Partager via

Vérifier les certificats de serveur Lync Server 2013

  • Article

 

Rubrique Dernière modification : 2014-11-01

Planification de vérification

Mois

Outil de test

Windows PowerShell

Autorisations requises

En cas d’exécution locale à l’aide de Lync Server Management Shell, les utilisateurs doivent être membres du groupe de sécurité RTCUniversalServerAdmins.

Lors de l’exécution à l’aide d’une instance distante de Windows PowerShell, un rôle RBAC doit être attribué aux utilisateurs qui ont l’autorisation d’exécuter l’applet de commande Get-CsCertificate. Pour afficher la liste de tous les rôles RBAC qui peuvent utiliser cette applet de commande, exécutez la commande suivante à partir de l’invite Windows PowerShell :

Get-CsAdminRole | Where-Object {$_.Cmdlets -match "Get-CsCertificate"}

Description

L’applet de commande Get-CsCertificate vous permet de récupérer des informations sur chacun de vos certificats Lync Server. Cela est particulièrement important, car les certificats ont une date d’expiration intégrée. Par exemple, les certificats émis en privé expirent généralement après 12 mois. Si l’un de vos certificats Lync Server expire, vous perdrez la fonctionnalité associée jusqu’à ce que ce certificat soit renouvelé ou remplacé.

Exécution du test

Pour retourner des informations sur chacun de vos certificats Lync Server, exécutez simplement la commande suivante :

Get-CsCertificate

Vous pouvez également filtrer les informations de certificat de retour en fonction de la date d’expiration. Par exemple, cette commande limite les données retournées aux certificats qui expirent (ne peuvent pas être utilisés après) le 1er juin 2014 :

Get-CsCertificate | Where-Object {$_.NotAfter -lt "6/1/2014"}

Pour plus d’informations, consultez la documentation d’aide relative à l’applet de commande Get-CsCertificate.

Notez que, bien que l’applet de commande Test-CsCertificateConfiguration existe, elle n’est pas très utile pour les administrateurs. (Au lieu de cela, cette applet de commande est principalement utilisée par l’Assistant Certificat.) Bien que l’applet de commande fonctionne, les informations qu’elle retourne sont d’une valeur minimale, comme indiqué dans l’exemple de sortie suivant :

Utilisation de l’empreinte numérique

---------- ---

A9D51A2911C74FABFF7F2A8A994B20857D399107 Par défaut

Examen de la sortie

L’applet de commande Get-CsCertificate retourne des informations similaires aux suivantes pour chacun de vos certificats Lync Server :

Émetteur : CN=FabrikamCA

NotAfter : 28/12/2015 15:35:41

NotBefore : 2/1/2014 12:49:37 PM

SerialNumber : 611BB012000000000000C

Objet : CN=LYNC-SE.fabrikam.com

AlternativeNames : {sip.fabrikam.com, LYNC-SE.fabrikam.com,

meet.fabrikam.com, admin.fabrikam.com...}

Empreinte : A9D51A2911C74FABFF7F2A8A994B20857D399107

Utiliser : par défaut

En règle générale, les principaux problèmes impliquant des certificats Lync Server impliquent des dates et des heures, telles que le moment où les certificats prennent effet (NotBefore) ou quand ils expirent (NotAfter). Étant donné que ces dates et ces heures sont si importantes, vous pouvez limiter les données retournées à des informations telles que l’utilisation du certificat, le numéro de série du certificat et la date d’expiration du certificat; vous pouvez ensuite examiner rapidement tous les certificats et quand ils expireront. Pour renvoyer uniquement ces informations, utilisez la commande avec les options indiquées :

Get-CsCertificate | Select-Object Use, SerialNumber, NotAfter | Sort-Object NotAfter

Cette commande retourne des données similaires à ce qui suit, avec les certificats triés dans l’ordre de leur date d’expiration :

Utiliser SerialNumber NotAfter

--- ------------ --------

Par défaut 611BB012000000000C 28/12/2015 15:35:41 PM

WebServicesInteral 32980AA20BBB20000191 15/02/2016 14:16:12

WebServicesExternal 0451B012003872651A0C 20/02/2016 7:11:58

Si vous rencontrez des problèmes de certificat, vous souhaiterez peut-être passer en revue les alternativenames configurés pour un certificat. À première vue, cela semble être un problème. Par défaut, et en fonction de la taille de la fenêtre de votre console, Get-CsCertificate risque de ne pas pouvoir afficher tous les noms :

AlternativeNames : {sip.fabrikam.com, LYNC.fabrikam.com,

meet.fabrikam.com, admin.fabrika...}

Pour voir tous les autres noms attribués à un certificat, utilisez une commande similaire à celle-ci :

Get-CsCertificate | Where-Object {$_.SerialNumber -eq "611BB01200000000000C"} | Select-Object -ExpandProperty AlternativeNames

Cela doit vous montrer tous les autres noms sur le certificat :

sip.fabrikam.com

LYNC.fabrikam.com

meet.fabrikam.com

admin.fabrikam.com

LYNC-SE.fabrikam.com

Dialin.fabrikam.com

Voir aussi

Get-CsCertificate