Modification des certificats pour la mobilité dans Lync Server 2013

 

Rubrique Dernière modification : 2014-06-20

Pour prendre en charge les connexions sécurisées entre votre environnement Lync et vos clients mobiles, les certificats SSL (Secure Socket Layer) pour votre pool d’administrateurs, votre pool frontal et votre proxy inverse devront être mis à jour avec des entrées san (subject alternative name) supplémentaires. Si vous devez consulter plus d’informations sur les exigences de certificat pour la mobilité, consultez la section Exigences relatives aux certificats dans Conditions techniques de mobilité dans Lync Server 2013, mais en gros, vous devez obtenir de nouveaux certificats auprès de l’autorité de certification avec les entrées SAN supplémentaires incluses, puis ajouter ces certificats à l’aide des étapes de cet article.

Bien sûr, avant de commencer, il est généralement judicieux de connaître les autres noms d’objet que vos certificats ont déjà. Si vous n’êtes pas sûr de ce qui a déjà été configuré, il existe de nombreuses façons de le savoir. Bien que l’option soit là pour exécuter get-CsCertificate et d’autres commandes PowerShell pour afficher ces informations (que nous passons en revue ci-dessous) par défaut, les données seront tronquées, ce qui vous évitera peut-être de voir toutes les propriétés dont vous avez besoin. Pour bien examiner le certificat et toutes ses propriétés, vous pouvez accéder à la console de gestion Microsoft (MMC) et charger le composant logiciel enfichable Certificats (que nous passons également en revue ci-dessous), ou vous pouvez simplement consulter l’Assistant Déploiement de Lync Server.

Comme indiqué ci-dessus, les étapes suivantes vous guideront tout au long de la mise à jour des certificats à l’aide de Lync Server Management Shell et de MMC. Si vous souhaitez utiliser l’Assistant Certificat dans l’Assistant Déploiement de Lync Server pour cela, vous pouvez vérifier la configuration des certificats pour le directeur dans Lync Server 2013 pour le pool d’administrateurs ou de directeurs, si vous en avez configuré un (vous n’en avez peut-être pas). Pour le serveur frontal ou le pool frontal, vous souhaiterez voir Configurer les certificats pour les serveurs dans Lync Server 2013.

Une dernière chose à garder à l’esprit est que vous pouvez avoir un seul certificat par défaut dans votre environnement Lync Server 2013, ou vous pouvez avoir des certificats distincts pour Default (qui est tout sauf les services web), WebServicesExternal et WebServicesInternal. Quelle que soit votre configuration, ces étapes doivent vous aider.

Pour mettre à jour des certificats avec de nouveaux noms d’autres sujets à l’aide de Lync Server Management Shell

1. Vous devez vous connecter à votre serveur Lync Server 2013 à l’aide d’un compte disposant de droits et d’autorisations d’administrateur local. En outre, si vous exécutez powerShell Request-CsCertificate dans les étapes 12 et ultérieures, le compte doit disposer de droits sur l’autorité de certification spécifiée.

2. Démarrez Lync Server Management Shell : cliquez sur Démarrer, cliquez sur Tous les programmes, sur Microsoft Lync Server 2013, puis sur Lync Server Management Shell.

3. Avant de pouvoir attribuer un certificat mis à jour, vous devez déterminer quels certificats ont été affectés au serveur et pour quel type d’utilisation. À partir de la ligne de commande, tapez :

   Get-CsCertificate
   

4. Passez en revue la sortie de l’étape précédente pour voir si un certificat unique a été affecté pour plusieurs utilisations ou si un certificat différent est affecté pour chaque utilisation. Recherchez dans le paramètre Use comment un certificat est utilisé. Comparez le paramètre d’empreinte numérique pour les certificats affichés pour voir si le même certificat a plusieurs utilisations. Gardez l’œil sur le paramètre Empreinte numérique.

5. Mettez à jour le certificat. À partir de la ligne de commande, tapez :

   Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>
   

   Par exemple, si l’applet de commande Get-CsCertificate affichait un certificat avec l’utilisation par défaut, un autre avec l’utilisation de WebServicesInternal et un autre avec une utilisation de WebServicesExternal, et qu’ils avaient tous la même valeur d’empreinte numérique, à la ligne de commande, vous devez taper :

   Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
   

   Important:

   Si un certificat distinct est affecté pour chaque utilisation (la valeur d’empreinte numérique que vous avez vérifiée ci-dessus est différente pour chaque certificat), il est essentiel que vous n’exécutiez pas l’applet de commande Set-CsCertificate avec plusieurs types, comme dans l’exemple ci-dessus. Dans ce cas, exécutez l’applet de commande Set-CsCertificate séparément pour chaque utilisation. Par exemple :

   Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
   Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
   Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
   

6. Pour afficher le certificat (ou les certificats), cliquez sur Démarrer, cliquez sur Exécuter.... Tapez MMC pour ouvrir la console de gestion Microsoft.

