Asignar un certificado de autenticación de servidor a servidor a Skype Empresarial Server 2015Assign a server-to-server authentication certificate to Skype for Business Server 2015

Resumen: Asignar un certificado de autenticación de servidor a servidor de Skype para Business Server 2015.Summary: Assign a server-to-server authentication certificate for Skype for Business Server 2015.

Para determinar si es o no un certificado de autenticación de servidor a servidor ya ha sido asignado a Skype para Business Server 2015, ejecute el comando siguiente desde el Skype para el Shell de administración de servidor de negocios:To determine whether or not a server-to-server authentication certificate has already been assigned to Skype for Business Server 2015, run the following command from the Skype for Business Server Management Shell:

Get-CsCertificate -Type OAuthTokenIssuer

Si no recibe información del certificado, necesita asignar un certificado del emisor de token para poder usar la autenticación de servidor a servidor.If no certificate information is returned you must assign a token issuer certificate before you can use server-to-server authentication. Como regla general, puede utilizarse cualquier Skype para certificados de servidor de negocios 2015 como su certificado de OAuthTokenIssuer; Por ejemplo, su Skype para certificado de servidor de negocios 2015 predeterminado también puede utilizarse como el certificado OAuthTokenIssuer.As a general rule, any Skype for Business Server 2015 certificate can be used as your OAuthTokenIssuer certificate; for example, your Skype for Business Server 2015 default certificate can also be used as the OAuthTokenIssuer certificate. (El certificado de OAUthTokenIssuer también puede ser cualquier certificado de servidor Web que incluye el nombre de su dominio SIP en el campo Asunto.) Éstas son los dos requisitos principales para el certificado utilizado para la autenticación de servidor a servidor: 1) el mismo certificado debe configurarse como el certificado de OAuthTokenIssuer en todos los servidores frontales; y, 2) del certificado debe ser de al menos 2048 bits.(The OAUthTokenIssuer certificate can also be any Web server certificate that includes the name of your SIP domain in the Subject field.) The primary two requirements for the certificate used for server-to-server authentication are these: 1)the same certificate must be configured as the OAuthTokenIssuer certificate on all of your Front End Servers; and, 2) the certificate must be at least 2048 bits.

Si no dispone de un certificado que pueda usarse para la autenticación de servidor a servidor, puede obtener uno nuevo, importarlo y usarlo para este tipo de autenticación.If you do not have a certificate that can be used for server-to-server authentication you can obtain a new certificate, import the new certificate, and then use that certificate for server-to-server authentication. Después de haber solicitado y obtenido el nuevo certificado puede iniciar sesión en cualquiera de los servidores frontales y utilice un comando de Windows PowerShell similar a éste para importar y asignar ese certificado:After you have requested and obtained the new certificate you can then log on to any one of your Front End Servers and use a Windows PowerShell command similar to this one to import and assign that certificate:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

En el comando anterior, el parámetro Path representa la ruta de acceso completa al archivo de certificado, y el parámetro Password representa la contraseña que se asignó al certificado.In the preceding command the Path parameter represents the full path to the certificate file, and the Password parameter represents the password that was assigned to the certificate. Este procedimiento debe ejecutarse sólo una vez: el Skype para el servicio de replicación de Business Server creará automáticamente un conjunto de tareas programadas que descifrar y desplegar el certificado en todos los servidores frontales.This procedure should be run just one time: the Skype for Business Server replication service will then automatically create a set of scheduled tasks that will decrypt and deploy the certificate to all your Front End Servers.

Como alternativa, puede utilizar un certificado existente como el certificado de autenticación de servidor a servidor.Alternatively, you can use an existing certificate as your server-to-server authentication certificate. (Como se ha indicado, el certificado predeterminado puede utilizarse como certificado de autenticación de servidor a servidor). Recupera el valor de la propiedad de huella digital del certificado de forma predeterminada el siguiente par de comandos de Windows PowerShell y utiliza ese valor para predeterminar el certificado el certificado de autenticación de servidor a servidor:(As noted, the default certificate can be used as the server-to-server authentication certificate.) The following pair of Windows PowerShell commands retrieve the value of the default certificate's Thumbprint property, then use that value to make the default certificate the server-to-server authentication certificate:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

En el comando anterior, el certificado recuperado se configura para funcionar como el certificado de autenticación de servidor a servidor global; Esto significa que el certificado se replican en y utilizado por todos los servidores frontales.In the preceding command, the retrieved certificate is configured to function as the global server-to-server authentication certificate; that means that the certificate will be replicated to, and used by, all your Front End Servers. De nuevo, este comando se debe ejecutar sólo una vez y sólo en uno de los servidores frontales.Again, this command should only be run one time, and only on one of your Front End Servers. Aunque todos los servidores frontales deben utilizar el mismo certificado, no debe configurar el certificado de OAuthTokenIssuer en cada servidor Front-End.Although all Front End Servers must use the same certificate, you should not configure the OAuthTokenIssuer certificate on each Front End Server. En su lugar, configurar el certificado una vez y después dejó el Skype para el servidor de replicación del servidor de negocios 2015 se encargan de copiar ese certificado en cada servidor.Instead, configure the certificate once, then let the Skype for Business Server 2015 replication server take care of copying that certificate to each server.

