Настройка сертификатов для серверов в Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2013-03-17

Для успешного выполнения этой процедуры необходимо войти в систему в качестве пользователя, который является членом группы RTCUniversalServerAdmins или имеет делегированные разрешения. Дополнительные сведения о делегирования разрешений см. в разделе "Делегирование разрешений на установку " в Lync Server 2013. В зависимости от организации и требований к запросу сертификатов может потребоваться членство в других группах. Обратитесь к группе, которая управляет центром сертификации инфраструктуры открытых ключей (ЦС).

Примечание.

Lync Server 2013 включает поддержку набора SHA-2 (SHA-2 использует хэш-код длиной 224, 256, 384 или 512 бит) алгоритмов хэширования хэша и подписи для подключений от клиентов под управлением Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista или Windows XP, в дополнение к Lync Phone Edition. Чтобы обеспечить поддержку внешнего доступа с использованием пакета SHA-2, внешний сертификат выпускается общим центром сертификации, который также может выдавать сертификаты для хэша той же длины.

Предупреждение

Выбор алгоритма хэширования и подписывания зависит от клиентов и серверов, которые будут использовать данный сертификат, а также других компьютеров и устройств, с которыми будут обмениваться данными эти клиенты и серверы и которым также должен быть известен порядок использования алгоритмов, предусмотренных этим сертификатом. Сведения о том, какие длины хэш-кода поддерживаются в операционной системе и некоторых клиентских приложениях, см. в разделеhttps://go.microsoft.com/fwlink/?LinkId=287002.

Для каждого сервера Standard Edition или внешнего сервера требуется до четырех сертификатов: сертификат oAuthTokenIssuer, сертификат по умолчанию, внутренний веб-сертификат и внешний веб-сертификат. Однако можно запросить и назначить один сертификат по умолчанию с соответствующими альтернативными записями имени субъекта, а также сертификатом oAuthTokenIssuer. Дополнительные сведения о требованиях к сертификатам см. в разделе "Требования к сертификатам для внутренних серверов в Lync Server 2013". Дополнительные сведения о запросе, назначении и установке сертификата oAuthTokenIssuer см. в статье об управлении проверкой подлинности между серверами (OAuth) и партнерскими приложениями в Lync Server 2013.

Выполните следующую процедуру, чтобы запросить, назначить и установить сертификаты сервера Standard Edition или сервера переднего плана. Повторите процедуру для каждого интерфейсного сервера.

Важно

В следующей процедуре описывается настройка сертификатов из внутренней корпоративной PKI, развернутой вашей организацией, и обработки автономных запросов. Сведения о получении сертификатов из общедоступного ЦС см. в документации по планированию требований к сертификатам для внутренних серверов в Lync Server 2013 . Кроме того, в этой процедуре описывается, как запрашивать, назначать и устанавливать сертификаты во время настройки сервера переднего плана. Если вы запрашивали сертификаты заранее, как описано в разделе документации по Lync Server 2013 для Lync Server 2013 , или не используете внутреннюю инфраструктуру PKI предприятия, развернутую в организации, для получения сертификатов, необходимо соответствующим образом изменить эту процедуру.

Настройка сертификатов для интерфейсного сервера

  1. В мастере развертывания Lync Server щелкните "Выполнить рядом с шагом 3: запрос, установка или назначение сертификатов".

  2. На странице Мастер сертификатов щелкните элемент Запросить.

  3. На странице запроса сертификата нажмите кнопку " Далее".

  4. На странице Отложенные или немедленные запросы вы можете принять используемый по умолчанию параметр Немедленно отправить запрос в локальный центр сертификации, нажав кнопку Далее. В случае выбора этого параметра должен быть доступен внутренний центр сертификации с автоматической регистрацией по сети. Если выбирать задержку запроса, отображается запрос на ввод имени и расположения для сохранения файла запроса на сертификат. Запрос на сертификат должен быть представлен и обработан центром сертификации внутри вашей организации или общим центром сертификации. После этого вам необходимо импортировать ответ сертификата и назначить его подходящей роли сертификата.

  5. На странице "Выбор центра сертификации( ЦС) выберите центр сертификации из списка, обнаруженного в параметре среды, а затем выберите в списке известный (посредством регистрации в доменные службы Active Directory) ЦС. Либо выберите параметр Указать другой центр сертификации, введите в поле имя другого центра сертификации и нажмите кнопку Далее.

