Configuration de certificats pour la découverte automatique dans Lync Server 2013Configuring certificates for Autodiscover in Lync Server 2013

 

Dernière modification de la rubrique : 2012-12-12Topic Last Modified: 2012-12-12

Les certificats de votre pool Directeur, de votre pool frontal et de votre proxy inverse requièrent des entrées de l’autre nom de l’objet pour prendre en charge les connexions sécurisées avec les clients Lync.The certificates for your Director pool, Front End pool, and reverse proxy require additional subject alternative name entries to support secure connections with Lync clients.

Notes

Vous pouvez utiliser l’applet de commande Get-CsCertificate pour afficher des informations sur les certificats actuellement affectés.You can use the Get-CsCertificate cmdlet to view information about the currently assigned certificates. Toutefois, l’affichage par défaut tronque les propriétés du certificat et n’affiche pas toutes les valeurs de la propriété SubjectAlternativeNames.However, the default view truncates the properties of the certificate and does not display all values in the SubjectAlternativeNames property. Vous pouvez utiliser les applets de commande Get-CsCertificate, Request-CsCertificate et Set-CsCertificate pour afficher certaines informations, ainsi que pour demander et affecter des certificats.You can use the Get-CsCertificate , Request-CsCertificate and the Set-CsCertificate cmdlets to view some information and to request and assign certificates. Cependant, ce n’est pas la meilleure méthode à utiliser si vous n’êtes pas sûr des propriétés des autres noms de l’objet (SAN) pour le certificat actuel.However, it’s not the best method to use if you are unsure of the properties of the subject alternative names (SAN) on the current certificate. Pour afficher le certificat et tous les membres de propriété, il est recommandé d’utiliser le composant logiciel enfichable Certificats de la console MMC (Microsoft Management Console) ou d’utiliser l’Assistant Déploiement de Lync Server.To view the certificate and all property members, it is suggested to use the Certificates snap-in the Microsoft Management Console (MMC) or to use the Lync Server Deployment Wizard. Dans l’Assistant Déploiement Lync Server, vous pouvez utiliser l’Assistant Certificat pour afficher les propriétés du certificat.In the Lync Server Deployment Wizard, you can use the Certificate Wizard to view the certificate properties. Les procédures permettant d’afficher, de demander et d’affecter un certificat à l’aide de Lync Server Management Shell et de la console MMC (Microsoft Management Console) sont détaillées dans les procédures suivantes.The procedures for viewing, requesting and assigning a certificate using the Lync Server Management Shell and the Microsoft Management Console (MMC) are detailed in the following procedures. Pour utiliser l’Assistant Déploiement de Lync Server, consultez les détails ici si vous avez déployé le pool facultatif Director ou Director : configurez les certificats pour le directeur dans Lync Server 2013.To use the Lync Server Deployment Wizard, see details here if you have deployed the optional Director or Director pool: Configure certificates for the Director in Lync Server 2013. Pour le serveur frontal ou le pool frontal, consultez les informations ci-dessous : configure Certificates for Servers in Lync Server 2013.For the Front End Server or Front End pool, see the details here: Configure certificates for servers in Lync Server 2013.
Les étapes initiales de cette procédure sont des étapes de préparation qui vous orientent vers le rôle des certificats actuels.The initial steps in this procedure are preparation steps, to orient you as to what role the current certificates play. Par défaut, les certificats n’ont pas de lyncdiscover. < sipdomain > ou lyncdiscoverinternal. < > entrée de nom de domaine interne, sauf si vous avez déjà installé des services de mobilité ou si vous avez préparé vos certificats à l’avance.By default, the certificates will not have a lyncdiscover.<sipdomain> or lyncdiscoverinternal.<internal domain name> entry unless you have previously installed Mobility Services or have prepared your certificates in advance. Cette procédure utilise l’exemple de nom de domaine SIP « contoso.com » et l’exemple de nom de domaine interne « contoso.net ».This procedure uses the example SIP domain name ‘contoso.com’ and the example internal domain name ‘contoso.net’.
La configuration de certificat par défaut pour Lync Server 2013 et Lync Server 2010 consiste à utiliser un certificat unique (nommé « Default ») avec les rôles par défaut (pour tous les rôles, à l’exception des services Web), WebServicesExternal et WebServicesInternal.The default certificate configuration for Lync Server 2013 and Lync Server 2010 is to use a single certificate (named ‘Default’) with the purposes Default (for all purposes except for the web services), WebServicesExternal and WebServicesInternal. La configuration facultative consiste à utiliser des certificats distincts pour chaque finalité.An optional configuration is to use separate certificates for each purpose. Les certificats peuvent être gérés à l’aide des applets de commande Lync Server Management Shell et Windows PowerShell, ou à l’aide de l’Assistant certificat de l’Assistant Déploiement de Lync Server.Certificates can be managed by using the Lync Server Management Shell and Windows PowerShell cmdlets, or by using the Certificate Wizard in the Lync Server Deployment Wizard.