El cmdlet Set-CsCertificate toma el certificado en cuestión y configura inmediatamente dicho certificado para que actúe como el certificado actual de OAuthTokenIssuer.The Set-CsCertificate cmdlet takes the certificate in question and immediately configures that certificate to act as the current OAuthTokenIssuer certificate. (Skype para Business Server 2015 conserva dos copias de un tipo de certificado: el certificado actual y la anterior.) Si necesita el nuevo certificado para iniciar inmediatamente para que actúe como el certificado OAuthTokenIssuer, a continuación, debe usar el cmdlet Set-CsCertificate.(Skype for Business Server 2015 keeps two copies of a certificate type: the current certificate and the previous certificate.) If you need the new certificate to immediately begin to act as the OAuthTokenIssuer certificate then you should use the Set-CsCertificate cmdlet.

También puede usar el cmdlet Set-CsCertificate para la "sucesión" de un nuevo certificado. "Sucesión" significa simplemente que se configura un nuevo certificado para que pase a ser el certificado OAuthTokenIssuer actual en un momento determinado. Por ejemplo, este comando recupera el certificado predeterminado y lo configura para que sea el certificado OAuthTokenIssuer actual a partir del miércoles, 01 de julio de 2015:You can also use the Set-CsCertificate cmdlet to "roll" a new certificate. "Rolling" a certificate simply means that you configure a new certificate to become the current OAuthTokenIssuer certificate at a specified point in time. For example, this command retrieves the default certificate and then configure that certificate to take over as the current OAuthTokenIssuer certificate as of July 1, 2015:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

El miércoles, 01 de julio de 2015, el nuevo certificado se configurará como el certificado OAuthTokenIssuer actual, y el "antiguo" certificado OAuthTokenIssuer se configurará como el certificado anterior.On July 1, 2015 the new certificate will be configured as the current OAuthTokenIssuer certificate and the "old" OAuthTokenIssuer certificate will be configured as the previous certificate.

Si no desea utilizar Windows PowerShell también puede utilizar la consola de MMC certificados para exportar un certificado desde un servidor de Front-End y, a continuación, importar ese mismo certificado en todos los demás servidores frontales.If you do not want to use Windows PowerShell you can also use the Certificates MMC console to export a certificate from one Front End Server and then import that same certificate on all your other Front End Servers. Si lo hace así, no olvide exportar la clave privada junto con el propio certificado.If you do this, make sure that you export the private key along with the certificate itself.

Precaución

En este caso, el procedimiento debe realizarse en cada servidor Front-End.In this case, the procedure must be performed on each Front End Server. Al exportar e importar certificados de esta manera Skype para Business Server 2015 no replicarán ese certificado en cada servidor Front-End.When exporting and importing certificates in this manner Skype for Business Server 2015 will not replicate that certificate to each Front End Server.

Después de que el certificado se ha importado a todos los servidores frontales, dicho certificado puede asignarse a continuación, utilizando el Skype para el Asistente para implementación de Business Server en lugar de Windows PowerShell.After the certificate has been imported to all your Front End Servers, that certificate can then be assigned by using the Skype for Business Server Deployment Wizard instead of Windows PowerShell. Para asignar un certificado con el Asistente para la implementación, siga estos pasos en un equipo donde este asistente esté instalado:To assign a certificate by using the Deployment Wizard, complete the following steps on a computer where the Deployment Wizard has been installed:

  1. Haga clic en Inicio, seleccione todos los programas, haga clic en Skype para Business Server 2015y, a continuación, haga clic en Skype para el Asistente para implementación de Business Server.Click Start, click All Programs, click Skype for Business Server 2015, and then click Skype for Business Server Deployment Wizard.

  2. En el Asistente para implementación, haga clic en instalación o actualización de Skype para el sistema de servidor empresarial.In the Deployment Wizard, click Install or Update Skype for Business Server System.

  3. En Skype para Business Server 2015 página, haga clic en el botón Ejecutar en la rúbrica paso 3: solicitar, instalar o asignar certificados.On the Skype for Business Server 2015 page, click the Run button under the heading Step 3: Request, Install or Assign Certificates. Nota: si ya ha instalado certificados en este equipo, en lugar del botón Ejecutar, aparecerá Ejecutar de nuevo.(Note: If you have already installed certificates on this computer then the Run button will be labeled Run Again.)

  4. En el Asistente para certificados, seleccione el certificado OAuthTokenIssuer y haga clic en Asignar.In the Certificate Wizard, select the OAuthTokenIssuer certificate and then click Assign.

  5. En la página Asignación de certificado del Asistente para certificados, haga clic en Siguiente.In the Certificate Assignment wizard, on the Certificate Assignment page, click Next.

  6. En la página Almacén de certificados, seleccione el certificado que desea usar para la autenticación de servidor a servidor y haga clic en Siguiente.On the Certificate Store page, select the certificate to be used for server-to-server authentication and then click Next.

  7. En la página Resumen de asignación de certificados, haga clic en Siguiente.On the Certificate Assignment Summary page, click Next.

  8. En la página Ejecutar comandos, haga clic en Finalizar.On the Executing Commands page, click Finish.

  9. Cierre el Asistente para certificados y el Asistente para la implementación.Close the Certificate Wizard and the Deployment Wizard.