Этапы сертифицирования AV и OAuth в Skype для бизнеса Server 2015 с использованием -Roll in Set-CsCertificateStage AV and OAuth certificates in Skype for Business Server 2015 using -Roll in Set-CsCertificate

Сводка: Сертификаты рабочей области AV и OAuth для Скайп для Business Server 2015.Summary: Stage AV and OAuth certificates for Skype for Business Server 2015.

Аудио/видео (A / V) коммуникации — это основной компонент Скайп для Business Server 2015.Audio/Video (A/V) communications is a key component of Skype for Business Server 2015. Компонентов, таких как приложения общего доступа и аудио- и видеоконференций полагаться на сертификаты, назначенный A / видеоконференций, а именно A / V проверки подлинности службы.Features such as application sharing and audio and video conferencing rely on the certificates assigned to the A/V Edge service, specifically the A/V Authentication service.

Важно!

Этот новый компонент предназначен для работы для A / V Edge службы и сертификат OAuthTokenIssuer.This new feature is designed to work for the A/V Edge service and the OAuthTokenIssuer certificate. Другие типы сертификатов можно подготовить к работе с вместе с A аудио- и видеоконференций и OAuth тип сертификата, но не будет пользоваться совместной работы, который A / V Edge сертификат службы будет.Other certificate types can be provisioned along with the A/V Edge service and OAuth certificate type, but will not benefit from the coexistence behavior that the A/V Edge service certificate will.

Скайп по командлетам PowerShell командной консоли управления Business Server используется для управления Скайп сертификатов Business Server 2015 относится к A / V Edge службы в поле Тип AudioVideoAuthentication сертификат и сертификат OAuthServer как typeOAuthTokenIssuer.The Skype for Business Server Management Shell PowerShell cmdlets used to manage Skype for Business Server 2015 certificates refers to the A/V Edge service certificate as the AudioVideoAuthentication certificate type and the OAuthServer certificate as typeOAuthTokenIssuer. В оставшейся части этого раздела и для уникальной идентификации сертификаты они будут перенаправляться в с того же идентификатор типа AudioVideoAuthentication andOAuthTokenIssuer.For the rest of this topic and to uniquely identify the certificates, they will be referred to by the same identifier type, AudioVideoAuthentication andOAuthTokenIssuer.

Служба проверки подлинности аудио- и видеоконференций отвечает за выдачу маркеров, используемых клиентами и другими пользователями аудио- и видеоконференций.The A/V Authentication service is responsible for issuing tokens that are used by clients and other A/V consumers. Маркеры создаются на основе атрибутов сертификата, и по истечении срока действия сертификата, происходит разрыв соединения или отображается запрос на повторное подключение с использованием нового маркера, созданного новым сертификатом.The tokens are generated from attributes on the certificate, and when the certificate expires, loss of connection and requirement to rejoin with a new token generated by the new certificate will result. Новая функция в Скайп для Business Server 2015 приведет к устранению этой проблемы — возможность этап новый сертификат до старый истечение срока действия и позволяет обоих сертификаты, чтобы продолжить использовать для периода времени.A new feature in Skype for Business Server 2015 will alleviate this problem - the ability to stage a new certificate in advance of the old one expiring and allowing both certificates to continue to function for a period of time. Эта функция использует обновленные возможности Скайп Set-CsCertificate для командлета консоли Business Server.This feature uses updated functionality in the Set-CsCertificate Skype for Business Server Management Shell cmdlet. Новый параметр-восстановить, с параметром существующих - EffectiveDate, будут помещены новый сертификат AudioVideoAuthentication в хранилище сертификатов.The new parameter -Roll, with the existing parameter -EffectiveDate, will place the new AudioVideoAuthentication certificate in the certificate store. Предыдущий сертификат AudioVideoAuthentication по-прежнему действует для проверки выданных маркеров.The older AudioVideoAuthentication certificate will still remain for issued tokens to be validated against. С момента размещения нового сертификата AudioVideoAuthentication возникают следующие наборы событий:Beginning with putting the new AudioVideoAuthentication certificate in place, the following series of events will occur:

