cadena de certificados.

Cuando solicita un certificado de una CA externa, las credenciales proporcionadas deben tener derechos para solicitar un certificado de esa CA. Cada CA tiene una directiva de seguridad que define qué credenciales (es decir, nombres de usuarios y grupos específicos) pueden solicitar, emitir, administrar o leer certificados.

Si decide usar la Consola de administración de Microsoft (MMC) de certificados para importar la cadena de certificados y el certificado, debe importarlos al almacén de certificados del equipo. Si los importa al almacén de certificados de usuario o servicio, el certificado no estará disponible para la asignación en el Asistente para certificados de Lync Server 2013.

Para crear la solicitud de certificado para la interfaz externa del servidor perimetral

  1. En el servidor perimetral, en el Asistente para la implementación, junto al Paso 3: Solicitar, instalar o asignar certificados, haga clic en Ejecutar de nuevo.

    Nota

    Si su organización quiere admitir la conectividad de mensajería instantánea pública (MI) con AOL, no puede usar el Asistente para la implementación de Lync Server para solicitar el certificado. En su lugar, siga los pasos del procedimiento "Para crear una solicitud de certificado para la interfaz externa del servidor perimetral para admitir la conectividad de mensajería instantánea pública con AOL" que aparece más adelante en este tema.
    Si tiene varios servidores perimetrales en una ubicación de un grupo, puede ejecutar el Asistente para certificados de Lync Server 2013 en cualquiera de los servidores perimetrales.

  2. En la página Tareas de certificado disponibles, haga clic en Crear una nueva solicitud de certificado.

  3. En la página Solicitud de certificado , haga clic en Certificado de servidor perimetral externo.

  4. En la página Solicitud inmediata o Con retraso , active la casilla Preparar la solicitud ahora, pero enviarla más tarde .

  5. En la página Archivo de solicitud de certificado , escriba la ruta de acceso completa y el nombre de archivo del archivo en el que se va a guardar la solicitud (por ejemplo, c:\cert_exernal_edge.cer).

  6. En la página Especificar plantilla de certificado alternativa , para usar una plantilla que no sea la plantilla predeterminada de WebServer, active la casilla Usar plantilla de certificado alternativa para la entidad de certificación seleccionada .

  7. En la página Configuración de nombre y seguridad , haga lo siguiente:

    • En Nombre descriptivo, escriba un nombre para mostrar para el certificado.

    • En Longitud de bits, especifique la longitud de bits (normalmente, el valor predeterminado de 2048).

    • Compruebe que la casilla Marcar la clave privada del certificado como exportable está activada.

  8. En la página Información de la organización, escriba el nombre de la organización y la unidad organizativa (por ejemplo, una división o un departamento).

  9. En la página Información geográfica , especifique la información de ubicación.

  10. En la página Nombre del asunto/Nombres alternativos de asunto, se muestra la información que el asistente rellenará automáticamente. Si se necesitan nombres alternativos de asunto adicionales, debe especificarlos en los dos pasos siguientes.

  11. En la página Configuración de dominio SIP en nombres alternativos de asunto (SAN), active la casilla de verificación del dominio para agregar un sip.< entrada sipdomain> a la lista de nombres alternativos del asunto.

  12. En la página Configurar nombres alternativos de asunto adicionales , especifique los nombres alternativos de asunto adicionales necesarios.

  13. En la página Resumen de la solicitud , revise la información del certificado que se usará para generar la solicitud.

  14. Cuando terminen de ejecutarse los comandos, haga lo siguiente:

    • Para ver el registro de la solicitud de certificado, haga clic en Ver registro.

    • Para completar la solicitud de certificado, haga clic en Siguiente.

  15. En la página Archivo de solicitud de certificado , haga lo siguiente:

    • Para ver el archivo de solicitud de firma de certificado (CSR) generado, haga clic en Ver.

    • Para cerrar el asistente, haga clic en Finalizar.

