Demande et configuration d’un certificat pour votre proxy HTTP inverse dans Lync Server 2013
Rubrique Dernière modification : 2014-02-14
Vous devez installer le certificat d’autorité de certification racine sur le serveur exécutant Microsoft Forefront Threat Management Gateway 2010 ou IIS ARR pour l’infrastructure d’autorité de certification qui a émis les certificats de serveur aux serveurs internes exécutant Microsoft Lync Server 2013.
Vous devez également installer un certificat de serveur web public sur votre serveur proxy inverse. Les autres noms de sujet de ce certificat doivent contenir les noms de domaine complets externes (FQDN) publiés de chaque pool qui héberge les utilisateurs activés pour l’accès à distance, ainsi que les noms de domaine complets externes de tous les administrateurs ou pools d’administrateurs qui seront utilisés dans cette infrastructure Edge. L’autre nom de l’objet doit également contenir l’URL simple de la réunion, l’URL simple de connexion et, si vous déployez des applications mobiles et envisagez d’utiliser la découverte automatique, l’URL du service de découverte automatique externe, comme indiqué dans le tableau suivant.
Valeur | Exemple | |
---|---|---|
Nom de l’objet |
FQDN du pool |
webext.contoso.com |
Autre nom du sujet |
FQDN du pool |
webext.contoso.com Important Le nom de l’objet doit également être présent dans l’autre nom de l’objet. |
Autre nom du sujet |
Services web d’annuaire facultatifs (si director est déployé) |
webdirext.contoso.com |
Autre nom du sujet |
URL simple de réunion Remarque Toutes les URL simples de réunion doivent se trouver dans l’autre nom de l’objet. Chaque domaine SIP doit avoir au moins une URL simple de réunion active. |
meet.contoso.com |
Autre nom du sujet |
URL simple Dial-in |
dialin.contoso.com |
Autre nom du sujet |
Office Web Apps Server |
officewebapps01.contoso.com |
Autre nom du sujet |
URL du service de découverte automatique externe |
lyncdiscover.contoso.com Remarque Si vous utilisez également Microsoft Exchange Server vous devez également configurer des règles de proxy inverse pour les URL de découverte automatique Exchange et de services web. |
Remarque
Si votre déploiement interne se compose de plusieurs serveurs Standard Edition ou pool frontal, vous devez configurer des règles de publication web pour chaque nom de domaine complet de batterie de serveurs web externe et vous aurez besoin d’un certificat et d’un écouteur web pour chacun d’eux, ou vous devez obtenir un certificat dont le nom de l’autre objet contient les noms utilisés par tous les pools, affectez-le à un écouteur web et partagez-le entre plusieurs règles de publication web.
Créer une demande de certificat
Vous créez une demande de certificat sur le proxy inverse. Vous créez une demande sur un autre ordinateur, mais vous devez exporter le certificat signé avec la clé privée et l’importer sur le proxy inverse une fois que vous l’avez reçu de l’autorité de certification publique.
Remarque
Une demande de certificat ou une demande de signature de certificat (CSR) est une demande adressée à une autorité de certification publique approuvée pour valider et signer la clé publique de l’ordinateur demandeur. Lorsqu’un certificat est généré, une clé publique et une clé privée sont créées. Seule la clé publique est partagée et signée. Comme son nom l’indique, la clé publique est mise à la disposition de toute demande publique. La clé publique est destinée aux clients, serveurs et autres demandeurs qui doivent échanger des informations en toute sécurité et valider l’identité d’un ordinateur. La clé privée est conservée sécurisée et est utilisée uniquement par l’ordinateur qui a créé la paire de clés pour déchiffrer les messages chiffrés avec sa clé publique. La clé privée peut être utilisée à d’autres fins. À des fins de proxy inverse, l’chiffrement des données est l’utilisation principale. Deuxièmement, l’authentification de certificat au niveau de la clé de certificat est une autre utilisation, et est limitée uniquement à la validation qu’un demandeur a la clé publique de l’ordinateur, ou que l’ordinateur pour lequel vous disposez d’une clé publique est en fait l’ordinateur qu’il prétend être.
Pointe
Si vous planifiez vos certificats Edge Server et vos certificats de proxy inverse en même temps, vous devez remarquer qu’il existe une grande similarité entre les deux exigences de certificat. Lorsque vous configurez et demandez votre certificat Edge Server, combinez le serveur Edge et les autres noms d’objet de proxy inverse. Vous pouvez utiliser le même certificat pour votre proxy inverse si vous exportez le certificat et la clé privée, copiez le fichier exporté vers le proxy inverse, puis importez la paire certificat/clé et attribuez-le en fonction des besoins dans les procédures à venir. Reportez-vous aux exigences de certificat pour le plan serveur Edge pour les certificats Edge Server dans Lync Server 2013 et au résumé du certificat de proxy inverse - Proxy inverse dans Lync Server 2013. Veillez à créer le certificat avec une clé privée exportable. La création de la demande de certificat et de certificat avec une clé privée exportable est requise pour les serveurs Edge mis en pool. Il s’agit donc d’une pratique normale et l’Assistant Certificat de l’Assistant Déploiement de serveur Lync pour le serveur Edge vous permet de définir l’indicateur Rendre la clé privée exportable . Une fois que vous recevez la demande de certificat de l’autorité de certification publique, vous exportez le certificat et la clé privée. Consultez la section « Pour exporter le certificat avec la clé privée pour les serveurs Edge dans un pool » dans la rubrique Configurer des certificats pour l’interface de périphérie externe pour Lync Server 2013 pour plus d’informations sur la création et l’exportation de votre certificat avec une clé privée. L’extension du certificat doit être de type .pfx.