7. Dans le menu MMC, sélectionnez Fichier, Ajouter/Supprimer un composant logiciel enfichable..., puis Certificats. Cliquez sur Ajouter. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.

8. S’il s’agit du serveur sur lequel se trouve le certificat, sélectionnez Ordinateur local. Si le certificat se trouve sur un autre ordinateur, vous devez sélectionner Un autre ordinateur, puis taper le nom de domaine complet de l’ordinateur, ou cliquer sur Parcourir dans Entrer le nom de l’objet à sélectionner, puis taper le nom de l’ordinateur. Cliquez sur Vérifier les noms. Lorsque le nom de l’ordinateur est résolu, il est souligné. Cliquez sur OK, puis sur Terminer. Cliquez sur OK pour valider la sélection et fermer la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables .

9. Pour afficher les propriétés du certificat, développez Certificats, Développez Personnel et sélectionnez Certificats. Sélectionnez le certificat à afficher, cliquez avec le bouton droit sur le certificat, puis sélectionnez Ouvrir.

10. Dans la vue Certificat , sélectionnez Détails. À partir de là, vous pouvez sélectionner le nom de l’objet du certificat en sélectionnant Objet et le nom de l’objet affecté et les propriétés associées sont affichés.

11. Pour afficher les autres noms d’objet attribués, sélectionnez Autre nom de l’objet. Tous les autres noms d’objet attribués sont affichés ici. Les autres noms d’objet trouvés ici sont de type nom DNS par défaut. Vous devez voir les membres suivants (qui doivent tous être des noms de domaine complets tels qu’ils sont représentés dans l’hôte DNS (A ou, si IPv6 AAAA) enregistre :

    • Nom du pool pour ce pool, ou nom du serveur unique s’il ne s’agit pas d’un pool

    • Nom du serveur auquel le certificat est affecté

    • Enregistrements d’URL simples, généralement de réunion et de numérotation

    • Les noms externes des services Web et internes des services Web (par exemple, webpool01.contoso.net, webpool01.contoso.com), basés sur les choix effectués dans le Générateur de topologie et les sélections de services web sur-montés.

    • S’il est déjà affecté, la découverte lync.< sipdomain> et lyncdiscoverinternal.< enregistrements sipdomain> .

    Le dernier élément est ce qui vous intéresse le plus , s’il existe une entrée SAN lyncdiscover et lyncdiscoverinternal.

    Répétez ces étapes si vous avez plusieurs certificats à vérifier. Une fois que vous avez ces informations, vous pouvez fermer l’affichage du certificat et le MMC.

12. Si un autre nom d’objet du service de découverte automatique est manquant et que vous utilisez un seul certificat par défaut pour les types Default, WebServicesInternal et WebServiceExternal, procédez comme suit :

    • À l’invite de ligne de commande Lync Server Management Shell, tapez :

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez le paramètre DomainName, vous devez définir le nom de domaine complet pour les enregistrements lyncdiscoverinternal et lyncdiscover. Par exemple :

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      

    • Pour affecter le certificat, tapez ce qui suit :

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      Où « Thumbprint » est l’empreinte numérique affichée pour le certificat nouvellement émis.

13. Pour un SAN de découverte automatique interne manquant lors de l’utilisation de certificats distincts pour Default, WebServicesInternal et WebServicesExternal, procédez comme suit :

    • À l’invite de ligne de commande Lync Server Management Shell, tapez :

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez le paramètre DomainName, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      

    • Pour un autre nom d’autre objet de découverte automatique externe manquant, tapez :

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez le paramètre DomainName, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose
      

    • Pour affecter les types de certificats individuels, tapez ce qui suit :

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      Où « Empreinte numérique » est l’empreinte numérique affichée pour les certificats individuels nouvellement émis.

    Remarque

    Notez que les étapes 12 et 13 ne doivent être exécutées que si le compte qui les exécute a accès à l’autorité de certification avec les autorisations appropriées. Si vous ne parvenez pas à vous connecter avec un compte disposant de ces autorisations, ou si vous utilisez une autorité de certification publique ou distante pour vos certificats, vous devez les demander via l’Assistant Déploiement de Lync Server, qui a été abordé en haut de l’article.