Pour mettre à jour les certificats avec de nouveaux noms de sujet alternatifs à l’aide de Lync Server Management ShellTo update certificates with new subject alternative names using the Lync Server Management Shell

  1. Ouvrez une session sur l’ordinateur à l’aide d’un compte disposant de droits et d’autorisations d’administrateur local.Log on to the computer using an account that has local administrator rights and permissions.

  2. Démarrez Lync Server Management Shell : cliquez sur **Démarrer **, **Tous les programmes **, **Microsoft Lync Server 2013 **, puis sur Lync Server Management Shell.Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2013, and then click Lync Server Management Shell.

  3. Déterminez les certificats qui ont été assignés au serveur et pour quel type d’utilisation. Vous aurez besoin de ces informations lors de l’étape suivante afin d’assigner le certificat mis à jour. Sur la ligne de commande, tapez ce qui suit :Find out what certificates have been assigned to the server and for which type of use. You need this information in the next step to assign the updated certificate. At the command line, type:

    Get-CsCertificate
    
  4. Examinez la sortie de l’étape précédente pour déterminer si un même certificat est assigné à plusieurs utilisations ou si un certificat différent est assigné à chaque utilisation. Observez le paramètre Use pour savoir comment un certificat est utilisé. Comparez le paramètre Thumbprint des certificats affichés pour savoir si le même certificat a plusieurs utilisations.Look in the output from the previous step to see whether a single certificate is assigned for multiple uses or whether a different certificate is assigned for each use. Look in the Use parameter to find out how a certificate is used. Compare the Thumbprint parameter for the displayed certificates to see if the same certificate has multiple uses.

  5. Mettez à jour le certificat. Sur la ligne de commande, tapez ce qui suit :Update the certificate. At the command line, type:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>
    

    Par exemple, si l’applet de commande Get-CsCertificate affichait un certificat avec comme utilisation « Default », un autre avec comme utilisation « WebServicesInternal  et un autre avec comme utilisation « WebServicesExternal » et que tous avaient la même valeur Thumbprint, tapez ce qui suit sur la ligne de commande :For example, if the Get-CsCertificate cmdlet displayed a certificate with Use of Default, another with a Use of WebServicesInternal, and another with a Use of WebServicesExternal, and they all had the same Thumbprint value, at the command line, type:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
    

    Important :Important:

    Si un certificat différent est assigné pour chaque utilisation (la valeur de Thumbprint est différent pour chaque certificat), il ne faut surtout pas exécuter l’applet de commande Set-CsCertificate avec plusieurs types.If a separate certificate is assigned for each use (the Thumbprint value is different for each certificate), it is important that you do not run the Set-CsCertificate cmdlet with multiple types. Exécutez plutôt l’applet de commande Set-CsCertificate séparément pour chaque utilisation.In this case, run the Set-CsCertificate cmdlet separately for each use. Par exemple :For example:

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
    Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
    Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
    
  6. Pour afficher le certificat, cliquez sur Démarrer, puis sur Exécuter. Tapez MMC pour ouvrir Microsoft Management Console.To view the certificate, click Start, click Run…. Type MMC to open the Microsoft Management Console.