  6. На странице Учетная запись центра сертификации требуется ввести учетные данные для запроса сертификата и обработки этого запроса на сертификат в центре сертификации. Вы должны заранее узнать, требуются ли имя пользователя и пароль для запроса сертификата. Администратор ЦС будет иметь необходимые сведения, и вам может потребоваться помощь на этом шаге. Если вам необходимо указать альтернативные сертификаты, установите флажок, укажите имя пользователя и пароль в текстовых полях и нажмите кнопку Далее.

  7. На странице Указание альтернативного шаблона сертификата нажмите кнопку Далее, чтобы использовать шаблон веб-сервера по умолчанию.

    Примечание.

    Если ваша организация создала шаблон для использования в качестве альтернативы для шаблона веб-сервера по умолчанию, установите флажок, а затем введите имя альтернативного шаблона. Вам потребуется имя шаблона, заданное администратором центра сертификации.

  8. На странице "Имя и параметры безопасности" укажите понятное имя, которое позволит определить сертификат и назначение. Если оставить поле пустым, имя создается автоматически. Задайте значение Длина в битах для ключа или примите значение по умолчанию, равное 2048 битам. Выберите Пометить закрытый ключ сертификата как доступный для экспорта, если вы определили, что сертификат и закрытый ключ потребуется перемещать или копировать в другие системы, а затем нажмите кнопку Далее.

    Примечание.

    Lync Server 2013 имеет минимальные требования для экспортируемого закрытого ключа. Одно из таких мест — пограничные серверы в пуле, где служба проверки подлинности при ретрансляции мультимедиа использует копии этого сертификата вместо отдельных сертификатов для каждого из экземпляров пула.

  9. При необходимости укажите информацию об организации на странице Сведения об организации и нажмите кнопку Далее.

  10. При необходимости укажите информацию о местоположении на странице Сведения о местоположении и нажмите кнопку Далее.

  11. На странице Имя субъекта/альтернативные имена субъектов просмотрите добавляемые альтернативные имена субъектов и нажмите кнопку Далее.

  12. На странице Настройка домена SIP выберите Домен SIP и нажмите кнопку Далее.

  13. На странице Настройка дополнительных альтернативных имен субъектов добавьте все необходимые альтернативные имена субъектов, включая те из них, которые могут потребоваться в будущем для дополнительных доменов SIP, и нажмите кнопку Далее.

  14. На странице Сводка по запросу на сертификат просмотрите сводные сведения. Если они верны, нажмите кнопку Далее. Если необходимо внести исправления, нажмите кнопку Назад, чтобы вернуться к нужной странице.

  15. На странице Выполнение команд нажмите кнопку Далее.

  16. On the Online Certificate Request Status page, review the information returned. You should note that the certificate was issued and installed into the local certificate store. Если сообщается, что он был выдан и установлен, но является недопустимым, убедитесь, что корневой сертификат ЦС установлен в хранилище доверенных корневых ЦС сервера. Refer to your CA documentation on how to retrieve a Trusted Root CA certificate. If you need to view the retrieved certificate, click View Certificate Details. По умолчанию установлен флажок "Назначить сертификат для использования сертификата Lync Server ". If you want to manually assign the certificate, clear the check box, and then click Finish.

  17. Если на предыдущей странице снят флажок "Назначить сертификат для использования сертификата Lync Server ", отобразит страницу назначения сертификатов . Нажмите кнопку Далее.

  18. На странице Хранилище сертификатов выберите запрошенный сертификат. Чтобы просмотреть сертификат, щелкните элемент Просмотр сведений о сертификате, а затем нажмите кнопку Далее.

    Примечание.

    Если страница состояния запроса сертификата в сети сообщила о проблеме с сертификатом, например о недопустимости сертификата, просмотр фактического сертификата может помочь в ее устранении. Недействительность сертификата может быть вызвана двумя причинами: указанное ранее отсутствие сертификата доверенного корневого центра сертификации, а также отсутствие закрытого ключа, сопоставленного с этим сертификатом. Сведения об устранении этих двух проблем см. в документации по центру сертификации.

  19. На странице Сводка по назначениям сертификатов просмотрите представленные сведения, чтобы убедиться, что это именно тот сертификат, который требуется назначить, а затем нажмите кнопку Далее.

  20. На странице Выполнение команд просмотрите выходные данные команды. Щелкните элемент Просмотреть журнал, если хотите ознакомиться с процессом назначения либо были выданы ошибка или предупреждение. После завершения просмотра нажмите кнопку Готово.

  21. На странице мастера сертификатов убедитесь, что сертификат находится в состоянии "Назначено", и нажмите кнопку "Закрыть".