Назначение сертификата проверки подлинности между серверами системе Skype для бизнеса Server 2015Assign a server-to-server authentication certificate to Skype for Business Server 2015

Сводка: Назначение сертификата проверки подлинности сервер сервер для Скайп для Business Server 2015.Summary: Assign a server-to-server authentication certificate for Skype for Business Server 2015.

Чтобы определить, ли сертификат проверки подлинности сервер сервер уже была назначена Скайп для Business Server 2015, выполните следующую команду из Скайп для консоли Business Server:To determine whether or not a server-to-server authentication certificate has already been assigned to Skype for Business Server 2015, run the following command from the Skype for Business Server Management Shell:

Get-CsCertificate -Type OAuthTokenIssuer

Если сведения о сертификате не возвращаются, для проверки подлинности между серверами необходимо сначала назначить сертификат издателя маркеров.If no certificate information is returned you must assign a token issuer certificate before you can use server-to-server authentication. Как правило можно использовать любой Скайп для сертификата Business Server 2015 в качестве сертификата OAuthTokenIssuer; Например вашей Скайп для сертификата по умолчанию Business Server 2015 также используется как сертификат OAuthTokenIssuer.As a general rule, any Skype for Business Server 2015 certificate can be used as your OAuthTokenIssuer certificate; for example, your Skype for Business Server 2015 default certificate can also be used as the OAuthTokenIssuer certificate. (Сертификат OAUthTokenIssuer также может быть любой сертификат веб-сервера, который содержит имя вашего домена SIP в поле Тема.) Основной два требования для сертификата, используемого для проверки подлинности сервер сервер — это: 1) тот же сертификат должен быть настроен как сертификат OAuthTokenIssuer на всех серверах переднего плана; и, 2) сертификат должен быть по крайней мере 2048-разрядный ключ.(The OAUthTokenIssuer certificate can also be any Web server certificate that includes the name of your SIP domain in the Subject field.) The primary two requirements for the certificate used for server-to-server authentication are these: 1)the same certificate must be configured as the OAuthTokenIssuer certificate on all of your Front End Servers; and, 2) the certificate must be at least 2048 bits.

При отсутствии сертификата, позволяющего проверять подлинность между серверами, можно получить новый сертификат, импортировать его и затем применять для проверки подлинности между серверами.If you do not have a certificate that can be used for server-to-server authentication you can obtain a new certificate, import the new certificate, and then use that certificate for server-to-server authentication. После запросить и получить новый сертификат вы можете выполните вход на один из вашего сервера переднего плана и используйте команду Windows PowerShell, подставив свои значения для импорта и назначения этого сертификата:After you have requested and obtained the new certificate you can then log on to any one of your Front End Servers and use a Windows PowerShell command similar to this one to import and assign that certificate:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

В предыдущей команде параметр Path представляет полный путь к файлу сертификата, а параметр Password – пароль, назначенный сертификату.In the preceding command the Path parameter represents the full path to the certificate file, and the Password parameter represents the password that was assigned to the certificate. Эту процедуру необходимо выполнить только один раз: Скайп для службы репликации Business Server автоматически создаст набор запланированных заданий, которые будут расшифровки и развертывание сертификат на всех интерфейсных серверах.This procedure should be run just one time: the Skype for Business Server replication service will then automatically create a set of scheduled tasks that will decrypt and deploy the certificate to all your Front End Servers.

Можно также задать в качестве сертификата проверки подлинности между серверами существующий сертификат.Alternatively, you can use an existing certificate as your server-to-server authentication certificate. (Как указывалось, сертификат по умолчанию можно использовать в качестве сертификата проверки подлинности сервер сервер.) Следующие пары команд Windows PowerShell извлечения значения свойств отпечаток сертификата по умолчанию, а затем использовать его для сертификата сертификат проверки подлинности сервер сервер по умолчанию:(As noted, the default certificate can be used as the server-to-server authentication certificate.) The following pair of Windows PowerShell commands retrieve the value of the default certificate's Thumbprint property, then use that value to make the default certificate the server-to-server authentication certificate:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

В предыдущей команде полученный сертификат настроен в качестве сертификата глобального проверки подлинности сервер сервер; Это означает, что сертификат будет репликации и используемые всех интерфейсных серверах.In the preceding command, the retrieved certificate is configured to function as the global server-to-server authentication certificate; that means that the certificate will be replicated to, and used by, all your Front End Servers. Опять же эта команда должна запускаться только один раз и только на один из вашего сервера переднего плана.Again, this command should only be run one time, and only on one of your Front End Servers. Несмотря на то, что все серверы переднего плана необходимо использовать тот же сертификат, не следует настраивать сертификат OAuthTokenIssuer на каждом сервере переднего плана.Although all Front End Servers must use the same certificate, you should not configure the OAuthTokenIssuer certificate on each Front End Server. Вместо этого настройте сертификат один раз, после чего Скайп для репликации сервера Business Server 2015 взяла на себя копирование этот сертификат на каждом сервере.Instead, configure the certificate once, then let the Skype for Business Server 2015 replication server take care of copying that certificate to each server.

