Partager via

Configuration des certificats pour l’interface interne Edge dans Lync Server 2013

  • Article

 

Rubrique Dernière modification : 2013-11-07

Important

Lorsque vous exécutez l’Assistant Certificat, vérifiez que vous êtes connecté à l’aide d’un compte membre d’un groupe auquel les autorisations appropriées ont été attribuées pour le type de modèle de certificat que vous utiliserez. Par défaut, une demande de certificat Lync Server 2013 utilise le modèle de certificat Web Server. Si vous utilisez un compte membre du groupe RTCUniversalServerAdmins pour demander un certificat à l’aide de ce modèle, vérifiez que les autorisations d’inscription requises pour utiliser ce modèle ont été attribuées au groupe.

Un seul certificat est requis sur l’interface interne de chaque serveur Edge. Les certificats de l’interface interne peuvent être émis par une autorité de certification d’entreprise interne ou une autorité de certification publique. Si votre organisation dispose d’une autorité de certification interne déployée, vous pouvez économiser sur les frais liés à l’utilisation de certificats publics en utilisant l’autorité de certification interne pour émettre le certificat pour l’interface interne. Vous pouvez utiliser une autorité de certification Windows Server 2008 ou Windows Server 2008 R2 interne pour créer ces certificats.

Pour plus d’informations sur cette configuration et d’autres exigences de certificat, consultez La configuration requise pour l’accès des utilisateurs externes dans Lync Server 2013.

Pour configurer des certificats sur l’interface de périphérie interne d’un site, utilisez les procédures décrites dans cette section pour effectuer les opérations suivantes :

  1. Téléchargez la chaîne de certification de l’autorité de certification pour l’interface interne sur chaque serveur Edge.

  2. Importez la chaîne de certification de l’autorité de certification pour l’interface interne, sur chaque serveur Edge.

  3. Créez la demande de certificat pour l’interface interne, sur un serveur Edge appelé premier serveur Edge.

  4. Importez le certificat pour l’interface interne sur le premier serveur Edge.

  5. Importez le certificat sur les autres serveurs Edge sur ce site (ou déployé derrière cet équilibreur de charge).

  6. Affectez le certificat pour l’interface interne de chaque serveur Edge.

Si vous avez plusieurs sites avec des serveurs Edge (c’est-à-dire une topologie de périphérie à plusieurs sites) ou des ensembles distincts de serveurs Edge déployés derrière différents équilibreurs de charge, vous devez suivre ces étapes pour chaque site disposant de serveurs Edge et pour chaque ensemble de serveurs Edge déployés derrière un équilibreur de charge différent.

Remarque

Les étapes des procédures de cette section sont basées sur l’utilisation d’une autorité de certification Windows Server 2008, d’une autorité de certification Windows Server 2008 R2, d’une autorité de certification Windows Server 2012 ou d’une autorité de certification Windows Server 2012 R2 pour créer un certificat pour chaque serveur Edge. Pour obtenir des conseils pas à pas pour toute autre autorité de certification, consultez la documentation relative à cette autorité de certification. Par défaut, tous les utilisateurs authentifiés disposent des droits d’utilisateur appropriés pour demander des certificats.
Les procédures de cette section sont basées sur la création de demandes de certificat sur le serveur Edge dans le cadre du processus de déploiement du serveur Edge. Il est possible de créer des demandes de certificat à l’aide du serveur frontal. Vous pouvez effectuer cette opération pour terminer la demande de certificat au début du processus de planification et de déploiement, avant de commencer le déploiement des serveurs Edge. Pour ce faire, vous devez vous assurer que le certificat que vous demandez est défini avec une clé privée exportable.
Les procédures décrites dans cette section décrivent l’utilisation d’un fichier .cer et d’un fichier .p7b pour le certificat. Si vous utilisez un autre type de fichier, modifiez ces procédures en fonction des besoins.

Pour télécharger la chaîne de certification de l’autorité de certification pour l’interface interne à l’aide du site web certsrv

  1. Connectez-vous à un serveur Lync Server 2013 dans le réseau interne (autrement dit, pas le serveur Edge) en tant que membre du groupe Administrateurs .

  2. Exécutez la commande suivante à l’invite de commandes en cliquant sur Démarrer, en cliquant sur Exécuter, puis en tapant ce qui suit :

    https://<name of your Issuing CA Server>/certsrv

    Par exemple :

    https://ca01.contoso.net/certsrv

    Remarque

    Si vous utilisez une autorité de certification d’entreprise Windows Server 2008 ou Windows Server 2008 R2, vous devez utiliser https, et non http.