Совет

Командлеты командную консоль Business Server для управления сертификатами с помощью Скайп, можно запросить отличный сертификаты для каждой цели на пограничном сервере.Using the Skype for Business Server Management Shell cmdlets for managing certificates, you can request separate and distinct certificates for each purpose on the Edge Server. С помощью мастера сертификатов в Скайп мастер развертывания Business Server упрощает создание сертификатов, но обычно типа по умолчанию , какие couples все сертификат используется для пограничного сервера на один сертификат.Using the Certificate Wizard in the Skype for Business Server Deployment Wizard assists you in creating certificates, but is typically of the default type which couples all certificate uses for the Edge Server onto a single certificate. Если вы собираетесь использовать функцию динамическое сертификат рекомендуется для отделения сертификат AudioVideoAuthentication из назначения сертификатов.The recommended practice if you are going to use the rolling certificate feature is to decouple the AudioVideoAuthentication certificate from the other certificate purposes. Можно подготовить и промежуточные сертификат типа по умолчанию, но только AudioVideoAuthentication часть объединенный сертификат выиграют от промежуточного хранения.You can provision and stage a certificate of the Default type, but only the AudioVideoAuthentication portion of the combined certificate will benefit from the staging. Пользователь, к примеру, задействованных в сеанс обмена мгновенными сообщениями при истечении срока действия сертификата потребуется выйдите из системы и войдите снова, чтобы сделать использование нового сертификата, связанных со службой пограничного доступа.A user involved in (for example) an instant messaging conversation when the certificate expires will need to log out and log back in to make use of the new certificate associated with the Access Edge service. Аналогичное поведение для пользователя, участвующего в веб-конференции с помощью службы пограничного сервера Web конференц-связи.Similar behavior will occur for a user involved in a Web conference using the Web Conferencing Edge service. Сертификат OAuthTokenIssuer является определенного типа, которая совместно используется на всех серверах.The OAuthTokenIssuer certificate is a specific type that is shared across all servers. Создание и управление ими в одном месте сертификат и сертификат хранится в центральное хранилище управления для всех других серверов.You create and manage the certificate in one place and the certificate is stored in the Central Management store for all other servers.

Для полного понимания возможностей и условий использования командлета Set-CsCertificate и использования его для промежуточного хранения сертификатов до истечения срока действия текущего сертификата требуются дополнительные данные.Additional detail is needed to fully understand your options and requirements when using the Set-CsCertificate cmdlet and using it to stage certificates prior to the current certificate expiring. -Откат параметр важно, но по сути единый назначения.The -Roll parameter is important, but essentially single purpose. Если вы определяете как параметр, вы указываете Set-CsCertificate, который будет предоставлять сведения о сертификате, который затрагиваются определяется - тип (например AudioVideoAuthentication и OAuthTokenIssuer), вступления сертификата эффективного определяется - EffectiveDate.If you define it as a parameter, you are telling Set-CsCertificate that you will be providing information about the certificate that will be affected defined by -Type (for example AudioVideoAuthentication and OAuthTokenIssuer), when the certificate will become effective defined by -EffectiveDate.

-Отката: - откат параметр является обязательным и не имеет зависимости, которые должен задаваться вместе с ней.-Roll: The -Roll parameter is required and has dependencies that must be supplied along with it. Обязательные параметры полное определение сертификатов, которые будут затронуты и как они будут применяться.Required parameters to fully define which certificates will be affected and how they will be applied:

-EffectiveDate: параметр - EffectiveDate определяет, когда новый сертификат становится co-active с текущего сертификата.-EffectiveDate: The parameter -EffectiveDate defines when the new certificate will become co-active with the current certificate. -EffectiveDate может быть времени истечения срока действия текущего сертификата, или она может быть длительный период времени.The -EffectiveDate can be close to the expiry time of the current certificate, or it can be a longer period of time. Рекомендуемая Минимальная - EffectiveDate для сертификат AudioVideoAuthentication бы 8 часов, которая является срока жизни маркера по умолчанию для службы маркеров Аудио-и видеоданных, выдается сертификат AudioVideoAuthentication с помощью.A recommended minimum -EffectiveDate for the AudioVideoAuthentication certificate would be 8 hours, which is the default token lifetime for AV Edge service tokens issued using the AudioVideoAuthentication certificate.