  16. Copie el archivo de salida a una ubicación donde pueda enviarlo a la CA pública.

Para crear una solicitud de certificado para la interfaz externa del servidor perimetral para admitir la conectividad de mensajería instantánea pública con AOL

  1. Cuando la plantilla necesaria esté disponible para la entidad de certificación, use el siguiente cmdlet de Windows PowerShell en el servidor perimetral para solicitar el certificado:

    Request-CsCertificate -New -Type AccessEdgeExternal  -Output C:\ <certfilename.txt or certfilename.csr>  -ClientEku $true -Template <template name>

    El nombre de certificado predeterminado de la plantilla proporcionada en Lync Server 2013 es Web Server. Especifique solo el nombre> de la <plantilla si necesita usar una plantilla distinta de la plantilla predeterminada.

    Nota

    Si su organización quiere admitir la conectividad de mensajería instantánea pública con AOL, debe usar Windows PowerShell en lugar del Asistente para certificados para solicitar que el certificado se asigne al perímetro externo del servicio perimetral de acceso. Esto se debe a que la plantilla de Servidor web de Lync Server 2013 que usa el Asistente para certificados para solicitar un certificado no admite la configuración de EKU del cliente. Antes de usar Windows PowerShell para crear el certificado, el administrador de ca debe crear e implementar una nueva plantilla que admita EKU del cliente.

Para enviar una solicitud a una entidad de certificación pública

  1. Abra el archivo de salida.

  2. Copie y pegue el contenido de la solicitud de firma de certificado (CSR).

  3. Si se le solicita, especifique lo siguiente:

    • Microsoft como plataforma de servidor.

    • IIS como la versión.

    • Servidor web como tipo de uso.

    • PKCS7 como formato de respuesta.

  4. Cuando la ca pública haya comprobado su información, recibirá un mensaje de correo electrónico que contiene el texto necesario para su certificado.

  5. Copie el texto del mensaje de correo electrónico y guarde el contenido en un archivo de texto (.txt) en el equipo local.

Para importar el certificado para la interfaz externa del servidor perimetral

  1. Inicie sesión como miembro del grupo Administradores en el mismo servidor perimetral en el que creó la solicitud de certificado.

  2. En el Asistente para la implementación, en la página Implementar servidor perimetral , junto al Paso 3: Solicitar, instalar o asignar certificados, haga clic en Ejecutar de nuevo.

  3. En la página Tareas de certificado disponibles , haga clic en Importar un certificado de un archivo .p7b, pfx o .cer.

  4. En la página Importar certificado , haga clic en Examinar para buscar y seleccionar el certificado que solicitó para la interfaz externa del servidor perimetral (o bien, puede escribir la ruta de acceso completa y el nombre de archivo). Si el certificado contiene una clave privada, seleccione Archivo de certificado contiene la clave privada del certificado y escriba la contraseña de la clave privada. Haga clic en Siguiente.

  5. En la página Importar resumen de certificados , revise el resumen y, a continuación, haga clic en Siguiente.

  6. En Ejecutar comandos, revise los resultados de la importación, haga clic en Ver registro para obtener más información según sea necesario y, a continuación, haga clic en Finalizar para completar la importación del certificado.

  7. Si está configurando un grupo de servidores perimetrales, exporte el certificado con su clave privada como se describe en el procedimiento "Para exportar el certificado con la clave privada para los servidores perimetrales de un grupo" que aparece más adelante en este tema. Copia el archivo de certificado exportado en los otros servidores perimetrales e impórtalo en el almacén de equipos de cada servidor perimetral.

Para exportar el certificado con la clave privada de los servidores perimetrales de un grupo

  1. Inicie sesión como miembro del grupo Administradores en el mismo servidor perimetral en el que importó el certificado.

  2. Haga clic en Inicio, haga clic en Ejecutar y escriba MMC.

  3. En la consola de Microsoft Management Console (MMC), haga clic en Archivo y, a continuación, haga clic en Agregar o quitar complemento.

  4. En Agregar o quitar complementos, haga clic en Certificados y, a continuación, haga clic en Agregar.

  5. En el cuadro de diálogo Certificados , seleccione Cuenta de equipo, haga clic en Siguiente, seleccione Equipo local: (el equipo en el que se ejecuta esta consola) en Seleccionar equipo, haga clic en Finalizar y, a continuación, haga clic en Aceptar para completar la configuración de la consola MMC.

  6. Haga doble clic en Certificados (equipo local) para expandir los almacenes de certificados, haga doble clic en Personal y, a continuación, haga doble clic en Certificados.