  7. Dans le menu de Microsoft Management Console, sélectionnez Fichier, Ajouter/Supprimer un composant logiciel enfichable, puis Certificats. Cliquez sur Ajouter. Quand vous y êtes invité, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.From the MMC menu, select File, select Add/Remove snap-in…, select Certificates. Click Add. When prompted, select Computer account, then click Next.

  8. Si le certificat se trouve sur cet ordinateur, sélectionnez ordinateur local.If the certificate is located on this computer, select Local computer. Si le certificat se trouve sur un autre ordinateur, sélectionnez un autre ordinateur, tapez le nom de domaine complet de l’ordinateur ou cliquez sur Parcourir dans Entrez le nom de l’objet à sélectionner, tapez le nom de l’ordinateur.If the certificate is located on another computer, select Another computer, type in the fully qualified domain name of the computer or click Browse In Enter the object name to select, type the name of the computer. Cliquez sur Vérifier les noms.Click Check Names. Lorsque le nom de l’ordinateur est résolu, il est souligné.When the name of the computer is resolved, it will be underlined. Cliquez sur OK, puis sur Terminer.Click OK, then click Finish. Cliquez sur OK pour valider la sélection et fermer la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables .Click OK to commit the selection and close the Add or Remove Snap-ins dialog.

    Important

    Si le certificat ne s’affiche pas dans la console, vérifiez que vous n’avez pas sélectionné utilisateur ou service.If the certificate does not show up in the console, ensure that you have not selected User or Service. Vous devez sélectionner ordinateur, sinon vous ne pourrez pas localiser le certificat probper.You must select Computer, or you will not be able to locate the probper certificate.

  9. Pour afficher les propriétés du certificat, développez Certificats, développez Personnel, puis sélectionnez Certificats. Sélectionnez le certificat à afficher, cliquez avec le bouton droit sur le certificat, puis sélectionnez Ouvrir.To view the properties of the certificate, expand Certificates, expand Personal, and select Certificates. Select the certificate to view, right-click on the certificate and select Open.

  10. Dans l’affichage Certificat, sélectionnez Détails. Vous pouvez ensuite sélectionner le nom d’objet du certificat en sélectionnant Sujet afin d’afficher le nom affecté et les propriétés associées.In the Certificate view, select Details. From here, you can select the certificate subject name by selecting Subject and the assigned subject name and associated properties are displayed.

  11. Pour afficher les autres noms de l’objet affectés, sélectionnez Autre nom de l’objet.To view the assigned subject alternative names, select Subject Alternative Name. Tous les autres noms de l’objet affectés sont affichés.All assigned subject alternative names are displayed. Les autres noms de l’objet présents dans la propriété sont de type Nom DNS par défaut.The subject alternative names that are found in the property are of type DNS Name by default. Vous devriez voir les membres suivants (tous devraient correspondre à des noms de domaine complets tels qu’ils sont représentés dans les enregistrements d’hôte DNS, à savoir A ou AAAA si IPv6 est en vigueur) :You should see the following members (all of which should be fully qualified domain names as represented in DNS host (A or, if IPv6 AAAA) records:

    • Nom de pool de ce pool ou nom de serveur unique s’il ne s’agit pas d’un pool.Pool name for this pool, or the single server name if this is not a pool

    • Nom du serveur auquel le certificat est affecté.Server name that the certificate is assigned to

    • Enregistrements d’URL simples, généralement meet et dialin.Simple URL records, typically meet and dialin

    • Noms externes des services Web et des services Web (par exemple, webpool01.contoso.net, webpool01.contoso.com), en fonction des choix effectués dans le générateur de topologie et des sélections de services Web remplacés.Web services internal and Web services external names (for example, webpool01.contoso.net, webpool01.contoso.com), based on choices made in Topology Builder and over-ridden web services selections.

