Share via

Configurar certificados para la interfaz perimetral interna en Lync Server 2013

  • Artículo

 

Última modificación del tema: 2013-11-07

Importante

Al ejecutar el Asistente para certificados, asegúrese de que ha iniciado sesión con una cuenta que es miembro de un grupo al que se han asignado los permisos adecuados para el tipo de plantilla de certificado que usará. De forma predeterminada, una solicitud de certificado de Lync Server 2013 usará la plantilla de certificado de Servidor web. Si usa una cuenta que es miembro del grupo RTCUniversalServerAdmins para solicitar un certificado con esta plantilla, compruebe que se han asignado al grupo los permisos de inscripción necesarios para usar esa plantilla.

Se requiere un único certificado en la interfaz interna de cada servidor perimetral. Los certificados para la interfaz interna pueden ser emitidos por una entidad de certificación empresarial interna (CA) o una CA pública. Si su organización tiene una CA interna implementada, puede ahorrar en gastos de uso de certificados públicos mediante el uso de la CA interna para emitir el certificado para la interfaz interna. Puede usar una CA interna de Windows Server 2008 o una CA de Windows Server 2008 R2 para crear estos certificados.

Para obtener más información sobre este y otros requisitos de certificado, consulte Requisitos de certificado para el acceso de usuarios externos en Lync Server 2013.

Para configurar certificados en la interfaz perimetral interna de un sitio, use los procedimientos descritos en esta sección para hacer lo siguiente:

  1. Descarga la cadena de certificación de CA para la interfaz interna en cada servidor perimetral.

  2. Importe la cadena de certificación de CA para la interfaz interna, en cada servidor perimetral.

  3. Cree la solicitud de certificado para la interfaz interna, en un servidor perimetral, denominado el primer servidor perimetral.

  4. Importe el certificado para la interfaz interna en el primer servidor perimetral.

  5. Importe el certificado en los otros servidores perimetrales de este sitio (o implementado detrás de este equilibrador de carga).

  6. Asigne el certificado para la interfaz interna de cada servidor perimetral.

Si tiene más de un sitio con servidores perimetrales (es decir, una topología de servidor perimetral de varios sitios) o conjuntos independientes de servidores perimetrales implementados detrás de diferentes equilibradores de carga, debe seguir estos pasos para cada sitio que tenga servidores perimetrales y para cada conjunto de servidores perimetrales implementados detrás de un equilibrador de carga diferente.

Nota

Los pasos para los procedimientos de esta sección se basan en el uso de una CA de Windows Server 2008, CA de Windows Server 2008 R2, CA de Windows Server 2012 o ca de Windows Server 2012 R2 para crear un certificado para cada servidor perimetral. Para obtener instrucciones paso a paso para cualquier otra ca, consulte la documentación de esa CA. De forma predeterminada, todos los usuarios autenticados tienen los derechos de usuario adecuados para solicitar certificados.
Los procedimientos descritos en esta sección se basan en la creación de solicitudes de certificado en el servidor perimetral como parte del proceso de implementación del servidor perimetral. Es posible crear solicitudes de certificado mediante el servidor front-end. Puede hacerlo para completar la solicitud de certificado al principio del proceso de planeación e implementación, antes de iniciar la implementación de los servidores perimetrales. Para ello, debe asegurarse de que el certificado que solicita está definido con una clave privada exportable.
Los procedimientos descritos en esta sección describen el uso de un archivo .cer y .p7b para el certificado. Si utiliza otro tipo de archivo, modifique estos procedimientos según corresponda.

Para descargar la cadena de certificación de CA para la interfaz interna mediante el sitio web certsrv

  1. Inicie sesión en un servidor de Lync Server 2013 en la red interna (es decir, no en el servidor perimetral) como miembro del grupo Administradores .

  2. Ejecuta el siguiente comando en un símbolo del sistema. Para ello, haz clic en Inicio, haz clic en Ejecutar y, a continuación, escribe lo siguiente:

    https://<name of your Issuing CA Server>/certsrv

    Por ejemplo:

    https://ca01.contoso.net/certsrv

    Nota

    Si usa una CA de empresa de Windows Server 2008 o Windows Server 2008 R2, debe usar https, no http.

  3. En la página web certsrv de la CA que emite el certificado, en Seleccione una tarea, haga clic en Descargar certificado de CA, cadena de certificados o CRL.

