Realizar copia intermedia de certificados AV y OAuth en Skype Empresarial Server 2015 usando -Roll en Set-CsCertificateStage AV and OAuth certificates in Skype for Business Server 2015 using -Roll in Set-CsCertificate

Resumen: Etapa AV y OAuth certificados para Skype para Business Server 2015.Summary: Stage AV and OAuth certificates for Skype for Business Server 2015.

Audio y vídeo (A / V) communications es un componente clave de Skype para Business Server 2015.Audio/Video (A/V) communications is a key component of Skype for Business Server 2015. Características como aplicación para compartir y videoconferencias dependen de los certificados asignados a la A / servicio de borde V, específicamente A / servicio de autenticación de V.Features such as application sharing and audio and video conferencing rely on the certificates assigned to the A/V Edge service, specifically the A/V Authentication service.

Importante

Esta nueva característica está diseñada para funcionar en lugar de A / servicio V perimetral y el certificado OAuthTokenIssuer.This new feature is designed to work for the A/V Edge service and the OAuthTokenIssuer certificate. Otros tipos de certificados se pueden aprovisionar junto con el / servicio V perimetral y OAuth tipo de certificado, pero no se beneficiarán del comportamiento de coexistencia que el certificado del servicio V borde será.Other certificate types can be provisioned along with the A/V Edge service and OAuth certificate type, but will not benefit from the coexistence behavior that the A/V Edge service certificate will.

El Skype para cmdlets de PowerShell de Shell de administración de Business Server utilizados para administrar Skype para certificados de servidor de negocios 2015 se refiere a la A o borde V de servicio como el tipo de certificado de AudioVideoAuthentication y el certificado de OAuthServer como typeOAuthTokenIssuer.The Skype for Business Server Management Shell PowerShell cmdlets used to manage Skype for Business Server 2015 certificates refers to the A/V Edge service certificate as the AudioVideoAuthentication certificate type and the OAuthServer certificate as typeOAuthTokenIssuer. Para el resto de este tema y para identificar de forma exclusiva los certificados, se utilizará el nombre para el mismo tipo de identificador, AudioVideoAuthentication andOAuthTokenIssuer.For the rest of this topic and to uniquely identify the certificates, they will be referred to by the same identifier type, AudioVideoAuthentication andOAuthTokenIssuer.

El servicio de autenticación A/V es responsable de emitir tokens que usan los clientes y otros consumidores de A/V.The A/V Authentication service is responsible for issuing tokens that are used by clients and other A/V consumers. Los tokens se generan a partir de atributos del certificado y, cuando el certificado expira, se produce la pérdida de conexión y es necesario volver a unirse con un nuevo token generado por el nuevo certificado.The tokens are generated from attributes on the certificate, and when the certificate expires, loss of connection and requirement to rejoin with a new token generated by the new certificate will result. Una nueva característica de Skype para Business Server 2015 aliviar este problema: la capacidad de ensayar un nuevo certificado con antelación unas caducan y permitir que ambos certificados siga funcionando durante un período de tiempo.A new feature in Skype for Business Server 2015 will alleviate this problem - the ability to stage a new certificate in advance of the old one expiring and allowing both certificates to continue to function for a period of time. Esta característica utiliza la funcionalidad actualizada en el conjunto CsCertificate de Skype para el cmdlet del Shell de administración de servidor empresarial.This feature uses updated functionality in the Set-CsCertificate Skype for Business Server Management Shell cmdlet. El nuevo parámetro-Roll, con el parámetro existente - EffectiveDate, colocará el nuevo certificado de AudioVideoAuthentication en el almacén de certificados.The new parameter -Roll, with the existing parameter -EffectiveDate, will place the new AudioVideoAuthentication certificate in the certificate store. El certificado AudioVideoAuthentication más antiguo permanecerá todavía para validar con él los tokens emitidos.The older AudioVideoAuthentication certificate will still remain for issued tokens to be validated against. A partir de la implementación del nuevo certificado AudioVideoAuthentication, se producirá la siguiente serie de eventos:Beginning with putting the new AudioVideoAuthentication certificate in place, the following series of events will occur:

Sugerencia

Utiliza el Skype para los cmdlets del Shell de administración de servidor de negocios para administrar certificados, puede solicitar certificados independientes y distintos para cada propósito en el servidor perimetral.Using the Skype for Business Server Management Shell cmdlets for managing certificates, you can request separate and distinct certificates for each purpose on the Edge Server. Utilizando al Asistente para certificados en el Skype para el Asistente para implementación de Business Server le ayuda a crear certificados, pero normalmente es del tipo predeterminado qué parejas todos los certificados se utiliza para el servidor perimetral en un solo certificado.Using the Certificate Wizard in the Skype for Business Server Deployment Wizard assists you in creating certificates, but is typically of the default type which couples all certificate uses for the Edge Server onto a single certificate. La práctica recomendada si va a usar la característica de certificado en secuencia es desvincular el certificado AudioVideoAuthentication de los demás fines de certificado.The recommended practice if you are going to use the rolling certificate feature is to decouple the AudioVideoAuthentication certificate from the other certificate purposes. Puede aprovisionar y crear un acopia intermedia de un certificado del tipo predeterminado, pero solo la parte de AudioVideoAuthentication del certificado combinado se beneficiará de ello.You can provision and stage a certificate of the Default type, but only the AudioVideoAuthentication portion of the combined certificate will benefit from the staging. Un usuario implicado (por ejemplo) en una conversación de mensajería cuando caduca el certificado instantánea deberá cerrar la sesión y volver a iniciarla para hacer uso del nuevo certificado asociado con el servicio de servidor perimetral de acceso.A user involved in (for example) an instant messaging conversation when the certificate expires will need to log out and log back in to make use of the new certificate associated with the Access Edge service. Se producirá un comportamiento similar para los usuarios implicados en una conferencia Web con el servicio perimetral de conferencia Web.Similar behavior will occur for a user involved in a Web conference using the Web Conferencing Edge service. El certificado OAuthTokenIssuer es un tipo específico que se comparte en todos los servidores.The OAuthTokenIssuer certificate is a specific type that is shared across all servers. Crear y administrar los certificados en un solo lugar y se almacena el certificado en el almacén de Administración Central para todos los demás servidores.You create and manage the certificate in one place and the certificate is stored in the Central Management store for all other servers.

Se necesitan detalles adicionales para comprender por completo las opciones y los requisitos al usar el cmdlet Set-CsCertificate y al usarlo para realizar una copia intermedia de los certificados antes de la expiración del certificado actual.Additional detail is needed to fully understand your options and requirements when using the Set-CsCertificate cmdlet and using it to stage certificates prior to the current certificate expiring. -Roll parámetro es importante, pero básicamente único propósito.The -Roll parameter is important, but essentially single purpose. Si se define como un parámetro, está indicando a conjunto CsCertificate que va a proporcionar información acerca del certificado que se verán afectado definido por - tipo (por ejemplo AudioVideoAuthentication y OAuthTokenIssuer), cuando se convertirá en el certificado efectivo definido por - EffectiveDate.If you define it as a parameter, you are telling Set-CsCertificate that you will be providing information about the certificate that will be affected defined by -Type (for example AudioVideoAuthentication and OAuthTokenIssuer), when the certificate will become effective defined by -EffectiveDate.

-Roll:-Roll parámetro es necesario y tiene dependencias que deben proporcionarse junto con ella.-Roll: The -Roll parameter is required and has dependencies that must be supplied along with it. Parámetros obligatorios para definir por completo qué certificados se verán afectados y cómo se aplicarán:Required parameters to fully define which certificates will be affected and how they will be applied:

-EffectiveDate: el parámetro - EffectiveDate define cuándo el nuevo certificado se convertirá en CO-activo con el certificado actual.-EffectiveDate: The parameter -EffectiveDate defines when the new certificate will become co-active with the current certificate. EffectiveDate - puede estar cerca de la fecha de caducidad del certificado actual, o puede ser un período de tiempo más largo.The -EffectiveDate can be close to the expiry time of the current certificate, or it can be a longer period of time. Recomendado un mínimo EffectiveDate - para el certificado de AudioVideoAuthentication sería de 8 horas, cuál es la duración del token predeterminado de tokens de servicio perimetral AV emitido mediante el certificado AudioVideoAuthentication.A recommended minimum -EffectiveDate for the AudioVideoAuthentication certificate would be 8 hours, which is the default token lifetime for AV Edge service tokens issued using the AudioVideoAuthentication certificate.

