Configuration des certificats pour la découverte automatique dans Lync Server 2013

 

Rubrique Dernière modification : 2012-12-12

Les certificats de votre pool d’administrateurs, de votre pool frontal et de votre proxy inverse nécessitent d’autres entrées de nom d’objet supplémentaires pour prendre en charge les connexions sécurisées avec les clients Lync.

Remarque

Vous pouvez utiliser l’applet de commande Get-CsCertificate pour afficher des informations sur les certificats actuellement affectés. Toutefois, la vue par défaut tronque les propriétés du certificat et n’affiche pas toutes les valeurs dans la propriété SubjectAlternativeNames. Vous pouvez utiliser les applets de commande Get-CsCertificate, Request-CsCertificate et Set-CsCertificate pour afficher des informations et demander et affecter des certificats. Toutefois, il ne s’agit pas de la meilleure méthode à utiliser si vous n’êtes pas sûr des propriétés des autres noms d’objet (SAN) sur le certificat actuel. Pour afficher le certificat et tous les membres de propriété, il est recommandé d’utiliser le composant logiciel enfichable Certificats dans la console de gestion Microsoft (MMC) ou l’Assistant Déploiement de Lync Server. Dans l’Assistant Déploiement de serveur Lync, vous pouvez utiliser l’Assistant Certificat pour afficher les propriétés du certificat. Les procédures d’affichage, de demande et d’affectation d’un certificat à l’aide de Lync Server Management Shell et de la console de gestion Microsoft (MMC) sont détaillées dans les procédures suivantes. Pour utiliser l’Assistant Déploiement de Lync Server, consultez les détails ici si vous avez déployé le pool d’administrateurs facultatif : Configurer des certificats pour le directeur dans Lync Server 2013. Pour le serveur frontal ou le pool frontal, consultez les détails ici : Configurer des certificats pour les serveurs dans Lync Server 2013.
Les étapes initiales de cette procédure sont des étapes de préparation, pour vous orienter vers le rôle que jouent les certificats actuels. Par défaut, les certificats n’auront pas de découverte de lync.< sipdomain> ou lyncdiscoverinternal.< entrée de nom> de domaine interne, sauf si vous avez déjà installé Mobility Services ou préparé vos certificats à l’avance. Cette procédure utilise l’exemple de nom de domaine SIP « contoso.com » et l’exemple de nom de domaine interne « contoso.net ».
La configuration de certificat par défaut pour Lync Server 2013 et Lync Server 2010 consiste à utiliser un seul certificat (nommé « Default ») avec les objectifs Default (à toutes fins sauf pour les services web), WebServicesExternal et WebServicesInternal. Une configuration facultative consiste à utiliser des certificats distincts à chaque fin. Les certificats peuvent être gérés à l’aide des applets de commande Lync Server Management Shell et Windows PowerShell, ou à l’aide de l’Assistant Certificat dans l’Assistant Déploiement de Lync Server.

Pour mettre à jour des certificats avec de nouveaux noms d’autres sujets à l’aide de Lync Server Management Shell

1. Connectez-vous à l’ordinateur à l’aide d’un compte disposant de droits et d’autorisations d’administrateur local.

2. Démarrez Lync Server Management Shell : cliquez sur Démarrer, cliquez sur Tous les programmes, sur Microsoft Lync Server 2013, puis sur Lync Server Management Shell.

3. Découvrez quels certificats ont été affectés au serveur et pour quel type d’utilisation. Vous avez besoin de ces informations à l’étape suivante pour affecter le certificat mis à jour. À partir de la ligne de commande, tapez :

   Get-CsCertificate
   

4. Recherchez dans la sortie de l’étape précédente si un seul certificat est affecté pour plusieurs utilisations ou si un certificat différent est affecté pour chaque utilisation. Recherchez dans le paramètre Use comment un certificat est utilisé. Comparez le paramètre d’empreinte numérique pour les certificats affichés pour voir si le même certificat a plusieurs utilisations.

5. Mettez à jour le certificat. À partir de la ligne de commande, tapez :

   Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>
   

   Par exemple, si l’applet de commande Get-CsCertificate affichait un certificat avec utilisation par défaut, un autre avec une utilisation de WebServicesInternal et un autre avec une utilisation de WebServicesExternal, et qu’ils avaient tous la même valeur d’empreinte numérique, à la ligne de commande, tapez :

   Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
   

   Important:

   Si un certificat distinct est affecté pour chaque utilisation (la valeur d’empreinte numérique est différente pour chaque certificat), il est important de ne pas exécuter l’applet de commande Set-CsCertificate avec plusieurs types. Dans ce cas, exécutez l’applet de commande Set-CsCertificate séparément pour chaque utilisation. Par exemple :

   Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
   Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
   Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
   

6. Pour afficher le certificat, cliquez sur Démarrer, cliquez sur Exécuter.... Tapez MMC pour ouvrir la console de gestion Microsoft.