  4. Bajo Descargar un certificado de CA, cadena de certificados, o CRL, haga clic en Descargar cadena de certificados de CA.

  5. En el cuadro de diálogo Descarga de archivos , haga clic en Guardar.

  6. Guarda el archivo .p7b en la unidad de disco duro del servidor y, a continuación, cópialo en una carpeta de cada servidor perimetral.

    Nota

    El archivo .p7b contiene todos los certificados que están en la ruta de certificación. Para ver la ruta de certificación, abra el certificado del servidor y haga clic en la ruta de certificación.

Para exportar la cadena de certificación de CA para la interfaz interna con MMC

  1. Puede exportar el certificado raíz de ca desde cualquier equipo unido a un dominio mediante microsoft management console (MMC). Haga clic en Inicio, haga clic en Ejecutar y escriba MMC.

  2. En la consola MMC, haga clic en Archivo y en Agregar o quitar.

  3. En la lista de diálogo Agregar o quitar complementos , seleccione Certificados y haga clic en Agregar. Cuando se le solicite, seleccione Cuenta de equipo. En el diálogo Seleccionar equipo, seleccione Equipo local. Haga clic en Finalizar. Haga clic en Aceptar.

  4. Expanda Certificados (equipo local). Expanda Entidades de certificación raíz de confianza y seleccione Certificados.

  5. Haga clic en el certificado raíz emitido por su CA. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas, seleccione Exportar. Se abrirá el Asistente para exportación de certificados .

  6. En el Asistente para exportación de certificados, haga clic en Siguiente.

  7. En el cuadro de diálogo Exportar formato de archivo , seleccione el formato al que desea exportar. Se recomienda el estándar de sintaxis de mensajes criptográficos: PKCS #7 Certificados (. P7B). Si selecciona el Estándar de sintaxis de mensajes criptográficos: PKCS #7 Certificados (. P7B), seleccione la casilla Incluir todos los certificados en la ruta de certificación si es posible para exportar la cadena de certificados, incluido el certificado de CA raíz y cualquier certificado de CA intermedio. Haga clic en Siguiente.

  8. En el cuadro de diálogo Archivo para exportar de la entrada del nombre de archivo, escriba una ruta de acceso y un nombre de archivo (la extensión predeterminada es .p7b) para el certificado exportado. Opcionalmente, haga clic en Examinar, busque un directorio donde colocar el certificado exportado y proporcione un nombre para el certificado exportado. Haga clic en Guardar . Haga clic en Siguiente.

  9. Revise el resumen de las acciones y haga clic en Finalizar para completar la exportación del certificado. Haga clic en Aceptar para confirmar si la exportación se ha completado correctamente.

Para importar la cadena de certificación de CA para la interfaz interna

  1. En cada servidor perimetral, abre Microsoft Management Console (MMC) haciendo clic en Inicio, en Ejecutar, escribiendo mmc en el cuadro Abrir y, a continuación, haciendo clic en Aceptar.

  2. En el menú Archivo , haga clic en Agregar o quitar complemento y, a continuación, haga clic en Agregar.

  3. En el cuadro Agregar complementos independientes , haga clic en Certificados y, a continuación, haga clic en Agregar.

  4. En el cuadro de diálogo Complemento de certificados, haga clic en Cuenta de equipo y luego haga clic en Siguiente.

  5. En el cuadro de diálogo Seleccionar equipo , asegúrese de que la casilla Equipo local: (el equipo con el que se está ejecutando la consola) está activada y, a continuación, haga clic en Finalizar.

  6. Haga clic en Cerrar y, a continuación, haga clic en Aceptar.

  7. En el árbol de consola, expanda Certificados (equipo local), haga clic con el botón derecho en Entidades de certificación raíz de confianza, seleccione Todas las tareas y, a continuación, haga clic en Importar.

  8. En el asistente, en Archivo para importar, especifique el nombre de archivo del certificado (es decir, el nombre que especificó al descargar la cadena de certificación de CA para la interfaz interna en el procedimiento anterior).

  9. Repita este procedimiento en cada servidor perimetral.

Para crear la solicitud de certificado para la interfaz interna

  1. En uno de los servidores perimetrales, inicie el Asistente para la implementación y, junto al Paso 3: Solicitar, instalar o asignar certificados, haga clic en Ejecutar.

