Partager via


Request-CsCertificate

 

Dernière rubrique modifiée : 2012-04-23

Permet de demander des certificats à utiliser avec des serveurs exécutant Microsoft Lync Server 2010 et des rôles serveur. Permet également de vérifier l’état des demandes de certificats en cours et, si nécessaire, d’annuler une ou l’ensemble de ces demandes.

Syntaxe

Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Description détaillée

Lync Server 2010 utilise des certificats pour vérifier l’identité des serveurs et des rôles serveur ; par exemple, un serveur Edge utilise des certificats pour vérifier que l’ordinateur avec lequel il communique est réellement un serveur frontal et inversement. Pour permettre une mise en place complète de Lync Server, les certificats appropriés devront être attribués aux rôles serveur adéquats.

Pour demander des certificats à utiliser avec Lync Server, vous pouvez appeler la cmdlet Request-CsCertificate. Bien que vous puissiez utiliser d’autres outils Windows standard pour demander des certificats à utiliser avec Lync Server, l’un des atouts de l’utilisation de la cmdlet Request-CsCertificate est qu’elle analysera votre topologie avant de contacter l’autorité de certification. En fonction de cette analyse, Request-CsCertificate demandera automatiquement un certificat comportant les champs Nom de l’objet et Autre nom de l’objet appropriés.

La cmdlet Request-CsCertificate est conçue pour demander des certificats à utiliser spécifiquement avec Lync Server. Elle n’est pas conçue pour servir d’outil de gestion de certificats multifonction.

Outre la possibilité de demander de nouveaux certificats, cette cmdlet peut également permettre de consulter les demandes de certificats en cours, à condition qu’elles aient été soumises au moyen de la cmdlet Request-CsCertificate. La cmdlet Request-CsCertificate peut également être utilisée pour supprimer des demandes de certificats en cours, à condition qu’elles aient été émises à l’aide de cette même cmdlet.

Lorsque vous essayez de récupérer des demandes de certificats, vous pouvez recevoir un message d’erreur si vous avez des demandes révoquées ; pour l’instant, Request-CsCertificate ne prend en charge que les types de demande suivants : Issued, Denied et Pending. Si vous rencontrez des problèmes liés à un certificat révoqué, utilisez une commande similaire à celle-ci pour effacer la demande révoquée (où 224 est la valeur RequestID de la demande de certificat révoquée) :

Request-CsCertificate –Clear –RequestID 224

Après cela, vous devriez être en mesure de récupérer les demandes de certificats.

Personnes autorisées à exécuter cette cmdlet : Vous devez être un administrateur local et disposer des droits d’accès à l’autorité de certification spécifiée pour exécuter localement la cmdlet Request-CsCertificate. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette cmdlet a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}

Paramètres

Paramètre Obligatoire Type Description

Type

Obligatoire

Chaîne

Type du certificat demandé. Les types de certificat sont notamment les suivants :

AccessEdgeExternal

AudioVideoAuthentication

DataEdgeExternal

Default

External

Internal

iPhoneAPNService

iPadAPNService

MPNService

PICWebService (Microsoft Lync Online 2010 uniquement)

ProvisionService (Microsoft Lync Online 2010 uniquement)

WebServicesExternal

WebServicesInternal

WsFedTokenTransfer

Par exemple, cette syntaxe demande un nouveau certificat de type Default : -Type Default.

Vous pouvez spécifier plusieurs types dans une seule et même commande en séparant les types de certificat par des virgules :

-Type Internal,External,Default

CA

Facultatif

Chaîne

Nom de domaine complet (FQDN) pointant sur l’autorité de certification. Par exemple : -CA "atl-ca-001.litwareinc.com\myca". Pour obtenir une liste des autorités de certification connues, tapez ce qui suit à l’invite Windows PowerShell, puis appuyez sur Entrée :

certutil

La propriété Config retournée par Certutil indique l’emplacement d’une autorité de certification.