    Importante

    Si no hay certificados en el almacén personal de certificados para el equipo local, no hay ninguna clave privada asociada al certificado que se importó. Revise los pasos de solicitud e importación. Si el problema continúa, ponte en contacto con el administrador o proveedor de la entidad de certificación.

  7. En el almacén personal de certificados del equipo local, haga clic con el botón secundario en el certificado que va a exportar, haga clic en Todas las tareas y, a continuación, haga clic en Exportar.

  8. En el Asistente para la exportación de certificados, haga clic en Siguiente, seleccione Sí, exporte la clave privada y, a continuación, haga clic en Siguiente.

    Nota

    Si la selección Sí, exportar la clave privada no está disponible, la clave privada asociada a este certificado no se marcó para la exportación. Tendrá que volver a solicitar el certificado, asegurándose de que el certificado está marcado para permitir la exportación de la clave privada antes de poder continuar con la exportación. Póngase en contacto con el administrador o proveedor de la entidad de certificación.

  9. En el cuadro de diálogo Exportar formatos de archivo, seleccione Intercambio de información personal – PKCS#12 (. PFX) y, a continuación, selecciona lo siguiente:

    • Incluir todos los certificados en la ruta de certificación si es posible

    • Exportar todas las propiedades extendidas

      Advertencia

      Al exportar el certificado desde un servidor perimetral, no seleccione Eliminar la clave privada si la exportación se realiza correctamente. Si selecciona esta opción, tendrá que importar el certificado y la clave privada a este servidor perimetral.

  10. Haga clic en Siguiente.

  11. Escriba una contraseña para la clave privada, vuelva a escribir la contraseña para confirmarla y, a continuación, haga clic en Siguiente.

  12. Escriba la ruta y el nombre de archivo del certificado exportado, con la extensión de archivo .pfx. La ruta de acceso debe ser accesible para todos los demás servidores perimetrales del grupo o puede transportarse mediante medios extraíbles, por ejemplo, una unidad flash USB. Haga clic en Siguiente.

  13. Revise el resumen en Completar el Asistente para exportación de certificados y, a continuación, haga clic en Finalizar.

  14. En el cuadro de diálogo de exportación correcto, haga clic en Aceptar.

  15. Importe el archivo de certificado exportado a los otros servidores perimetrales siguiendo los pasos descritos en el procedimiento "Para importar el certificado para la interfaz externa del servidor perimetral" anteriormente en este tema.

Para asignar el certificado para la interfaz externa del servidor perimetral

  1. En cada servidor perimetral, en el Asistente para la implementación, junto al Paso 3: Solicitar, instalar o asignar certificados, haga clic en Ejecutar de nuevo.

  2. En la página Tareas de certificado disponibles , haga clic en Asignar un certificado existente.

  3. En la página Asignación de certificado , haga clic en Certificado perimetral externo y seleccione la casilla Usos avanzados de certificados .

  4. En la página Usos avanzados de certificados, active todas las casillas para asignar el certificado a todos los usos.

  5. En la página Almacén de certificados , seleccione el certificado público que solicitó e importó para la interfaz externa del servidor perimetral.

    Nota

    Si el certificado que has solicitado e importado no está en la lista, uno de los métodos de grabación de problemas es comprobar que el nombre del asunto y los nombres alternativos del asunto del certificado cumplen todos los requisitos del certificado y, si has importado manualmente el certificado y la cadena de certificados en lugar de usar los procedimientos anteriores, que el certificado está en el almacén de certificados correcto (el almacén de certificados del equipo, no el almacén de certificados de servicio o usuario).

  6. En la página Resumen de asignaciones de certificados, revise la configuración y, a continuación, haga clic en Siguiente para asignar los certificados.

  7. En la página de finalización del asistente, haga clic en Finalizar.

  8. Después de usar este procedimiento para asignar el certificado perimetral, abra el complemento Certificado en cada servidor, expanda Certificados (equipo local), expanda Personal, haga clic en Certificados y, a continuación, compruebe en el panel de detalles que se muestra el certificado.

  9. Si la implementación incluye varios servidores perimetrales, repita este procedimiento para cada servidor perimetral.