Pour générer une demande de signature de certificat sur l’ordinateur sur lequel le certificat et la clé privée seront affectés, procédez comme suit :
Création d’une demande de signature de certificat
Ouvrez la console de gestion Microsoft (MMC), ajoutez le composant logiciel enfichable Certificats, sélectionnez Ordinateurs, puis développez Personnel. Pour plus d’informations sur la création d’une console de certificats dans microsoft management console (MMC), consultez https://go.microsoft.com/fwlink/?LinkId=282616.
Cliquez avec le bouton droit sur Certificats, cliquez sur Toutes les tâches, cliquez sur Opérations avancées, puis sur Créer une requête personnalisée.
Dans la page Inscription de certificat , cliquez sur Suivant.
Dans la page Sélectionner une stratégie d’inscription de certificat sous Demande personnalisée, sélectionnez Continuer sans stratégie d’inscription. Cliquez sur Suivant.
Dans la page Demande personnalisée, sélectionnez(Aucun modèle) Clé héritée pour le modèle. Sauf indication contraire de votre fournisseur de certificats, laissez l’option Supprimer les extensions par défaut désactivée et la sélection du format de requête sur PKCS #10. Cliquez sur Suivant.
Dans la page Informations sur le certificat , cliquez sur Détails, puis sur Propriétés.
Dans la page Propriétés du certificat de l’onglet Général dans le champ Nom convivial, tapez un nom pour ce certificat. Si vous le souhaitez, tapez une description dans le champ Description . Le nom convivial et la description sont généralement utilisés par l’administrateur pour identifier l’objectif du certificat, tel que l’écouteur de proxy inverse pour Lync Server.
Sélectionnez l’onglet Objet . Sous Nom d’objet du type, sélectionnez Nom commun pour le type de nom d’objet. Pour la valeur, tapez le nom de l’objet que vous utiliserez pour le proxy inverse, puis cliquez sur Ajouter. Dans l’exemple fourni dans le tableau de cette rubrique, le nom de l’objet est webext.contoso.com et est tapé dans le champ Valeur du nom de l’objet.
Sous l’onglet Objet sous Autre nom, sélectionnez DNS dans la liste déroulante type. Pour chaque autre nom d’objet défini dont vous avez besoin sur le certificat, tapez le nom de domaine complet, puis cliquez sur Ajouter. Par exemple, dans le tableau, il existe trois autres noms de sujet, meet.contoso.com, dialin.contoso.com et lyncdiscover.contoso.com. Dans le champ Valeur , tapez meet.contoso.com, puis cliquez sur Ajouter. Répétez cette opération pour chaque autre nom d’objet que vous devez définir.
Dans la page Propriétés du certificat, cliquez sur l’onglet Extensions. Dans cette page, vous allez définir les objectifs de clé de chiffrement dans l’utilisation de la clé et l’utilisation étendue de la clé dans l’utilisation étendue de la clé (stratégies d’application).
Cliquez sur la flèche Utilisation de la clé pour afficher les options disponibles. Sous Options disponibles, cliquez sur Signature numérique, puis sur Ajouter. Cliquez sur Chiffrement de clé, puis sur Ajouter. Si la case à cocher Rendre ces utilisations de clés critiques est désactivée, cochez la case.
Cliquez sur la flèche Utilisation étendue de la clé (stratégies d’application) pour afficher les options disponibles. Sous Options disponibles, cliquez sur Authentification du serveur, puis sur Ajouter. Cliquez sur Authentification du client, puis sur Ajouter. Si la case à cocher Rendre les utilisations de clés étendues critiques est cochée, désélectionnez la case. Contrairement à la case à cocher Utilisation de la clé (qui doit être cochée), vous devez être sûr que la case à cocher Utilisation de la clé étendue n’est pas cochée.
Dans la page Propriétés du certificat , cliquez sur l’onglet Clé privée . Cliquez sur la flèche Options de clé . Pour la taille de clé, sélectionnez 2 048 dans la liste déroulante. Si vous générez cette paire de clés et la RSE sur un ordinateur autre que le proxy inverse pour lequel ce certificat est destiné, sélectionnez Rendre la clé privée exportable.
Remarque de sécurité : La sélection de Rendre une clé privée exportable est généralement recommandée lorsque vous avez plusieurs proxy inverses dans une batterie de serveurs, car vous copiez le certificat et la clé privée sur chaque ordinateur de la batterie de serveurs. Si vous autorisez une clé privée exportable, vous devez prendre soin du certificat et de l’ordinateur sur lequel il est généré. La clé privée, si elle est compromise, rend le certificat inutile et expose potentiellement l’ordinateur ou les ordinateurs à un accès externe et à d’autres vulnérabilités de sécurité. Sous l’onglet Clé privée , cliquez sur la flèche de type Clé . Sélectionnez l’option Exchange .
Cliquez sur OK pour enregistrer les propriétés de certificat que vous avez définies.
Dans la page Inscription de certificat , cliquez sur Suivant.
Dans la page Où voulez-vous enregistrer la demande hors connexion ? Vous êtes invité à entrer un nom de fichier et un format de fichier pour enregistrer la demande de signature de certificat.
Dans le champ d’entrée Nom de fichier, tapez un chemin d’accès et un nom de fichier pour la demande, ou cliquez sur Parcourir pour sélectionner un emplacement pour le fichier et tapez le nom de fichier de la demande.
Pour le format de fichier, cliquez sur Base 64 ou Binaire. Sélectionnez Base 64 , sauf indication contraire du fournisseur pour vos certificats.
Recherchez le fichier de demande que vous avez enregistré à l’étape précédente. Soumettre à votre autorité de certification publique.
Important
Microsoft a identifié des autorités de certification publiques qui répondent aux exigences des communications unifiées. Une liste est conservée dans l’article base de connaissances suivant. https://go.microsoft.com/fwlink/?LinkId=282625