При размещении сертификатов OAuthTokenIssuer для промежуточного хранения действуют различные требования в отношении времени упреждения, прежде чем действие сертификата вступит в силу. Минимальное время упреждения для сертификата OAuthTokenIssuer составляет 24 часа до истечения срока действия текущего сертификата. Увеличение времени упреждения для совместной работы применяется в связи с тем, что другие роли сервера, зависимые от сертификата OAuthTokenIssuer (например, Exchange Server), для которых предусматривается более продолжительный срок хранения сертификатов, создают данные проверки подлинности и ключа шифрования.When staging OAuthTokenIssuer certificates, there are different requirements for the lead time before the certificate can become effective. The minimum time that the OAuthTokenIssuer certificate should have for its lead time is 24 hours before the expiration time of the current certificate. The extended lead time for the coexistence is because of other server roles that are dependent on the OAuthTokenIssuer certificate (Exchange Server, for example) which has a longer retention time for certificate created authentication and encryption key materials.

-Отпечаток: отпечаток является атрибутом в сертификате, который является уникальным для этого сертификата.-Thumbprint: The thumbprint is an attribute on the certificate that is unique to that certificate. -Отпечаток параметр используется для идентификации сертификата, который будут затронуты при выполнении действий в командлет Set-CsCertificate.The -Thumbprint parameter is used to identify the certificate that will be affected by the actions of the Set-CsCertificate cmdlet.

-Тип: - возможные значения параметра тип использования одного сертификата или запятыми список типов использования сертификата.-Type: The -Type parameter can accept a single certificate usage type or a comma separated list of certificate usage types. Типы сертификатов — это списки, чтобы указать в командлет и к серверу возможности назначение сертификата.The certificate types are those that identify to the cmdlet and to the server what the purpose of the certificate is. Например, тип AudioVideoAuthentication предназначен для использования с A / V Edge служба и служба проверки подлинности аудио/видео.For example, type AudioVideoAuthentication is for use by the A/V Edge service and the AV Authentication service. Если вы решили рабочей области и подготовки сертификатов другого типа в то же время, необходимо учесть длинным необходимые эффективных мин для сертификатов.If you decide to stage and provision certificates of a different type at the same time, you must consider the longest required minimum effective lead time for the certificates. Например необходимо сертификаты рабочей области типа AudioVideoAuthentication и OAuthTokenIssuer.For example, you need to stage certificates of type AudioVideoAuthentication and OAuthTokenIssuer. Ваше минимальные - EffectiveDate должно быть больше двух сертификатов, в данном случае OAuthTokenIssuer, насчитывающей мин 24 часов.Your minimum -EffectiveDate must be the greater of the two certificates, in this case the OAuthTokenIssuer, which has a minimum lead time of 24 hours. Если не требуется этап сертификат AudioVideoAuthentication с временем производства 24 часов, включить его отдельно с EffectiveDate, который является более в ваши требования.If you do not want to stage the AudioVideoAuthentication certificate with a lead time of 24 hours, stage it separately with an EffectiveDate that is more to your requirements.

Обновление или продление A / V Edge службы сертификата с помощью параметров - Roll и - EffectiveDateTo update or renew an A/V Edge service certificate with a -Roll and -EffectiveDate parameters

  1. Войдите на локальный компьютер как член группы "Администраторы".Log on to the local computer as a member of the Administrators group.

  2. Запросите Продление сертификата или новый сертификат AudioVideoAuthentication с экспортируемым закрытым ключом для текущего сертификата на A / V Edge службы.Request a renewal or new AudioVideoAuthentication certificate with exportable private key for the existing certificate on the A/V Edge service.