Al organizar certificados OAuthTokenIssuer, hay diferentes requisitos para el plazo antes de que el certificado se haga efectivo. El tiempo mínimo que el certificado OAuthTokenIssuer debe tener para su plazo es de 24 horas antes del tiempo de expiración del certificado actual. El plazo extendido para la coexistencia es debido a otros roles de servidor que son independientes del certificado OAuthTokenIssuer (Exchange Server, por ejemplo) que tiene un tiempo de retención superior para los materiales clave de cifrado y autenticación creada de certificado.When staging OAuthTokenIssuer certificates, there are different requirements for the lead time before the certificate can become effective. The minimum time that the OAuthTokenIssuer certificate should have for its lead time is 24 hours before the expiration time of the current certificate. The extended lead time for the coexistence is because of other server roles that are dependent on the OAuthTokenIssuer certificate (Exchange Server, for example) which has a longer retention time for certificate created authentication and encryption key materials.

-Thumbprint: la huella digital es un atributo del certificado que es único para dicho certificado.-Thumbprint: The thumbprint is an attribute on the certificate that is unique to that certificate. -Huella digital del parámetro se utiliza para identificar el certificado que se verán afectado por las acciones del cmdlet Set-CsCertificate.The -Thumbprint parameter is used to identify the certificate that will be affected by the actions of the Set-CsCertificate cmdlet.

-Tipo:-tipo de parámetro puede aceptar un tipo de uso de certificado único o una lista separada por comas de los tipos de uso de certificados.-Type: The -Type parameter can accept a single certificate usage type or a comma separated list of certificate usage types. Los tipos de certificados son aquellos que identifican al cmdlet y al servidor cuál es el propósito del certificado.The certificate types are those that identify to the cmdlet and to the server what the purpose of the certificate is. Por ejemplo, el tipo AudioVideoAuthentication es para su uso por el A / servicio V perimetral y el servicio de autenticación audiovisual.For example, type AudioVideoAuthentication is for use by the A/V Edge service and the AV Authentication service. Si decide organizar y aprovisionar certificados de un tipo diferente al mismo tiempo, debe tener en cuenta el mayor plazo efectivo mínimo para los certificados.If you decide to stage and provision certificates of a different type at the same time, you must consider the longest required minimum effective lead time for the certificates. Por ejemplo, tiene que organizar certificados de tipo AudioVideoAuthentication y OAuthTokenIssuer.For example, you need to stage certificates of type AudioVideoAuthentication and OAuthTokenIssuer. Su EffectiveDate - mínimo debe ser el mayor de los dos certificados, en este caso, el OAuthTokenIssuer, que tiene un plazo mínimo de 24 horas.Your minimum -EffectiveDate must be the greater of the two certificates, in this case the OAuthTokenIssuer, which has a minimum lead time of 24 hours. Si no desea organizar el certificado AudioVideoAuthentication con un plazo de 24 horas, organícelo por separado con una EffectiveDate que se adapte más a sus requisitos.If you do not want to stage the AudioVideoAuthentication certificate with a lead time of 24 hours, stage it separately with an EffectiveDate that is more to your requirements.

Para actualizar o renovar una A / servicio perimetral V certificado con un - Roll y EffectiveDate - parámetrosTo update or renew an A/V Edge service certificate with a -Roll and -EffectiveDate parameters

  1. Inicie sesión en el equipo local como miembro del grupo Administradores.Log on to the local computer as a member of the Administrators group.

  2. Solicitar una renovación o un nuevo certificado de AudioVideoAuthentication con exportable clave privada para el certificado existente en el A / servicio V perimetral.Request a renewal or new AudioVideoAuthentication certificate with exportable private key for the existing certificate on the A/V Edge service.

