Renovar, Instalar y Asignar Certificados a nuestro Edge de Lync Server 2010/2013 (es-ES)
Una de las cosas que debemos tener en cuenta es que los certificados tienen una caducidad, y esto debemos tenerlo muy presente porque una vez que caduquen los usuarios no podrán conectarse a los servicios que estamos ofreciendo. Lync es uno de los sistemas que más certificados necesita, por lo que debemos tener especial cuidado con sus renovaciones. En el Visor de Eventos nos avisará de que tenemos un certificado que está a punto de expirar:
Si queremos saber que certificado es el que está a punto de expirar, abriremos la consola de administración de certificados de equipo (Inicio - Ejecutar - certlm.msc) y buscaremos la huella digital del certificado que coindice con el que nos muestra en la alerta del Visor de Eventos
Estas alertas nos empezarán a llegar 30 días antes de que expire el certificado, por lo que debemos ponernos manos a la obra con la renovación de los certificados.
Yo personalmente utilizo DigiCert para solicitar mis certificados públicos, y DigiCert 90 días antes ya nos va enviando e-mails de que debemos renovar los certificados que están a punto de caducar:
Está claro que por avisarnos no será y además nos ofrecen todas las guías posibles de como debemos renovarlo con ellos para tenerlo disponible con suficiente antelación para no tener los apuros de última hora. Una vez que lo hemos renovado (estos pasos los omito porque son muy sencillos y se tramitan desde la web de Digicert (http://www.digicert.com)), lo que nos queda primero es instalarlo en nuestro servidor y posteriormente asignarlos a los servicios correspondientes. Con DigiCert lo tenemos muy fácil sino queremos realizar el proceso de forma "manual", simplemente nos descargamos la herramient DigiCertTool la cual nos permite gestionar nuestros certificados de forma centralizada y desde cualquier sitio podemos conectarnos a DigiCert desde las DigiCertTool y podemos subir un CSR para completar una solicitud y subirlo directamente a DigiCert o simplemente enviarlo a nuestra CA Interna. Lo único que debemos hacer es descargarnos las DigiCertTool, ejecutarlo y irnos a la opción Account para introducir nuestro usuario y contraseña (el mismo que introducimos en la Web) para que nos muestra las solicitudes pendientes o los certificados que tenemos contratados preparados para ser instalados:
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Renovacion_Certificados_Lync_2013_6.png
Si tuviéramos una petición pendiente de completarla nos la mostaría de forma inmediata, en caso contrario debemos habilitar la casilla Show completed orders
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Renovacion_Certificados_Lync_2013_7.png
Ahora nos mostrará todos los certificados que hemos adquirido y vemos que podemos instalarlo directamente desde la opción install, pues pulsamos en install
Volvemos a pulsar en install
En cuestión de segundos ya tenemos el certificado instalado en el almacén de certificados de equipo local
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Renovacion_Certificados_Lync_2013_10.png
Si volvemos a la consola de certificados del equipo local (certlm.msc) veremos el nuevo certificado instalado:
Ahora que ya tenemos el certificado instalado, únicamente debemos asignarlo a los servicios que sea necesario (IIS, Exchange, etc..) y en mi caso al EDGE de Lync. Para ello abrimos el Asistente de Implementación de Lync Server - Instalar o actrualizar el sistema Lync Server
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Renovacion_Certificados_Lync_2013_12.png
Pulsamos en Ejecutar de nuevo en el Paso 3: Solicitar, instalar o asignar certificados
Elegimos el certificado que queremos renovar, en nuestro caso el externo y pulsamos en Asignar porque ya lo tenemos instalado en el servidor
Nos avisa de que si tenemos más de un servidor de EDGE ( un pool de EDGE) debemos exportar el certificado con su clave privada e instalarlo en todos los servidores, únicamente debemos pulsar en SÍ
Pulsamos en Siguiente
Elegimos el certificado que queremos asignar, sino tenemos claro cual era podemos pulsa en Ver detalles del certificado para asegurarnos de que elegimos el correcto
Pulsamos en Siguiente
En mi caso me muestra una advertencia porque tengo nombres de dominios configurados en la federación pero que no están asignados en el certificado que voy a instalar, esto es porque he configurado la federación solo con un certificado: Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013). Por lo que esta advertencia no me afecta en absoluto, otra cosa sería que no lo tuviese configurado como comento en el artículo nombrado, entonces si deberíais asignar más nombres a este certificado (los que fuesen necesarios por dominio)
Como hemos hecho caso omiso a la alerta, igualmente nos lo muestra aunque se ha importado correctamente
Aquí nos muestra los nombres de dominio que no tiene el certificados asignados, pero vamos, me repito en mi caso no sería problema
Ahora ya tenemos el certificado asignado, damos el proceso por finalizado. Esto debemos hacerlo en todos los EDGE de nuestra organización (si tenemos varios claramente), el proceso es el mismo a excepción de que debemos exportar el certificado del primer servidor con su clave privada exportable para poder importarlo en el resto de servidores.
Si nos vamos al Visor de Eventos podemos ver que ya tenemos varios alertas informativas de que los distintos servicios ya tienen el nuevo certificado asignado, por lo que ya hemos finalizado el proceso de renovación de certificado
Como podemos apreciar es un proceso sencillo siempre y cuando se tenga claro, aquí os dejo algunos artículos que había puesto con anterioridad sobre certificados digitales:
- Windows Server 2012, Instalación de una CA
- Creación de CSR para Lync de forma sencilla
- Requisitos que necesita cumplir un Certificiado Digital para reconocerse como válido
- ¿Qué certificados necesitamos para Lync?
- Certificados SAN o Wildcard para nuestra implementación de Lync Server
- Asignar Certificados a un EDGE de Lync Server 2013
- Asignar Certificados a un Front-END de Lync Server 2013
- Lync Server: Modificar el tiempo de validez de un certificado de usuario
- Emitir Certificados con más de 2 años de validez en una CA en Windows
- Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013)
- Lync Server: Reverse-Proxy requisito indispensable
- Federación y Acceso de Usuarios Externos
- Lync Server: Renovación de Certificados y Alertas
- Exportación e Importación Certificados en Windows Server 2012
- Certificados SAN o Wildcard para nuestra implementación de Lync Server
- Certificados Exchange UM: LS Inbound Routing Id. del Evento 45024