  3. Dans la page web certsrv de l’autorité de certification émettrice, sous Sélectionnez une tâche, cliquez sur Télécharger un certificat d’autorité de certification, une chaîne de certificats ou la liste de révocation de certificats.

  4. Sous Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation de certificats, cliquez sur Télécharger la chaîne de certificats de l’autorité de certification.

  5. Dans la boîte de dialogue Téléchargement de fichier , cliquez sur Enregistrer.

  6. Enregistrez le fichier .p7b sur le disque dur sur le serveur, puis copiez-le dans un dossier sur chaque serveur Edge.

    Remarque

    Le fichier .p7b contient tous les certificats qui se trouvent dans le chemin de certification. Pour afficher le chemin d’accès de certification, ouvrez le certificat de serveur et cliquez sur le chemin d’accès de certification.

Pour exporter la chaîne de certification de l’autorité de certification pour l’interface interne à l’aide de MMC

  1. Vous pouvez exporter le certificat racine de l’autorité de certification à partir de n’importe quel ordinateur joint à un domaine à l’aide de la console de gestion Microsoft (MMC). Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez MMC.

  2. Dans la console MMC, cliquez sur Fichier, puis sur Ajouter/Supprimer.

  3. Dans la liste de dialogue Ajouter ou supprimer des composants logiciels enfichables , sélectionnez Certificats, puis cliquez sur Ajouter. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur. Dans la boîte de dialogue Sélectionner un ordinateur, sélectionnez Ordinateur local. Cliquez sur Terminer. Cliquez sur OK.

  4. Développez les certificats (ordinateur local). Développez autorités de certification racines approuvées, sélectionnez Certificats.

  5. Cliquez sur le certificat racine émis par votre autorité de certification. Cliquez avec le bouton droit sur le certificat, sélectionnez Toutes les tâches, puis Exporter. L’Assistant Exportation de certificat s’ouvre.

  6. Dans l’Assistant Exportation du certificat, cliquez sur Suivant.

  7. Dans la boîte de dialogue Exporter le format de fichier , sélectionnez un format vers lequel exporter. Nous vous recommandons la syntaxe de message de chiffrement standard : certificats PKCS #7 (. P7B). Si vous sélectionnez la syntaxe de message de chiffrement Standard - PKCS #7 Certificats (. P7B), sélectionnez la case Inclure tous les certificats dans le chemin d’accès de certification si possible pour exporter la chaîne de certificats, y compris le certificat d’autorité de certification racine et tous les certificats d’autorité de certification intermédiaires. Cliquez sur Suivant.

  8. Dans la boîte de dialogue Fichier à exporter dans l’entrée du nom de fichier, tapez un chemin d’accès et un nom de fichier (l’extension par défaut est .p7b) pour le certificat exporté. Si vous le souhaitez, cliquez sur Parcourir, recherchez un répertoire dans lequel placer le certificat exporté et fournissez un nom pour le certificat exporté. Cliquez sur Enregistrer. Cliquez sur Suivant.

  9. Passez en revue le résumé des actions, puis cliquez sur Terminer pour terminer l’exportation du certificat. Cliquez sur OK pour confirmer l’exportation.

Pour importer la chaîne de certification de l’autorité de certification pour l’interface interne

  1. Sur chaque serveur Edge, ouvrez la console de gestion Microsoft (MMC) en cliquant sur Démarrer, en cliquant sur Exécuter, en tapant mmc dans la zone Ouvrir , puis en cliquant sur OK.

  2. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.

  3. Dans la zone Ajouter des composants logiciels enfichables autonomes , cliquez sur Certificats, puis sur Ajouter.

  4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Compte d’ordinateur, puis sur Suivant.

  5. Dans la boîte de dialogue Sélectionner un ordinateur , vérifiez que la case à cocher Ordinateur local : (l’ordinateur sur lequel cette console s’exécute) est cochée, puis cliquez sur Terminer.

  6. Cliquez sur Fermer, puis sur OK.

  7. Dans l’arborescence de la console, développez Certificats (ordinateur local), cliquez avec le bouton droit sur Autorités de certification racines approuvées, pointez sur Toutes les tâches, puis cliquez sur Importer.

  8. Dans l’Assistant, dans Fichier à importer, spécifiez le nom de fichier du certificat (autrement dit, le nom que vous avez spécifié lorsque vous avez téléchargé la chaîne de certification de l’autorité de certification pour l’interface interne dans la procédure précédente).

  9. Répétez cette procédure sur chaque serveur Edge.

Pour créer la demande de certificat pour l’interface interne

  1. Sur l’un des serveurs Edge, démarrez l’Assistant Déploiement, puis, en regard de l’étape 3 : Demander, installer ou attribuer des certificats, cliquez sur Exécuter.