  3. Importar el nuevo certificado de AudioVideoAuthentication para el servidor perimetral y todos los otros servidor perimetral en su grupo (si tiene un grupo implementado).Import the new AudioVideoAuthentication certificate to the Edge Server and all other Edge Server in your pool (if you have a pool deployed).

  4. Configurar el certificado importado con el cmdlet Set-CsCertificate y utilizar parámetro - Roll con el parámetro - EffectiveDate.Configure the imported certificate with the Set-CsCertificate cmdlet and use the -Roll parameter with the -EffectiveDate parameter. La fecha efectiva se debe definir como la hora de expiración del certificado actual (14:00:00 o 2:00:00 PM) menos la vigencia de token (de manera predeterminada, ocho horas).The effective date should be defined as the current certificate expire time (14:00:00, or 2:00:00 PM) minus token lifetime (by default eight hours). Esto nos da una hora que el certificado se debe establecer como activo y es EffectiveDate - <cadena>: "22/7/2015 6:00:00 A.M.".This gives us a time that the certificate must be set to active, and is the -EffectiveDate <string>: "7/22/2015 6:00:00 AM".

    Importante

    Para un grupo de borde, debe tener todos los certificados de AudioVideoAuthentication implementado y configurado por la fecha y hora definidos por el parámetro - EffectiveDate del primer certificado implementado para evitar una posible / interrupción de V communications debido a la versión más antigua certificado caduque antes de que se han renovado todos los tokens de cliente y consumidor con el nuevo certificado.For an Edge pool, you must have all AudioVideoAuthentication certificates deployed and provisioned by the date and time defined by the -EffectiveDate parameter of the first certificate deployed to avoid possible A/V communications disruption due to the older certificate expiring before all client and consumer tokens have been renewed using the new certificate.

    El conjunto de CsCertificate comando con el rollo y EffectiveTime - parámetro:The Set-CsCertificate command with the -Roll and -EffectiveTime parameter:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
           <thumb print of new certificate> -Roll -EffectiveDate <date and time
           for certificate to become active>
    

    Un comando Set-CsCertificate de ejemplo:An example Set-CsCertificate command:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
           "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2015
           6:00:00 AM"
    

    Importante

    El EffectiveDate debe estar formateado para que coincida con la configuración de idioma y región de su servidor.The EffectiveDate must be formatted to match your server's region and language settings. En el ejemplo se utiliza la configuración de idioma y región de inglés nosThe example uses the US English Region and Language settings

Para comprender mejor el proceso de ese conjunto CsCertificate, - Roll y uso de - EffectiveDate para ensayar un nuevo certificado para emitir nuevos testigos de AudioVideoAuthentication y seguir utilizando un certificado existente para validar AudioVideoAuthentication que están en uso los consumidores, una escala de tiempo visual constituye un medio eficaz de entender el proceso.To further understand the process that Set-CsCertificate, -Roll, and -EffectiveDate use to stage a new certificate for issuing new AudioVideoAuthentication tokens while still using an existing certificate to validate AudioVideoAuthentication that are in use by consumers, a visual timeline is an effective means of understanding the process. En el ejemplo siguiente, el administrador determina que el certificado del servicio de borde V es expirará a las 2:00:00 P.M. el 22/07/2015.In the following example, the administrator determines that the A/V Edge service certificate is due to expire at 2:00:00 PM on 07/22/2015. Solicita y recibe un certificado nuevo e importa en cada servidor perimetral en su grupo.He requests and receives a new certificate and imports it to each Edge Server in his pool. A las 2 A.M. el 22/07/2015, empieza ejecutando Get-CsCertificate con - Roll, - huella digital igual a la cadena de la huella digital del certificado nuevo y - EffectiveTime establecen en 22/07/2015 6:00:00 AM.At 2 AM on 07/22/2015, he begins running Get-CsCertificate with -Roll, -Thumbprint equal to the thumbprint string of the new certificate, and -EffectiveTime set to 07/22/2015 6:00:00 AM. Este cliente ejecuta este comando en cada servidor perimetral.He runs this command on each Edge Server.