7. Dans le menu MMC, sélectionnez Fichier, Ajouter/Supprimer un composant logiciel enfichable..., puis Certificats. Cliquez sur Ajouter. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.

8. Si le certificat se trouve sur cet ordinateur, sélectionnez Ordinateur local. Si le certificat se trouve sur un autre ordinateur, sélectionnez Un autre ordinateur, tapez le nom de domaine complet de l’ordinateur ou cliquez sur Parcourirentrez le nom de l’objet à sélectionner, tapez le nom de l’ordinateur. Cliquez sur Vérifier les noms. Lorsque le nom de l’ordinateur est résolu, il est souligné. Cliquez sur OK, puis sur Terminer. Cliquez sur OK pour valider la sélection et fermer la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables .

   Important

   Si le certificat ne s’affiche pas dans la console, assurez-vous que vous n’avez pas sélectionné Utilisateur ou Service. Vous devez sélectionner Ordinateur, sinon vous ne pourrez pas localiser le certificat probper.

9. Pour afficher les propriétés du certificat, développez Certificats, Développez Personnel et sélectionnez Certificats. Sélectionnez le certificat à afficher, cliquez avec le bouton droit sur le certificat, puis sélectionnez Ouvrir.

10. Dans la vue Certificat , sélectionnez Détails. À partir de là, vous pouvez sélectionner le nom de l’objet du certificat en sélectionnant Objet et le nom de l’objet affecté et les propriétés associées sont affichés.

11. Pour afficher les autres noms d’objet attribués, sélectionnez Autre nom de l’objet. Tous les autres noms d’objet attribués sont affichés. Les autres noms d’objet trouvés dans la propriété sont de type nom DNS par défaut. Vous devez voir les membres suivants (qui doivent tous être des noms de domaine complets tels qu’ils sont représentés dans l’hôte DNS (A ou, si IPv6 AAAA) enregistre :

    • Nom du pool pour ce pool, ou nom du serveur unique s’il ne s’agit pas d’un pool

    • Nom du serveur auquel le certificat est affecté

    • Enregistrements d’URL simples, généralement de réunion et de numérotation

    • Les noms externes des services Web et internes des services Web (par exemple, webpool01.contoso.net, webpool01.contoso.com), basés sur les choix effectués dans le Générateur de topologie et les sélections de services web sur-montés.

    • S’il est déjà affecté, la découverte lync.< sipdomain> et lyncdiscoverinternal.< enregistrements sipdomain> .

    Le dernier élément est ce qui vous intéresse le plus , s’il existe une entrée SAN lyncdiscover et lyncdiscoverinternal.

    Une fois que vous avez ces informations, vous pouvez fermer l’affichage du certificat et le MMC.

12. Si un service de découverte automatique, c’est-à-dire la découverte lync.> nom> de domaine et lyncdiscoverinternal.< Le nom> de domaine (selon qu’il s’agit d’un certificat externe ou interne) est manquant, et vous utilisez un seul certificat par défaut pour les types Default, WebServicesInternal et WebServiceExternal, procédez comme suit :

    • À l’invite de ligne de commande Lync Server Management Shell, tapez :

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez le paramètre DomainName, vous devez définir le nom de domaine complet pour les enregistrements lyncdiscoverinternal et lyncdiscover. Par exemple :

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      

    • Pour affecter le certificat, tapez ce qui suit :

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      Où « Thumbprint » est l’empreinte numérique affichée pour le certificat nouvellement émis.

13. Pour un autre nom de sujet de découverte automatique interne manquant lors de l’utilisation de certificats distincts pour Default, WebServicesInternal et WebServicesExternal, procédez comme suit :

    • À l’invite de ligne de commande Lync Server Management Shell, tapez :

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez le paramètre DomainName, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      

    • Pour un autre nom d’autre objet de découverte automatique externe manquant, tapez :

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez le paramètre DomainName, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose
      

    • Pour affecter les types de certificats individuels, tapez ce qui suit :

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      Où « Empreinte numérique » est l’empreinte numérique affichée pour les certificats individuels nouvellement émis.