    Nota

    Si tiene varios servidores perimetrales en una ubicación de un grupo, puede ejecutar el Asistente para certificados en cualquiera de los servidores perimetrales.
    Después de ejecutar el paso 3 por primera vez, el botón cambia a Ejecutar de nuevo y no se muestra una marca de verificación verde que indique que se ha completado correctamente la tarea hasta que se hayan solicitado, instalado y asignado todos los certificados necesarios.

  2. En la página Tareas de certificado disponibles, haga clic en Crear una nueva solicitud de certificado.

  3. En la página Solicitud de certificado , haga clic en Siguiente.

  4. En la página Solicitudes retrasadas o inmediatas, haga clic en Prepare ahora la solicitud, pero envíela más tarde.

  5. En la página Archivo de solicitud de certificado , escriba la ruta de acceso completa y el nombre de archivo en el que se guardará la solicitud (por ejemplo, c:\cert_internal_edge.cer).

  6. En la página Especificar plantilla de certificado alternativa , para usar una plantilla que no sea la plantilla predeterminada de WebServer, active la casilla Usar plantilla de certificado alternativa para la entidad emisora de certificados seleccionada.

  7. En la página Configuración de nombre y seguridad , haga lo siguiente:

    • En Nombre descriptivo, escribe un nombre para mostrar para el certificado (por ejemplo, Borde interno).

    • En Longitud de bits, especifique la longitud de bits (normalmente, el valor predeterminado de 2048).

      Nota

      Las longitudes de bits más altas ofrecen más seguridad, pero tienen un impacto negativo en la velocidad.

    • Si el certificado debe poder exportarse, active la casilla Marcar clave privada del certificado como exportable .

  8. En la página Información de la organización, escriba el nombre de la organización y la unidad organizativa (por ejemplo, una división o un departamento).

  9. En la página Información geográfica , especifique la información de ubicación.

  10. En la página Nombre del asunto/Nombres alternativos de asunto, se muestra la información que el asistente rellenará automáticamente.

  11. En la página Configurar nombres alternativos de asunto adicionales , especifique los nombres alternativos de asunto adicionales necesarios.

  12. En la página Resumen de la solicitud , revise la información del certificado que se va a usar para generar la solicitud.

  13. Una vez completados los comandos, haga lo siguiente:

    • Para ver el registro de la solicitud de certificado, haga clic en Ver registro.

    • Para completar la solicitud de certificado, haga clic en Siguiente.

  14. En la página Archivo de solicitud de certificado , haga lo siguiente:

    • Para ver el archivo de solicitud de firma de certificado (CSR) generado, haga clic en Ver.

    • Para cerrar el asistente, haga clic en Finalizar.

  15. Envíe este archivo a su CA (por correo electrónico u otro método admitido por su organización para su CA empresarial) y, cuando reciba el archivo de respuesta, copie el nuevo certificado en este equipo para que esté disponible para la importación.

Para importar el certificado para la interfaz interna

  1. Inicie sesión en el servidor perimetral en el que creó la solicitud de certificado como miembro del grupo de administradores locales.

  2. En el Asistente para la implementación, junto al Paso 3: Solicitar, instalar o asignar certificados, haga clic en Ejecutar de nuevo.

    Después de ejecutar el paso 3 por primera vez, el botón cambia a Ejecutar de nuevo, pero no se muestra una marca de verificación verde (que indica la finalización correcta de la tarea) hasta que se hayan solicitado, instalado y asignado todos los certificados necesarios.

  3. En la página Tareas de certificado disponibles , haga clic en Importar un certificado de un . Archivo P7b, .pfx o .cer.

  4. En la página Importar certificado , escribe la ruta de acceso completa y el nombre de archivo del certificado que solicitaste y recibiste para la interfaz interna de este servidor perimetral (o haz clic en Examinar para buscar y seleccionar el archivo).

  5. Si va a importar certificados para otros miembros del grupo de un certificado que contiene una clave privada, seleccione la casilla El archivo de certificado contiene la clave privada de certifcate y especifique la contraseña.

Para exportar el certificado con la clave privada de los servidores perimetrales de un grupo

  1. Inicie sesión como miembro del grupo Administradores en el mismo servidor perimetral en el que importó el certificado.