Usar los parámetros Roll y EffectiveDate.

LlamadaCallout FaseStage
11
Inicio: 7/22/2015 12:00:00Start: 7/22/2015 12:00:00 AM
El certificado AudioVideoAuthentication actual expirará a las 14:00:00 del día 22/7/2015. Esto está determinado por la marca de tiempo de expiración del certificado. Se debe planear la sustitución de certificado para que se produzca una superposición de 8 horas (vigencia de token predeterminada) antes de que el certificado actual alcance la hora de expiración. En este ejemplo, se usa la hora de inicio 2:00:00 para que el administrador tenga tiempo suficiente para colocar y suministrar los nuevos certificados antes de las 6:00:00, que es la hora efectiva.The current AudioVideoAuthentication certificate is due to expire at 2:00:00 PM on 7/22/2015. This is determined by the expires time stamp on the certificate. Plan your certificate replacement and rollover to account for an 8 hour overlap (default token lifetime) before the existing certificate reaches the expire time. The 2:00:00 AM lead time is used in this example to allow the administrator adequate time to place and provision the new certificates in advance of the 6:00:00 AM effective time.
22
7/22/2015 2:00:00 - 7/22/2015 5:59:597/22/2015 2:00:00 AM - 7/22/2015 5:59:59 AM
Configurar certificados en servidores perimetrales con tiempo efectivo de 6:00:00 A.M. (4 horas tiempo de adelanto es para este ejemplo, pero puede ser más larga) utilizando el conjunto CsCertificate-tipo <tipo de uso de certificados> -huella digital <huella digital del certificado nuevo> - Roll - EffectiveDate <cadena de fecha y hora de tiempo efectivo de certificado nuevo>Set Certificates on Edge Servers with effective time of 6:00:00 AM (4 hour lead time is for this example, but can be longer) using Set-CsCertificate -Type <certificate usage type> -Thumbprint <thumbprint of new certificate> -Roll -EffectiveDate <datetime string of the effective time for new certificate>
33
7/22/2015 6:00 - 7/22/2015 14:007/22/2015 6:00 AM - 7/22/2015 2:00 PM
Para validar tokens, primero se prueba el nuevo certificado y, si no valida el token, se prueba el certificado antiguo. Este proceso se usa para todos los tokens durante el período de 8 horas de superposición (vigencia predeterminada del token).To validate tokens, the new certificate is tried first, and if the new certificate fails to validate the token, the old certificate is tried. This process is used for all tokens during the 8 hour (default token lifetime) overlap period.
44
Final: 7/22/2015 14:00:01End: 7/22/2015 2:00:01 PM
El certificado antiguo ha expirado y se ha pasado a usar el nuevo certificado.Old certificate has expired and the new certificate has taken over. Certificado antiguo puede quitarse con seguridad con quitar CsCertificate-tipo <tipo de uso de certificados> -anteriorOld certificate can be safely removed with Remove-CsCertificate -Type <certificate usage type> -Previous

Cuando se alcanza la hora efectiva (22/07/2015 6:00:00), todos los nuevos tokens se emiten por el nuevo certificado.When the effective time is reached (7/22/2015 6:00:00 AM), all new tokens are issued by the new certificate. Cuando se validan los tokens, estos se validarán primero con el nuevo certificado.When validating tokens, tokens will first be validated against the new certificate. Si se produce un error en la validación, se prueba el antiguo certificado.If the validation fails, the old certificate is tried. El proceso de probar el certificado nuevo y recurrir al antiguo continuará hasta la hora de expiración del certificado antiguo.The process of trying the new and falling back to the old certificate will continue until the expiry time of the old certificate. Una vez que el certificado antiguo haya expirado (22/07/2015 14:00:00), los tokens solo los validará el nuevo certificado.Once the old certificate has expired (7/22/2015 2:00:00 PM), tokens will only be validated by the new certificate. El certificado antiguo se puede quitar mediante el cmdlet Remove-CsCertificate con el anterior parámetro-.The old certificate can be safely removed using the Remove-CsCertificate cmdlet with the -Previous parameter.