  3. Импортируйте новый сертификат AudioVideoAuthentication пограничного сервера и всех других пограничного сервера в пуле (при наличии развернутого пула).Import the new AudioVideoAuthentication certificate to the Edge Server and all other Edge Server in your pool (if you have a pool deployed).

  4. Настройка импортированный сертификат с помощью командлета Set-CsCertificate и использовать параметр - Roll совместно с параметром - EffectiveDate.Configure the imported certificate with the Set-CsCertificate cmdlet and use the -Roll parameter with the -EffectiveDate parameter. Дата вступления в силу определяется как время истечения срока действия текущего сертификата (14:00:00) за вычетом срока действия маркера (по умолчанию — восемь часов).The effective date should be defined as the current certificate expire time (14:00:00, or 2:00:00 PM) minus token lifetime (by default eight hours). Это дает времени, сертификат должен иметь значение активный и - EffectiveDate <строка>: «7/22/2015 6:00:00 AM».This gives us a time that the certificate must be set to active, and is the -EffectiveDate <string>: "7/22/2015 6:00:00 AM".

    Важно!

    Для пограничного пула, необходимо иметь все сертификаты AudioVideoAuthentication развернута и подготовить к работе по дате и времени, определенного параметром - EffectiveDate первого сертификата развернут, чтобы избежать возможных A / V нарушения связи из-за более старый сертификат, срок действия перед всех маркеров клиента и потребитель был обновлен с помощью нового сертификата.For an Edge pool, you must have all AudioVideoAuthentication certificates deployed and provisioned by the date and time defined by the -EffectiveDate parameter of the first certificate deployed to avoid possible A/V communications disruption due to the older certificate expiring before all client and consumer tokens have been renewed using the new certificate.

    Команда Set-CsCertificate с параметром - Roll и - EffectiveTime:The Set-CsCertificate command with the -Roll and -EffectiveTime parameter:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
           <thumb print of new certificate> -Roll -EffectiveDate <date and time
           for certificate to become active>
    

    Пример команды Set-CsCertificate:An example Set-CsCertificate command:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
           "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2015
           6:00:00 AM"
    

    Важно!

    EffectiveDate должен иметь формат в соответствии с регион вашего сервера и языковые параметры.The EffectiveDate must be formatted to match your server's region and language settings. В примере используется "мне Нравится" английский язык и региональные параметрыThe example uses the US English Region and Language settings

Для дальнейшей ознакомиться с процессом, Set-CsCertificate, - Roll и - EffectiveDate используется для размещения нового сертификата создавать новые маркеры AudioVideoAuthentication во время по-прежнему использования существующего сертификата для проверки AudioVideoAuthentication, используемых по потребителям visual временной шкалы не эффективных способов основные сведения о процессе.To further understand the process that Set-CsCertificate, -Roll, and -EffectiveDate use to stage a new certificate for issuing new AudioVideoAuthentication tokens while still using an existing certificate to validate AudioVideoAuthentication that are in use by consumers, a visual timeline is an effective means of understanding the process. В следующем примере администратор определяет, что A / V Edge сертификата службы из-за истечения срока действия с 2:00:00 в 07/22/2015.In the following example, the administrator determines that the A/V Edge service certificate is due to expire at 2:00:00 PM on 07/22/2015. Он запрашивает и получает новый сертификат и импортирует каждый из пограничных серверов в пуле, его.He requests and receives a new certificate and imports it to each Edge Server in his pool. В 02: 00 в 07/22/2015, он запускает командлет Get-CsCertificate с - Roll, - отпечаток, равное строка отпечаток нового сертификата и - EffectiveTime значение 07/22/2015 6:00:00 AM.At 2 AM on 07/22/2015, he begins running Get-CsCertificate with -Roll, -Thumbprint equal to the thumbprint string of the new certificate, and -EffectiveTime set to 07/22/2015 6:00:00 AM. Он запускает эту команду на каждом пограничном сервере.He runs this command on each Edge Server.