    • S’il est déjà attribué, le lyncdiscover.<sipdomain>If already assigned, the lyncdiscover.<sipdomain> et lyncdiscoverinternal.<sipdomain>and lyncdiscoverinternal.<sipdomain> présents.records.

    Le dernier élément est celui qui vous intéresse le plus (s’il existe une entrée d’autre nom de l’objet lyncdiscover et lyncdiscoverinternal).The last item is what you are most interested in – if there is a lyncdiscover and lyncdiscoverinternal SAN entry.

    Une fois que vous avez ces informations, vous pouvez fermer l’affichage du certificat et MMC.Once you have this information, you can close the certificate view and the MMC.

  12. Si un service de découverte automatique, c’est-à-dire le lyncdiscover. > nom > de domaine et lyncdiscoverinternal.<domain name>If an Autodiscover Service, meaning the lyncdiscover.>domain name> and lyncdiscoverinternal.<domain name> (basé sur s’il s’agit d’un certificat externe ou interne) le autre nom de l’objet est manquant et vous utilisez un seul certificat par défaut pour les types par défaut, WebServicesInternal et WebServiceExternal, procédez comme suit :(based on if this is an external or internal certificate) subject alternative name is missing, and you are using a single Default certificate for the Default, WebServicesInternal and WebServiceExternal types, do the following:

    • À l’invite de ligne de commande Lync Server Management Shell, tapez :At the Lync Server Management Shell command line prompt, type:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain.If you have many SIP domains, you cannot use the new AllSipDomain parameter. À la place, vous devez utiliser le paramètre DomainName.Instead, you must use DomainName parameter. Quand vous utilisez le paramètre DomainName, vous devez définir le nom de domaine complet des enregistrements lyncdiscoverinternal et lyncdiscover.When you use the DomainName parameter, you must define the FQDN for the lyncdiscoverinternal and lyncdiscover records. Par exemple :For example:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      
    • Pour affecter le certificat, tapez ce qui suit :To assign the certificate, type the following:

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      Où « Thumbprint » est l’empreinte numérique (Thumbprint) affichée pour le certificat qui vient d’être émis.Where “Thumbprint” is the thumbprint displayed for the newly issued certificate.

  13. S’il manque d’autres noms de l’objet pour la découverte automatique interne quand vous utilisez des certificats distincts pour les types Default, WebServicesInternal et WebServicesExternal, procédez comme suit :For a missing internal Autodiscover subject alternative names when using separate certificates for Default, WebServicesInternal, and WebServicesExternal, do the following:

    • À l’invite de ligne de commande Lync Server Management Shell, tapez :At the Lync Server Management Shell command line prompt, type:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez ce paramètre, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :If you have many SIP domains, you cannot use the new AllSipDomain parameter. Instead, you must use DomainName parameter. When you use the DomainName parameter, you must use an appropriate prefix for the SIP domain FQDN. For example:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      
    • Pour un autre nom de sujet du service de découverte automatique externe manquant, tapez ce qui suit sur la ligne de commande :For a missing external Autodiscover subject alternative name, at the command line, type:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez ce paramètre, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :If you have many SIP domains, you cannot use the new AllSipDomain parameter. Instead, you must use DomainName parameter. When you use the DomainName parameter, you must use an appropriate prefix for the SIP domain FQDN. For example:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose
      
    • Pour affecter les types de certificat individuel, tapez ce qui suit :To assign the individual certificate types, type the following:

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      Où « Thumbprint » est l’empreinte numérique (Thumbprint) affichée pour les certificats individuels qui viennent d’être émis.Where “Thumbprint” is the thumbprint displayed for the newly issued individual certificates.