CaAccount

Facultatif

Chaîne

Nom du compte de l’utilisateur demandant le nouveau certificat, au format nom_domaine\nom_utilisateur. Par exemple : -CaAccount "litwareinc\kenmyer". Si rien n’est spécifié, Request-CsCertificate utilisera les informations d’identification de l’utilisateur connecté lors de la demande du nouveau certificat.

CaPassword

Facultatif

Chaîne

Mot de passe de l’utilisateur demandant le nouveau certificat (spécifié à l’aide du paramètre CaAccount).

City

Facultatif

Chaîne

Ville dans laquelle le certificat sera déployé.

Clear

Facultatif

Paramètre de commutateur

S’il est présent, ce paramètre supprime toutes les demandes de certificats en cours soumises à l’aide de la cmdlet Request-CsCertificate.

ClientEKU

Facultatif

Booléen

Définissez la valeur de ce paramètre sur True si le certificat doit être utilisé pour l’authentification client. Ce type d’authentification est requis si vous souhaitez que vos utilisateurs puissent échanger des messages instantanés avec des personnes disposant de comptes AOL. La portion EKU du nom du paramètre est l’abréviation d’Extended Key Usage (utilisation améliorée de la clé) ; le champ EKU dresse l’inventaire des usages autorisés du certificat.

ComputerFqdn

Facultatif

Chaîne

Nom de domaine complet de l’ordinateur pour lequel le certificat est demandé. S’il est présent, ce paramètre force Request-CsCertificate à se connecter au magasin central de gestion pour localiser l’ordinateur spécifié. Vous devriez toujours utiliser le nom de l’ordinateur lors de vos demandes de certificats, même pour un certificat de pool. La cmdlet Request-CsCertificate ajoutera automatiquement le nom du pool au champ du nom de l’objet pour chaque certificat obtenu au moyen de cette cmdlet.

Country

Facultatif

Chaîne

Pays/région dans lequel/laquelle le certificat sera déployé.

DomainName

Facultatif

Chaîne

Liste de valeurs (séparées par des virgules) de noms de domaines complets devant être ajoutés au champ Autre nom du sujet du certificat. Par exemple :

-DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com"

FriendlyName

Facultatif

Chaîne

Nom attribué par l’utilisateur pour faciliter l’identification du certificat.

GlobalCatalog

Facultatif

Chaîne

Nom de domaine complet (FQDN) d’un serveur de catalogue global dans votre domaine. Ce paramètre n’est pas obligatoire si vous exécutez Request-CsCertificate sur un ordinateur disposant d’un compte dans votre domaine.

GlobalSettingsDomainController

Facultatif

Chaîne

Nom de domaine complet d’un contrôleur de domaine dans lequel les paramètres globaux sont stockés. Si les paramètres globaux sont stockés dans le conteneur Système des services de domaine Active Directory (AD DS), ce paramètre doit pointer sur le contrôleur de domaine racine. S’ils sont stockés dans le conteneur Configuration, vous pouvez utiliser n’importe quel contrôleur de domaine et ignorer ce paramètre.

KeyAlg

Facultatif

Modificateur de liste PS

Indique le type d’algorithme de chiffrement à utiliser lors de la génération de clés publiques et privées pour le nouveau certificat. Les algorithmes de clés valides incluent :

RSA

ECDH_P256

ECDH_P384

ECDH_P521

KeySize

Facultatif

Entier

Indique la taille (en bits) de la clé privée utilisée par le certificat. Les clés de grande taille sont plus sécurisées, mais sont plus difficiles à déchiffrer.

Les tailles de clés valides sont 1024, 2048 et 4096. Par exemple : -KeySize 2048.

List

Facultatif

Paramètre de commutateur

S’il est présent, ce paramètre répertorie toutes les demandes de certificats en cours et soumises au moyen de la cmdlet Request-CsCertificate.

New

Facultatif

Paramètre de commutateur

S’il est présent, ce paramètre indique que vous souhaitez demander un nouveau certificat.

Organization

Facultatif

Chaîne

Nom de l’organisation demandant le nouveau certificat. Par exemple : -Organization "Litwareinc".