Использование параметров Roll и EffectiveDate.

ВыноскиCallout СтадииStage
11
Начало: 22/7/2015 12:00:00Start: 7/22/2015 12:00:00 AM
Срок действия текущего сертификата AudioVideoAuthentication истекает в 14:00:00 22/7/2015. Это определяется меткой времени в сертификате. Запланируйте замену и переключение своего сертификата с учетом 8-часового перекрытия (срок действия маркера по умолчанию) до истечения срока действия существующего сертификата. Использованное в этом примере время опережения (02:00:00) предоставляет администратору достаточно времени для размещения и выделения новых сертификатов до наступления фактического времени 06:00:00.The current AudioVideoAuthentication certificate is due to expire at 2:00:00 PM on 7/22/2015. This is determined by the expires time stamp on the certificate. Plan your certificate replacement and rollover to account for an 8 hour overlap (default token lifetime) before the existing certificate reaches the expire time. The 2:00:00 AM lead time is used in this example to allow the administrator adequate time to place and provision the new certificates in advance of the 6:00:00 AM effective time.
22
22/7/2015 02:00:00 - 22/7/2015 05:59:597/22/2015 2:00:00 AM - 7/22/2015 5:59:59 AM
Установка сертификатов на пограничных серверах с время начала 6:00:00 AM (4 часов периода ожидания — в этом примере, но может быть больше) с помощью Set-CsCertificate-тип <сертификата тип использования> -отпечаток <отпечаток нового сертификата> - Развертывание - EffectiveDate <строку даты и времени время начала для нового сертификата>Set Certificates on Edge Servers with effective time of 6:00:00 AM (4 hour lead time is for this example, but can be longer) using Set-CsCertificate -Type <certificate usage type> -Thumbprint <thumbprint of new certificate> -Roll -EffectiveDate <datetime string of the effective time for new certificate>
33
22/7/2015 06:00 - 22/7/2015 14:007/22/2015 6:00 AM - 7/22/2015 2:00 PM
При проверке маркеров сначала применяется новый сертификат. Если маркер не удается проверить с помощью нового сертификата, используется старый сертификат. Этот процесс применяется ко всем маркерам в течение 8 часов (срок действия маркера по умолчанию) периода перекрытия.To validate tokens, the new certificate is tried first, and if the new certificate fails to validate the token, the old certificate is tried. This process is used for all tokens during the 8 hour (default token lifetime) overlap period.
44
Окончание: 7/22/2015 2:00:01 PMEnd: 7/22/2015 2:00:01 PM
Истекает срок действия старого сертификата и начинает действовать новый сертификат.Old certificate has expired and the new certificate has taken over. Старый сертификат можно удалить с помощью Remove-CsCertificate-тип <сертификата тип использования> -предыдущейOld certificate can be safely removed with Remove-CsCertificate -Type <certificate usage type> -Previous

По достижении заданного времени (22/7/2015 6:00:00 утра) все новые маркеры выпускаются новым сертификатом.When the effective time is reached (7/22/2015 6:00:00 AM), all new tokens are issued by the new certificate. Сначала выполняется проверка маркеров новым сертификатом.When validating tokens, tokens will first be validated against the new certificate. Если проверка не пройдена, маркеры проверяются старым сертификатом.If the validation fails, the old certificate is tried. Процедура проверки новым сертификатом и возврат к старому продолжается до тех пор, пока не истечет срок действия старого сертификата.The process of trying the new and falling back to the old certificate will continue until the expiry time of the old certificate. По истечении срока действия старого сертификата (22/7/2015 14:00:00) маркеры будут проверяться только новым сертификатом.Once the old certificate has expired (7/22/2015 2:00:00 PM), tokens will only be validated by the new certificate. Старый сертификат можно удалить с помощью командлета Remove-CsCertificate с предыдущей параметр-.The old certificate can be safely removed using the Remove-CsCertificate cmdlet with the -Previous parameter.