    Remarque

    Si vous avez plusieurs serveurs Edge à un emplacement dans un pool, vous pouvez exécuter l’Assistant Certificat sur l’un des serveurs Edge.
    Une fois que vous avez exécuté l’étape 3 la première fois, le bouton change pour s’exécuter à nouveau, et une coche verte indiquant la réussite de la tâche n’est pas affichée tant que tous les certificats requis n’ont pas été demandés, installés et affectés.

  2. Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Créer une demande de certificat.

  3. Dans la page Demande de certificat , cliquez sur Suivant.

  4. Dans la page Demandes différées ou immédiates, cliquez sur Préparer la demande, mais ne pas l’envoyer maintenant.

  5. Dans la page Fichier de demande de certificat , tapez le chemin d’accès complet et le nom de fichier dans lesquels la demande doit être enregistrée (par exemple, c:\cert_internal_edge.cer).

  6. Dans la page Spécifier un autre modèle de certificat , pour utiliser un modèle autre que le modèle WebServer par défaut, activez la case à cocher Utiliser un autre modèle de certificat pour l’autorité de certification sélectionnée .

  7. Dans la page Paramètres de nom et de sécurité , procédez comme suit :

    • Dans Le nom convivial, tapez un nom d’affichage pour le certificat (par exemple, Edge interne).

    • Dans La longueur du bit, spécifiez la longueur du bit (généralement, la valeur par défaut 2048).

      Remarque

      Les longueurs de bits plus élevées offrent plus de sécurité, mais elles ont un impact négatif sur la vitesse.

    • Si le certificat doit être exportable, activez la case à cocher Marquer comme clé privée de certificat exportable .

  8. Dans la page Informations sur l’organisation , tapez le nom de l’organisation et de l’unité organisationnelle (par exemple, une division ou un service).

  9. Dans la page Informations géographiques , spécifiez les informations d’emplacement.

  10. Dans la page Nom de l’objet/Autres noms de l’objet , les informations à remplir automatiquement par l’Assistant s’affichent.

  11. Dans la page Configurer d’autres noms de sujet supplémentaires , spécifiez les autres noms de sujet supplémentaires requis.

  12. Dans la page Récapitulatif de la demande, passez en revue les informations de certificat qui seront utilisées pour générer la demande.

  13. Une fois les commandes terminées, procédez comme suit :

    • Pour afficher le journal de la demande de certificat, cliquez sur Afficher le journal.

    • Pour terminer la demande de certificat, cliquez sur Suivant.

  14. Dans la page Fichier de demande de certificat , procédez comme suit :

    • Pour afficher le fichier de demande de signature de certificat (CSR) généré, cliquez sur Afficher.

    • Pour fermer l’Assistant, cliquez sur Terminer.

  15. Envoyez ce fichier à votre autorité de certification (par e-mail ou par une autre méthode prise en charge par votre organisation pour votre autorité de certification d’entreprise) et, lorsque vous recevez le fichier de réponse, copiez le nouveau certificat sur cet ordinateur afin qu’il soit disponible à l’importation.

Pour importer le certificat pour l’interface interne

  1. Connectez-vous au serveur Edge sur lequel vous avez créé la demande de certificat en tant que membre du groupe Administrateurs local.

  2. Dans l’Assistant Déploiement, en regard de l’étape 3 : Demander, installer ou attribuer des certificats, cliquez à nouveau sur Exécuter.

    Une fois que vous avez exécuté l’étape 3 la première fois, le bouton change pour s’exécuter à nouveau, mais une coche verte (indiquant la réussite de la tâche) n’est pas affichée tant que tous les certificats requis n’ont pas été demandés, installés et attribués.

  3. Dans la page Tâches de certificat disponibles , cliquez sur Importer un certificat à partir d’un . Fichier P7b, .pfx ou .cer.

  4. Dans la page Importer le certificat , tapez le chemin d’accès complet et le nom de fichier du certificat que vous avez demandé et reçu pour l’interface interne de ce serveur Edge (ou cliquez sur Parcourir pour localiser et sélectionner le fichier).

  5. Si vous importez des certificats pour d’autres membres du pool un certificat contenant une clé privée, activez la case à cocher Clé privée de certifcate dans le fichier de certificat et spécifiez le mot de passe.

Pour exporter le certificat avec la clé privée pour les serveurs Edge dans un pool

  1. Ouvrez une session en tant que membre du groupe Administrateurs sur le même serveur Edge sur lequel vous avez importé le certificat.