OU

Facultatif

Chaîne

Unité d’organisation Active Directory de l’ordinateur auquel le nouveau certificat sera attribué.

Output

Facultatif

Chaîne

Chemin d’accès au fichier de certificat. Si vous souhaitez créer une demande de certificat hors connexion, utilisez le paramètre Output et spécifiez un chemin d’accès au fichier pour la demande de certificat (par exemple : -Output C:\Certificates\NewCertificate.pfx). Ce paramètre créera un fichier de demande de certificat que vous pourrez transmettre ensuite à une autorité de certification pour traitement.

PrivateKeyExportable

Facultatif

Booléen

Définissez la valeur de ce paramètre sur True si vous souhaitez exporter la clé privée du certificat. Lorsqu’une clé privée est exportable, le certificat peut être copié et utilisé sur plusieurs ordinateurs.

RequestID

Facultatif

Entier

Numéro d’identification associé à une demande de certificat. Le paramètre RequestID vous permet de répertorier, récupérer ou supprimer un certificat individuel.

Retrieve

Facultatif

Paramètre de commutateur

S’il est présent, ce paramètre récupère les demandes de certificats en cours et soumises au moyen de la cmdlet Request-CsCertificate, puis il tente de mener à terme l’opération et d’importer le certificat demandé.

State

Facultatif

Chaîne

État des États-Unis dans lequel le certificat sera déployé. Par exemple : -State WA.

Template

Facultatif

Chaîne

Indique le modèle de certificat à utiliser lors de la génération du nouveau certificat (par exemple : -Template "WebServer"). Le modèle demandé doit être installé sur l’autorité de certification. Notez que la valeur saisie doit correspondre au nom du modèle, et non au nom complet du modèle.

Force

Facultatif

Paramètre de commutateur

Supprime l’affichage de tous les messages d’erreur récupérable susceptibles d’apparaître lors de l’exécution de la commande.

Report

Facultatif

Chaîne

Permet de spécifier un chemin d’accès au fichier journal créé lors de l’exécution de la cmdlet. Par exemple : -Report "C:\Logs\Certificates.html"

WhatIf

Facultatif

Paramètre de commutateur

Décrit ce qui se passe si vous exécutez la commande sans l’exécuter réellement.

Confirm

Facultatif

Paramètre de commutateur

Vous demande confirmation avant d’exécuter la commande.

Types d’entrées

Aucun. Request-CsCertificate n’accepte pas la saisie de données transmises via le pipeline.

Types de retours

Aucun. Au lieu de cela, Request-CsCertificate aide à gérer les instances de l’objet Microsoft.Rtc.Management.Deployment.CertificateReference.

Exemple

-------------------------- Exemple 1 -----------------------

Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"

La commande présentée dans l’exemple 1 crée une nouvelle demande de certificat : elle contacte l’autorité de certification atl-ca-001.litwareinc.com\myca et demande un nouveau certificat WebServicesExternal.

-------------------------- Exemple 2 -----------------------

Request-CsCertificate -List

La commande ci-dessus répertorie toutes les demandes de certificats en cours qui ont été soumises au moyen de la cmdlet Request-CsCertificate.

-------------------------- Exemple 3 -----------------------

Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer

L’exemple 3 utilise le paramètre Output pour créer une demande de certificat hors connexion.

-------------------------- Exemple 4 -----------------------

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"

L’exemple ci-dessus est un exemple plus complet (et plus réaliste) de la manière d’utiliser Request-CsCertificate. Cet exemple demande un certificat à utiliser avec l’édition standard de Lync Server.

-------------------------- Exemple 5 -----------------------

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"

Dans l’exemple 5, un certificat de pool est demandé pour une utilisation avec Lync Server Enterprise Edition.

-------------------------- Exemple 6 -----------------------

Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"

L’exemple ci-dessus vous montre comment demander un certificat pour le serveur Edge interne.

-------------------------- Exemple 7 -----------------------

Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"

L’exemple 7 est une variante de la commande présentée dans l’exemple 6. Néanmoins, dans ce cas, la demande concerne le serveur Edge externe.