Remove-CsCertificate -Type AudioVideoAuthentication -Previous

Обновление или продление OAuthTokenIssuer сертификата с помощью параметров - Roll и - EffectiveDateTo update or renew an OAuthTokenIssuer certificate with a -Roll and -EffectiveDate parameters

  1. Войдите на локальный компьютер как член группы "Администраторы".Log on to the local computer as a member of the Administrators group.

  2. Запросите Продление сертификата или новый сертификат OAuthTokenIssuer с экспортируемым закрытым ключом для текущего сертификата на сервере переднего плана.Request a renewal or new OAuthTokenIssuer certificate with exportable private key for the existing certificate on the Front End Server.

  3. Импортируйте новый сертификат OAuthTokenIssuer на сервере переднего плана в пуле (при наличии развернутого пула).Import the new OAuthTokenIssuer certificate to a Front End Server in your pool (if you have a pool deployed). Сертификат OAuthTokenIssuer глобально репликации и только для обновления и обновленной панели мониторинга на любом сервере в развертывании.The OAuthTokenIssuer certificate is replicated globally and only needs to be updated and renewed at any server in your deployment. Сервер переднего плана используется в качестве примера.The Front End Server is used as an example.

  4. Настройка импортированный сертификат с помощью командлета Set-CsCertificate и использовать параметр - Roll совместно с параметром - EffectiveDate.Configure the imported certificate with the Set-CsCertificate cmdlet and use the -Roll parameter with the -EffectiveDate parameter. Дата вступления в силу определяется как время истечения срока действия текущего сертификата (14:00:00 или 2:00:00 дня) за вычетом не менее 24 часов.The effective date should be defined as the current certificate expire time (14:00:00, or 2:00:00 PM) minus a minimum of 24 hours.

    Команда Set-CsCertificate с параметром - Roll и - EffectiveTime:The Set-CsCertificate command with the -Roll and -EffectiveTime parameter:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumb
           print of new certificate> -Roll -EffectiveDate <date and time for
           certificate to become active> -identity Global 
    

Пример команды Set-CsCertificate:An example Set-CsCertificate command:

Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint
        "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2015
        1:00:00 PM" 

Важно!

EffectiveDate должен иметь формат в соответствии с регион вашего сервера и языковые параметры.The EffectiveDate must be formatted to match your server's region and language settings. В примере используется "мне Нравится" английский язык и региональные параметрыThe example uses the US English Region and Language settings

По достижении заданного времени (22/7/2015 1:00:00 утра) все новые маркеры выпускаются новым сертификатом.When the effective time is reached (7/21/2015 1:00:00 AM), all new tokens are issued by the new certificate. Сначала выполняется проверка маркеров новым сертификатом.When validating tokens, tokens will first be validated against the new certificate. Если проверка не пройдена, маркеры проверяются старым сертификатом.If the validation fails, the old certificate is tried. Процедура проверки новым сертификатом и возврат к старому продолжается до тех пор, пока не истечет срок действия старого сертификата.The process of trying the new and falling back to the old certificate will continue until the expiry time of the old certificate. По истечении срока действия старого сертификата (22/7/2015 14:00:00) маркеры будут проверяться только новым сертификатом.Once the old certificate has expired (7/22/2015 2:00:00 PM), tokens will only be validated by the new certificate. Старый сертификат можно удалить с помощью командлета Remove-CsCertificate с предыдущей параметр-.The old certificate can be safely removed using the Remove-CsCertificate cmdlet with the -Previous parameter.

Remove-CsCertificate -Type OAuthTokenIssuer -Previous 

См. такжеSee also

Управление проверки подлинности сервер сервер (OAuth) и партнерских приложений в Скайп для Business Server 2015Manage server-to-server authentication (OAuth) and partner applications in Skype for Business Server 2015

Командлет Set-CsCertificateSet-CsCertificate

Командлет remove-CsCertificateRemove-CsCertificate