Remove-CsCertificate -Type AudioVideoAuthentication -Previous

Para actualizar o renovar un OAuthTokenIssuer con un - Roll y EffectiveDate - parámetros de certificadosTo update or renew an OAuthTokenIssuer certificate with a -Roll and -EffectiveDate parameters

  1. Inicie sesión en el equipo local como miembro del grupo Administradores.Log on to the local computer as a member of the Administrators group.

  2. Solicitar una renovación o OAuthTokenIssuer un nuevo certificado con la clave privada puede exportar el certificado existente en el servidor Front-End.Request a renewal or new OAuthTokenIssuer certificate with exportable private key for the existing certificate on the Front End Server.

  3. Importar el nuevo certificado de OAuthTokenIssuer a un servidor Front-End en su grupo (si tiene un grupo implementado).Import the new OAuthTokenIssuer certificate to a Front End Server in your pool (if you have a pool deployed). El certificado OAuthTokenIssuer se replica globalmente y solo se tiene que actualizar y renovar en cualquier servidor de su implementación.The OAuthTokenIssuer certificate is replicated globally and only needs to be updated and renewed at any server in your deployment. El servidor Front-End se utiliza como ejemplo.The Front End Server is used as an example.

  4. Configurar el certificado importado con el cmdlet Set-CsCertificate y utilizar parámetro - Roll con el parámetro - EffectiveDate.Configure the imported certificate with the Set-CsCertificate cmdlet and use the -Roll parameter with the -EffectiveDate parameter. La fecha de vigencia se debe definir como la hora de expiración de certificado actual (14:00:00 o 2:00:00 PM) menos un mínimo de 24 horas.The effective date should be defined as the current certificate expire time (14:00:00, or 2:00:00 PM) minus a minimum of 24 hours.

    El conjunto de CsCertificate comando con el rollo y EffectiveTime - parámetro:The Set-CsCertificate command with the -Roll and -EffectiveTime parameter:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumb
           print of new certificate> -Roll -EffectiveDate <date and time for
           certificate to become active> -identity Global 
    

Un comando Set-CsCertificate de ejemplo:An example Set-CsCertificate command:

Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint
        "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2015
        1:00:00 PM" 

Importante

El EffectiveDate debe estar formateado para que coincida con la configuración de idioma y región de su servidor.The EffectiveDate must be formatted to match your server's region and language settings. En el ejemplo se utiliza la configuración de idioma y región de inglés nosThe example uses the US English Region and Language settings

Cuando se alcanza la hora efectiva (21/07/2015 01:00:00), el nuevo certificado emite todos los tokens nuevos.When the effective time is reached (7/21/2015 1:00:00 AM), all new tokens are issued by the new certificate. Al validar los tokens, estos se validarán primero con el nuevo certificado.When validating tokens, tokens will first be validated against the new certificate. Si se produce un error en la validación, se prueba el antiguo certificado.If the validation fails, the old certificate is tried. El proceso de probar el certificado nuevo y recurrir al antiguo continuará hasta la hora de expiración del certificado antiguo.The process of trying the new and falling back to the old certificate will continue until the expiry time of the old certificate. Una vez que el certificado antiguo haya expirado (22/07/2015 14:00:00), los tokens solo los validará el nuevo certificado.Once the old certificate has expired (7/22/2015 2:00:00 PM), tokens will only be validated by the new certificate. El certificado antiguo se puede quitar mediante el cmdlet Remove-CsCertificate con el anterior parámetro-.The old certificate can be safely removed using the Remove-CsCertificate cmdlet with the -Previous parameter.

Remove-CsCertificate -Type OAuthTokenIssuer -Previous 

Vea tambiénSee also

Administrar la autenticación de servidor a servidor (OAuth) y aplicaciones de los socios en Skype para Business Server 2015Manage server-to-server authentication (OAuth) and partner applications in Skype for Business Server 2015

Conjunto de CsCertificateSet-CsCertificate

Quitar CsCertificateRemove-CsCertificate