Modificación de certificados para movilidad en Lync Server 2013
Última modificación del tema: 2014-06-20
Para admitir conexiones seguras entre su entorno de Lync y sus clientes móviles, los certificados de capa de sockets seguros (SSL) de su grupo de directores, el grupo de servidores front-end y el proxy inverso tendrán que actualizarse con algunas entradas de nombre alternativo de asunto (SAN) adicionales. Si necesita consultar más detalles sobre los requisitos del certificado para la movilidad, consulte la sección Requisitos de certificado en Requisitos técnicos para la movilidad en Lync Server 2013, pero básicamente tendrá que obtener nuevos certificados de la entidad emisora de certificados con las entradas adicionales de SAN incluidas y, a continuación, agregue dichos certificados siguiendo los pasos de este artículo.
Por supuesto, antes de empezar, suele ser una buena idea saber qué nombres alternativos de asignatura ya tienen los certificados. Si no está seguro de lo que ya está configurado, hay muchas maneras de averiguarlo. Aunque la opción está ahí para ejecutar Get-CsCertificate y otros comandos de PowerShell para ver esta información, (que se muestra a continuación) de forma predeterminada, los datos se truncarán, por lo que es posible que no pueda ver todas las propiedades que necesita. Para echar un vistazo al certificado y a todas sus propiedades, puede ir a Microsoft Management Console (MMC) y cargar el complemento Certificados (que también se muestra a continuación), o bien puede comprobar el Asistente para la implementación de Lync Server.
Como se indicó anteriormente, los siguientes pasos le guiarán a través de la actualización de los certificados con el Shell de administración de Lync Server y MMC. Si está interesado en usar el Asistente para certificados en el Asistente para la implementación de Lync Server para esto en su lugar, puede comprobar Configurar certificados para el Director en Lync Server 2013 para el director o grupo de directores, si configuró uno (es posible que no tenga). Para el servidor front-end o el grupo de servidores front-end, verá Configurar certificados para servidores en Lync Server 2013.
Por último, tenga en cuenta que es posible que tenga un único certificado predeterminado en su entorno de Lync Server 2013, o que tenga certificados independientes para Default (que es todo excepto los servicios web), WebServicesExternal y WebServicesInternal. Independientemente de la configuración, estos pasos le ayudarán.
Para actualizar certificados con nombres alternativos de temas nuevos mediante el Shell de administración de Lync Server
Debe iniciar sesión en su servidor de Lync Server 2013 con una cuenta que tenga permisos y derechos de administrador local. Además, si ejecuta la solicitud de PowerShell-CsCertificate en los pasos 12 y posteriores, la cuenta debe tener derechos sobre la entidad de certificación (CA) especificada.
Inicie el Shell de administración de Lync Server: Haga clic en Inicio, haga clic en Todos los programas, haga clic en Microsoft Lync Server 2013 y, a continuación, haga clic en Shell de administración de Lync Server.
Antes de poder asignar un certificado actualizado, tendrá que averiguar qué certificados se han asignado al servidor y para qué tipo de uso. En la línea de comandos, escriba:
Get-CsCertificateRevise el resultado del paso anterior para ver si se ha asignado un único certificado para varios usos o si se ha asignado un certificado diferente para cada uso. Busque en el parámetro Use para averiguar cómo se usa un certificado. Compare el parámetro Thumbprint de los certificados mostrados para ver si el mismo certificado tiene varios usos. Vigile el parámetro Huella digital.
Actualice el certificado. En la línea de comandos, escriba:
Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>Por ejemplo, si el cmdlet Get-CsCertificate mostraba un certificado con Use of Default, otro con un Use of WebServicesInternal y otro con un Use of WebServicesExternal, y todos tenían el mismo valor Thumbprint, en la línea de comandos, debería escribir:
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>Importante:
Si se asigna un certificado independiente para cada uso (por lo que el valor de Huella digital que ha comprobado anteriormente es diferente para cada certificado), es fundamental que no ejecute el cmdlet Set-CsCertificate con varios tipos, como en el ejemplo anterior. En este caso, ejecute el cmdlet Set-CsCertificate por separado para cada uso. Por ejemplo:
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>Para ver el certificado (o certificados), haga clic en Inicio, haga clic en Ejecutar.... Escriba MMC para abrir Microsoft Management Console.
En el menú MMC, seleccione Archivo, seleccione Agregar o quitar complemento..., seleccione Certificados. Haga clic en Agregar. Cuando se le solicite, seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.