  2. Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez MMC.

  3. Dans la console MMC, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

  4. Dans la page Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Certificats, puis sur Ajouter.

  5. Dans la boîte de dialogue de composant logiciel enfichable Certificats, sélectionnez Compte d’ordinateur. Cliquez sur Suivant. Dans Sélectionner un ordinateur, sélectionnez Ordinateur local : (l’ordinateur sur lequel cette console s’exécute). Cliquez sur Terminer. Cliquez sur OK pour terminer la configuration de la console MMC.

  6. Double-cliquez sur Certificats (ordinateur local) pour développer les magasins de certificats. Double-cliquez sur Personnel, puis double-cliquez sur Certificats.

    Important

    S’il n’y a aucun certificat dans le magasin Personnel de certificats pour l’ordinateur local, aucune clé privée n’est associée au certificat qui a été importé. Passez en revue les étapes de demande et d’importation. Si le problème persiste, contactez l’administrateur ou le fournisseur de votre autorité de certification.

  7. Dans le magasin Certificates Personal pour l’ordinateur local, cliquez avec le bouton droit sur le certificat que vous exportez. Cliquez sur Toutes les tâches, puis sur Exporter.

  8. Dans l’Assistant Exportation de certificat, cliquez sur Suivant. Sélectionnez Oui, exporter la clé privée. Cliquez sur Suivant.

    Remarque

    Si la sélection Oui, exporter la clé privée n’est pas disponible, la clé privée associée à ce certificat n’a pas été marquée pour l’exportation. Vous devrez demander à nouveau le certificat, en vous assurant que le certificat est marqué pour autoriser l’exportation de la clé privée avant de pouvoir poursuivre l’exportation. Contactez l’administrateur ou le fournisseur de votre autorité de certification.

  9. Dans la boîte de dialogue Exporter les formats de fichier, sélectionnez Échange d’informations personnelles – PKCS#12 (. PFX), puis sélectionnez les éléments suivants :

    • Inclure tous les certificats dans le chemin d’accès de certification si possible

    • Exporter toutes les propriétés étendues

      Avertissement

      Lors de l’exportation du certificat à partir d’un serveur Edge, ne sélectionnez pas Supprimer la clé privée si l’exportation réussit. Pour sélectionner cette option, vous devez importer le certificat et la clé privée sur ce serveur Edge.

    Cliquez sur Suivant pour continuer.

  10. Si vous souhaitez affecter un mot de passe pour protéger la clé privée, tapez un mot de passe pour la clé privée. Entrez à nouveau le mot de passe pour confirmer. Cliquez sur Suivant.

  11. Tapez un chemin d’accès et un nom de fichier avec l’extension .pfx pour le certificat exporté. Le chemin d’accès doit être accessible à tous les autres serveurs Edge du pool ou être transporté par le biais d’un support amovible , par exemple, un lecteur flash USB. Cliquez sur Suivant.

  12. Passez en revue le résumé de la boîte de dialogue Terminer l’Assistant Exportation de certificat. Cliquez sur Terminer.

  13. Cliquez sur OK dans la boîte de dialogue indiquant que l’exportation a abouti.

  14. Importez le fichier de certificat exporté sur les autres serveurs Edge en suivant les étapes décrites dans la section Configurer les certificats pour l’interface de périphérie externe pour les procédures Lync Server 2013 .

Pour affecter le certificat interne sur les serveurs Edge

  1. Sur chaque serveur Edge, dans l’Assistant Déploiement, en regard de l’étape 3 : Demander, installer ou attribuer des certificats, cliquez à nouveau sur Exécuter.

  2. Dans la page Tâches de certificat disponibles , cliquez sur Affecter un certificat existant.

  3. Dans la page Affectation de certificat, sélectionnez Serveur Edge interne dans la liste.

  4. Dans la page Magasin de certificats , sélectionnez le certificat que vous avez importé pour la périphérie interne (à partir de la procédure précédente).

  5. Dans la page Résumé de l’affectation de certificat, passez en revue vos paramètres, puis cliquez sur Suivant pour attribuer les certificats.

  6. Dans la page de fin de l’Assistant, cliquez sur Terminer.

  7. Après avoir utilisé cette procédure pour affecter le certificat de périphérie interne, ouvrez le composant logiciel enfichable Certificat sur chaque serveur, développez Certificats (ordinateur local),développez Personnel, cliquez sur Certificats, puis vérifiez dans le volet d’informations que le certificat de périphérie interne est répertorié.

  8. Si votre déploiement inclut plusieurs serveurs Edge, répétez cette procédure pour chaque serveur Edge.