Freigeben über

Zuweisen eines Server-zu-Server-Authentifizierungszertifikats zu Microsoft Lync Server 2013

  • Artikel

 

Letzte Änderung: 24.10.2013

Um festzustellen, ob microsoft Lync Server 2013 bereits ein Server-zu-Server-Authentifizierungszertifikat zugewiesen wurde, führen Sie den folgenden Befehl aus der Lync Server 2013-Verwaltungsshell aus:

Get-CsCertificate -Type OAuthTokenIssuer

Wenn keine Zertifikatinformationen zurückgegeben werden, müssen Sie ein Tokenherausgeberzertifikat zuweisen, bevor Sie die Server-zu-Server-Authentifizierung verwenden können. In der Regel kann jedes Lync Server 2013-Zertifikat als OAuthTokenIssuer-Zertifikat verwendet werden. Beispielsweise kann Ihr Lync Server 2013-Standardzertifikat auch als OAuthTokenIssuer-Zertifikat verwendet werden. (Das OAUthTokenIssuer-Zertifikat kann auch ein beliebiges Webserverzertifikat sein, das den Namen Ihrer SIP-Domäne im Feld "Antragsteller" enthält.) Die beiden wichtigsten Anforderungen für das Zertifikat, das für die Server-zu-Server-Authentifizierung verwendet wird, sind: 1)das gleiche Zertifikat muss wie das OAuthTokenIssuer-Zertifikat auf allen Front-End-Servern konfiguriert werden. und 2) das Zertifikat mindestens 2048 Bit sein muss.

Wenn Sie über kein Zertifikat verfügen, das für die Server-zu-Server-Authentifizierung verwendet werden kann, können Sie ein neues Zertifikat beziehen, das neue Zertifikat importieren und anschließend für die Server-zu-Server-Authentifizierung verwenden. Nachdem Sie das neue Zertifikat angefordert und erhalten haben, können Sie sich bei einem ihrer Front-End-Server anmelden und einen Windows PowerShell Befehl wie diesen verwenden, um dieses Zertifikat zu importieren und zuzuweisen:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

Im vorherigen Befehl stellt der Path-Parameter den vollständigen Pfad zur Zertifikatdatei dar, und der Parameter "Password" stellt das Kennwort dar, das dem Zertifikat zugewiesen wurde. Dieses Verfahren sollte nur einmal ausgeführt werden: Der Replikationsdienst von Lync Server erstellt dann automatisch eine Reihe geplanter Aufgaben, die das Zertifikat entschlüsseln und auf allen Front-End-Servern bereitstellen.

Alternativ können Sie ein vorhandenes Zertifikat als Server-zu-Server-Authentifizierungszertifikat verwenden. (Wie bereits erwähnt, kann das Standardzertifikat als Server-zu-Server-Authentifizierungszertifikat verwendet werden.) Das folgende Paar von Windows PowerShell Befehlen ruft den Wert der Thumbprint-Eigenschaft des Standardzertifikats ab und verwendet diesen Wert, um das Standardzertifikat zum Server-zu-Server-Authentifizierungszertifikat zu machen:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

Im vorherigen Befehl ist das abgerufene Zertifikat so konfiguriert, dass es als globales Server-zu-Server-Authentifizierungszertifikat funktioniert. Das bedeutet, dass das Zertifikat auf alle Front-End-Server repliziert und von diesen verwendet wird. Auch hier sollte dieser Befehl nur einmal und nur auf einem Ihrer Front-End-Server ausgeführt werden. Obwohl alle Front-End-Server dasselbe Zertifikat verwenden müssen, sollten Sie das OAuthTokenIssuer-Zertifikat nicht auf jedem Front-End-Server konfigurieren. Konfigurieren Sie das Zertifikat stattdessen einmal, und lassen Sie den Replikationsserver von Lync Server das Kopieren dieses Zertifikats auf jeden Server übernehmen.