Si este es el servidor donde se encuentra el certificado, seleccione Equipo local. Si el certificado se encuentra en otro equipo, debe seleccionar Otro equipo y, a continuación, puede escribir el nombre de dominio completo del equipo o hacer clic en Examinar en Escriba el nombre del objeto que desea seleccionar y escriba el nombre del equipo. Haga clic en Comprobar nombres. Cuando se resuelva el nombre del equipo, aparecerá subrayado. Haga clic en Aceptar y, a continuación, en Finalizar. Haga clic en Aceptar para confirmar la selección y cerrar el cuadro de diálogo Agregar o quitar complementos .
Para ver las propiedades del certificado, expanda Certificados, expanda Personal y seleccione Certificados. Seleccione el certificado que desea ver, haga clic con el botón derecho en el certificado y seleccione Abrir.
En la vista Certificado , seleccione Detalles. Desde aquí, puede seleccionar el nombre del asunto del certificado seleccionando Asunto y se muestran el nombre del asunto asignado y las propiedades asociadas.
Para ver los nombres alternativos del asunto asignado, seleccione Nombre alternativo del asunto. Aquí se muestran todos los nombres alternativos de temas asignados. Los nombres alternativos del asunto que se encuentran aquí son de tipo Nombre DNS de forma predeterminada. Debería ver los siguientes miembros (todos los cuales deben ser nombres de dominio completos representados en los registros de host DNS (A o, si IPv6 AAAA):
Nombre del grupo para este grupo o el nombre del servidor único si no es un grupo
Nombre del servidor al que está asignado el certificado
Registros url simples, que normalmente se reúnen y marcan
Nombres externos internos de los servicios web y servicios web (por ejemplo, webpool01.contoso.net, webpool01.contoso.com), según las opciones realizadas en el Generador de topologías y selecciones de servicios web reemplazadas en exceso.
Si ya está asignado, la detección de lync.< sipdomain> y lyncdiscoverinternal.< registros sipdomain> .
El último elemento es lo que más le interesa si hay una entrada SAN de lyncdiscover y lyncdiscoverinternal.
Repita estos pasos si tiene varios certificados que comprobar. Una vez que tenga esta información, puede cerrar la vista de certificado y mmc.
Si falta un nombre alternativo al asunto del servicio de detección automática y usa un único certificado Predeterminado para los tipos Predeterminado, WebServicesInternal y WebServiceExternal, haga lo siguiente:
En el símbolo del sistema del Shell de administración de Lync Server, escriba:
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verboseSi tiene muchos dominios SIP, no puede usar el nuevo parámetro AllSipDomain. En su lugar, debe usar el parámetro DomainName. Cuando use el parámetro DomainName, tendrá que definir el FQDN para los registros lyncdiscoverinternal y lyncdiscover. Por ejemplo:
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbosePara asignar el certificado, escriba lo siguiente:
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>Donde "Huella digital" es la huella digital que se muestra para el certificado recién emitido.
Para ver una SAN de Detección automática interna que falta al usar certificados independientes para Default, WebServicesInternal y WebServicesExternal, haga lo siguiente:
En el símbolo del sistema del Shell de administración de Lync Server, escriba:
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verboseSi tiene muchos dominios SIP, no puede usar el nuevo parámetro AllSipDomain. En su lugar, debe usar el parámetro DomainName. Al usar el parámetro DomainName, tiene que usar un prefijo adecuado para el FQDN de dominio SIP. Por ejemplo:
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verboseSi falta un nombre alternativo al asunto de Detección automática externa, en la línea de comandos, escriba:
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verboseSi tiene muchos dominios SIP, no puede usar el nuevo parámetro AllSipDomain. En su lugar, debe usar el parámetro DomainName. Al usar el parámetro DomainName, tiene que usar un prefijo adecuado para el FQDN de dominio SIP. Por ejemplo:
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbosePara asignar los tipos de certificado individuales, escriba lo siguiente:
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>Donde "Huella digital" es la huella digital que se muestra para los certificados individuales recién emitidos.
Nota
Tenga en cuenta que los pasos 12 y 13 solo deben ejecutarse si la cuenta que los ejecuta tiene acceso a la entidad emisora de certificados con los permisos adecuados. Si no puede iniciar sesión con una cuenta que tenga esos permisos, o si usa una entidad de certificación pública o remota para sus certificados, tendrá que solicitarlos a través del Asistente para la implementación de Lync Server, que se ha detallado en la parte superior del artículo.