Командлет Set-CsCertificate принимает сертификат в вопросе и сразу же настраивает этот сертификат для использования в качестве текущего сертификата OAuthTokenIssuer.The Set-CsCertificate cmdlet takes the certificate in question and immediately configures that certificate to act as the current OAuthTokenIssuer certificate. (Скайп для Business Server 2015 сохраняет две копии тип сертификата: текущий сертификат и предыдущий сертификат.) Если вам требуется новый сертификат, чтобы немедленно начать действовать как сертификат OAuthTokenIssuer следует использовать командлет Set-CsCertificate.(Skype for Business Server 2015 keeps two copies of a certificate type: the current certificate and the previous certificate.) If you need the new certificate to immediately begin to act as the OAuthTokenIssuer certificate then you should use the Set-CsCertificate cmdlet.

Можно также воспользоваться командлетом Set-CsCertificate, чтобы "накатить" новый сертификат. "Накат" означает, что новый сертификат станет текущим сертификатом OAuthTokenIssuer в некоторый определенный момент времени. Например, следующая команда извлекает сертификат по умолчанию и затем делает так, что он становится текущим сертификатом OAuthTokenIssuer 1 июля 2015 г.:You can also use the Set-CsCertificate cmdlet to "roll" a new certificate. "Rolling" a certificate simply means that you configure a new certificate to become the current OAuthTokenIssuer certificate at a specified point in time. For example, this command retrieves the default certificate and then configure that certificate to take over as the current OAuthTokenIssuer certificate as of July 1, 2015:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

1 июля 2015 г. новый сертификат будет установлен в качестве текущего сертификата OAuthTokenIssuer, а "старый" сертификат OAuthTokenIssuer станет прежним сертификатом.On July 1, 2015 the new certificate will be configured as the current OAuthTokenIssuer certificate and the "old" OAuthTokenIssuer certificate will be configured as the previous certificate.

Если вы не хотите использовать Windows PowerShell можно также использовать консоль MMC сертификатов для экспорта сертификата с одного сервера переднего плана и затем импортировать этот же сертификат на всех на других серверах переднего плана.If you do not want to use Windows PowerShell you can also use the Certificates MMC console to export a certificate from one Front End Server and then import that same certificate on all your other Front End Servers. При этом вместе с сертификатом необходимо экспортировать закрытый ключ.If you do this, make sure that you export the private key along with the certificate itself.

Внимание!

В этом случае необходимо выполнить процедуру на каждом сервере переднего плана.In this case, the procedure must be performed on each Front End Server. При экспорте и импорте сертификатов таким образом Скайп для Business Server 2015 не поддерживает репликацию этот сертификат на каждом сервере переднего плана.When exporting and importing certificates in this manner Skype for Business Server 2015 will not replicate that certificate to each Front End Server.

После импорта сертификата для всех интерфейсных серверах этого сертификата, можно предоставить с помощью Скайп для бизнеса мастера развертывания сервера вместо Windows PowerShell.After the certificate has been imported to all your Front End Servers, that certificate can then be assigned by using the Skype for Business Server Deployment Wizard instead of Windows PowerShell. Для назначения сертификата с помощью мастера развертывания выполните следующие действия на компьютере, где установлен мастер развертывания.To assign a certificate by using the Deployment Wizard, complete the following steps on a computer where the Deployment Wizard has been installed:

  1. Нажмите кнопку Пуск, последовательно выберите пункты Все программы, щелкните Скайп для Business Server 2015и нажмите кнопку Скайп для мастер развертывания Business Server.Click Start, click All Programs, click Skype for Business Server 2015, and then click Skype for Business Server Deployment Wizard.

  2. В мастере развертывания выберите установить или обновление Скайп для бизнес-системе сервера.In the Deployment Wizard, click Install or Update Skype for Business Server System.

  3. На Скайп для страницы Business Server 2015, нажмите кнопку запустить под заголовком Шаг 3: запрос, установка или назначение сертификатов.On the Skype for Business Server 2015 page, click the Run button under the heading Step 3: Request, Install or Assign Certificates. (Примечание: Если вы уже установили сертификаты на данном компьютере, затем кнопку выполнить будет называться Повторный запуск.)(Note: If you have already installed certificates on this computer then the Run button will be labeled Run Again.)

  4. В мастере сертификатов выберите сертификат OAuthTokenIssuer, затем нажмите кнопку Назначить.In the Certificate Wizard, select the OAuthTokenIssuer certificate and then click Assign.

  5. В мастере назначения сертификатов на странице Назначение сертификатов нажмите кнопку Далее.In the Certificate Assignment wizard, on the Certificate Assignment page, click Next.

  6. На странице Хранилище сертификатов выберите сертификат для применения при проверке подлинности между серверами, затем нажмите кнопку Далее.On the Certificate Store page, select the certificate to be used for server-to-server authentication and then click Next.

  7. На странице "Сводка по назначениям сертификатов" нажмите кнопку Далее.On the Certificate Assignment Summary page, click Next.

  8. На странице "Выполнение команд" нажмите кнопку Готово.On the Executing Commands page, click Finish.

  9. Закройте мастер сертификатов и мастер развертывания.Close the Certificate Wizard and the Deployment Wizard.