Das cmdlet Set-CsCertificate übernimmt das betreffende Zertifikat und konfiguriert dieses Zertifikat sofort so, dass es als aktuelles OAuthTokenIssuer-Zertifikat fungiert. (Lync Server 2013 behält zwei Kopien eines Zertifikattyps bei: das aktuelle Zertifikat und das vorherige Zertifikat.) Wenn Sie das neue Zertifikat sofort als OAuthTokenIssuer-Zertifikat verwenden müssen, sollten Sie das cmdlet Set-CsCertificate verwenden.

Sie können das Set-CsCertificate-Cmdlet auch verwenden, um ein neues Zertifikat zu "rollen". "Rollieren" eines Zertifikats bedeutet einfach, dass Sie ein neues Zertifikat so konfigurieren, dass es zu einem bestimmten Zeitpunkt zum aktuellen OAuthTokenIssuer-Zertifikat wird. Mit diesem Befehl wird beispielsweise das Standardzertifikat abgerufen und dann so konfiguriert, dass es ab dem 1. Juli 2012 als aktuelles OAuthTokenIssuer-Zertifikat übernommen wird:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2012" -Roll

Am 1. Juli 2012 wird das neue Zertifikat als aktuelles OAuthTokenIssuer-Zertifikat konfiguriert, und das "alte" OAuthTokenIssuer-Zertifikat wird als vorheriges Zertifikat konfiguriert.

Wenn Sie Windows PowerShell nicht verwenden möchten, können Sie auch die MMC-Konsole "Zertifikate" verwenden, um ein Zertifikat von einem Front-End-Server zu exportieren und dann dasselbe Zertifikat auf allen anderen Front-End-Servern zu importieren. Dabei müssen Sie unbedingt den privaten Schlüssel zusammen mit dem Zertifikat selbst exportieren.

Warnung

In diesem Fall muss die Prozedur auf jedem Front-End-Server ausgeführt werden. Beim Exportieren und Importieren von Zertifikaten auf diese Weise repliziert Lync Server 2013 dieses Zertifikat nicht auf jedem Front-End-Server.

Nachdem das Zertifikat auf alle Front-End-Server importiert wurde, kann dieses Zertifikat mithilfe des Lync Server-Bereitstellungs-Assistenten anstelle von Windows PowerShell zugewiesen werden. Führen Sie zum Zuweisen eines Zertifikats mithilfe des Bereitstellungs-Assistenten die folgenden Schritte auf einem Computer aus, auf dem der Bereitstellungs-Assistent installiert wurde:

  1. Klicken Sie auf "Start", dann auf "Alle Programme", dann auf "Microsoft Lync Server 2013" und dann auf " Lync Server-Bereitstellungs-Assistent".

  2. Klicken Sie im Bereitstellungs-Assistenten auf "Lync Server System installieren oder aktualisieren".

  3. Klicken Sie auf der Seite Microsoft Lync Server 2013 unter der Überschrift "Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikaten" auf die Schaltfläche "Ausführen". (Hinweis: Falls Sie auf diesem Computer bereits Zertifikate installiert haben, heißt die Schaltfläche nicht Ausführen, sondern Erneut ausführen.)

  4. Wählen Sie im Zertifikat-Assistenten das Zertifikat OAuthTokenIssuer aus und klicken Sie auf Zuweisen.

  5. Klicken Sie im Zertifikatzuweisungs-Assistenten auf der Seite Zertifikatzuweisung auf Weiter.

  6. Wählen Sie auf der Seite Zertifikatspeicher das Zertifikat aus, das für die Server-zu-Server-Authentifizierung verwendet werden soll und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite für die Zusammenfassung der Zertifikatzuweisung auf Weiter.

  8. Klicken Sie auf der Seite „Befehle ausführen“ auf Fertigstellen.

  9. Schließen Sie den Zertifikat-Assistenten und den Bereitstellungs-Assistenten.