  2. Haga clic en Inicio, haga clic en Ejecutar y escriba MMC.

  3. En la consola MMC, haga clic en Archivo y en Agregar o quitar complemento.

  4. En la página Agregar o quitar complementos, haga clic en Certificados y en Agregar.

  5. En el cuadro de diálogo del complemento Certificados, seleccione Cuenta de equipo. Haga clic en Siguiente. En Seleccionar equipo, selecciona Equipo local: (el equipo en el que se ejecuta esta consola). Haga clic en Finalizar. Haga clic en Aceptar para completar la configuración de la consola MMC.

  6. Haga doble clic en Certificados (equipo local) para expandir los almacenes de certificados. Haga doble clic en Personal y, a continuación, haga doble clic en Certificados.

    Importante

    Si no hay certificados en el almacén personal de certificados para el equipo local, no hay ninguna clave privada asociada al certificado que se importó. Revise los pasos de solicitud e importación. Si el problema continúa, ponte en contacto con el administrador o proveedor de la entidad de certificación.

  7. En el almacén personal de certificados del equipo local, haga clic con el botón secundario en el certificado que va a exportar. Haga clic en Todas las tareas y en Exportar.

  8. En el Asistente para exportación de certificados, haga clic en Siguiente. Seleccione Sí, exportar la clave privada. Haga clic en Siguiente.

    Nota

    Si la selección Sí, exportar la clave privada no está disponible, la clave privada asociada a este certificado no se marcó para la exportación. Tendrá que volver a solicitar el certificado, asegurándose de que el certificado está marcado para permitir la exportación de la clave privada antes de poder continuar con la exportación. Póngase en contacto con el administrador o proveedor de la entidad de certificación.

  9. En el cuadro de diálogo Exportar formatos de archivo, seleccione Intercambio de información personal – PKCS#12 (. PFX) y, a continuación, selecciona lo siguiente:

    • Incluir todos los certificados en la ruta de certificación si es posible

    • Exportar todas las propiedades extendidas

      Advertencia

      Al exportar el certificado desde un servidor perimetral, no seleccione Eliminar la clave privada si la exportación se realiza correctamente. Si selecciona esta opción, tendrá que importar el certificado y la clave privada a este servidor perimetral.

    Haga clic en Siguiente para continuar.

  10. Si desea asignar una contraseña para proteger la clave privada, escriba una contraseña para la clave privada. Vuelva a escribir la contraseña para confirmar. Haga clic en Siguiente.

  11. Escriba la ruta y el nombre de archivo del certificado exportado, con la extensión de archivo .pfx. La ruta de acceso debe ser accesible para todos los demás servidores perimetrales del grupo o puede transportarse mediante medios extraíbles, por ejemplo, una unidad flash USB. Haga clic en Siguiente.

  12. Revise el resumen en el cuadro de diálogo Completando el Asistente para exportación de certificados. Haga clic en Finalizar.

  13. Haga clic en Aceptar en el cuadro de diálogo de exportación correcta.

  14. Importe el archivo de certificado exportado a los demás servidores perimetrales siguiendo los pasos descritos en los procedimientos configurar certificados para la interfaz perimetral externa para Lync Server 2013 .

Para asignar el certificado interno en los servidores perimetrales

  1. En cada servidor perimetral, en el Asistente para la implementación, junto al Paso 3: Solicitar, instalar o asignar certificados, haga clic en Ejecutar de nuevo.

  2. En la página Tareas de certificado disponibles , haga clic en Asignar un certificado existente.

  3. En la página Asignación del certificado, seleccione Interfaz perimetral interna en la lista.

  4. En la página Almacén de certificados , seleccione el certificado que importó para el borde interno (del procedimiento anterior).

  5. En la página Resumen de asignaciones de certificados, revise la configuración y, a continuación, haga clic en Siguiente para asignar los certificados.

  6. En la página de finalización del asistente, haga clic en Finalizar.

  7. Después de usar este procedimiento para asignar el certificado perimetral interno, abra el complemento Certificado en cada servidor, expanda Certificados (equipo local), expanda Personal, haga clic en Certificados y, a continuación, compruebe en el panel de detalles que se muestra el certificado perimetral interno.

  8. Si la implementación incluye varios servidores perimetrales, repita este procedimiento para cada servidor perimetral.