Request-CsCertificate
Dernière rubrique modifiée : 2012-04-23
Permet de demander des certificats à utiliser avec des serveurs exécutant Microsoft Lync Server 2010 et des rôles serveur. Permet également de vérifier l’état des demandes de certificats en cours et, si nécessaire, d’annuler une ou l’ensemble de ces demandes.
Syntaxe
Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Description détaillée
Lync Server 2010 utilise des certificats pour vérifier l’identité des serveurs et des rôles serveur ; par exemple, un serveur Edge utilise des certificats pour vérifier que l’ordinateur avec lequel il communique est réellement un serveur frontal et inversement. Pour permettre une mise en place complète de Lync Server, les certificats appropriés devront être attribués aux rôles serveur adéquats.
Pour demander des certificats à utiliser avec Lync Server, vous pouvez appeler la cmdlet Request-CsCertificate. Bien que vous puissiez utiliser d’autres outils Windows standard pour demander des certificats à utiliser avec Lync Server, l’un des atouts de l’utilisation de la cmdlet Request-CsCertificate est qu’elle analysera votre topologie avant de contacter l’autorité de certification. En fonction de cette analyse, Request-CsCertificate demandera automatiquement un certificat comportant les champs Nom de l’objet et Autre nom de l’objet appropriés.
La cmdlet Request-CsCertificate est conçue pour demander des certificats à utiliser spécifiquement avec Lync Server. Elle n’est pas conçue pour servir d’outil de gestion de certificats multifonction.
Outre la possibilité de demander de nouveaux certificats, cette cmdlet peut également permettre de consulter les demandes de certificats en cours, à condition qu’elles aient été soumises au moyen de la cmdlet Request-CsCertificate. La cmdlet Request-CsCertificate peut également être utilisée pour supprimer des demandes de certificats en cours, à condition qu’elles aient été émises à l’aide de cette même cmdlet.
Lorsque vous essayez de récupérer des demandes de certificats, vous pouvez recevoir un message d’erreur si vous avez des demandes révoquées ; pour l’instant, Request-CsCertificate ne prend en charge que les types de demande suivants : Issued, Denied et Pending. Si vous rencontrez des problèmes liés à un certificat révoqué, utilisez une commande similaire à celle-ci pour effacer la demande révoquée (où 224 est la valeur RequestID de la demande de certificat révoquée) :
Request-CsCertificate –Clear –RequestID 224
Après cela, vous devriez être en mesure de récupérer les demandes de certificats.
Personnes autorisées à exécuter cette cmdlet : Vous devez être un administrateur local et disposer des droits d’accès à l’autorité de certification spécifiée pour exécuter localement la cmdlet Request-CsCertificate. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette cmdlet a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}
Paramètres
Paramètre | Obligatoire | Type | Description |
---|---|---|---|
Type |
Obligatoire |
Chaîne |
Type du certificat demandé. Les types de certificat sont notamment les suivants : AccessEdgeExternal AudioVideoAuthentication DataEdgeExternal Default External Internal iPhoneAPNService iPadAPNService MPNService PICWebService (Microsoft Lync Online 2010 uniquement) ProvisionService (Microsoft Lync Online 2010 uniquement) WebServicesExternal WebServicesInternal WsFedTokenTransfer Par exemple, cette syntaxe demande un nouveau certificat de type Default : -Type Default. Vous pouvez spécifier plusieurs types dans une seule et même commande en séparant les types de certificat par des virgules : -Type Internal,External,Default |
CA |
Facultatif |
Chaîne |
Nom de domaine complet (FQDN) pointant sur l’autorité de certification. Par exemple : -CA "atl-ca-001.litwareinc.com\myca". Pour obtenir une liste des autorités de certification connues, tapez ce qui suit à l’invite Windows PowerShell, puis appuyez sur Entrée : certutil La propriété Config retournée par Certutil indique l’emplacement d’une autorité de certification. |
CaAccount |
Facultatif |
Chaîne |
Nom du compte de l’utilisateur demandant le nouveau certificat, au format nom_domaine\nom_utilisateur. Par exemple : -CaAccount "litwareinc\kenmyer". Si rien n’est spécifié, Request-CsCertificate utilisera les informations d’identification de l’utilisateur connecté lors de la demande du nouveau certificat. |
CaPassword |
Facultatif |
Chaîne |
Mot de passe de l’utilisateur demandant le nouveau certificat (spécifié à l’aide du paramètre CaAccount). |
City |
Facultatif |
Chaîne |
Ville dans laquelle le certificat sera déployé. |
Clear |
Facultatif |
Paramètre de commutateur |
S’il est présent, ce paramètre supprime toutes les demandes de certificats en cours soumises à l’aide de la cmdlet Request-CsCertificate. |
ClientEKU |
Facultatif |
Booléen |
Définissez la valeur de ce paramètre sur True si le certificat doit être utilisé pour l’authentification client. Ce type d’authentification est requis si vous souhaitez que vos utilisateurs puissent échanger des messages instantanés avec des personnes disposant de comptes AOL. La portion EKU du nom du paramètre est l’abréviation d’Extended Key Usage (utilisation améliorée de la clé) ; le champ EKU dresse l’inventaire des usages autorisés du certificat. |
ComputerFqdn |
Facultatif |
Chaîne |
Nom de domaine complet de l’ordinateur pour lequel le certificat est demandé. S’il est présent, ce paramètre force Request-CsCertificate à se connecter au magasin central de gestion pour localiser l’ordinateur spécifié. Vous devriez toujours utiliser le nom de l’ordinateur lors de vos demandes de certificats, même pour un certificat de pool. La cmdlet Request-CsCertificate ajoutera automatiquement le nom du pool au champ du nom de l’objet pour chaque certificat obtenu au moyen de cette cmdlet. |
Country |
Facultatif |
Chaîne |
Pays/région dans lequel/laquelle le certificat sera déployé. |
DomainName |
Facultatif |
Chaîne |
Liste de valeurs (séparées par des virgules) de noms de domaines complets devant être ajoutés au champ Autre nom du sujet du certificat. Par exemple : -DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com" |
FriendlyName |
Facultatif |
Chaîne |
Nom attribué par l’utilisateur pour faciliter l’identification du certificat. |
GlobalCatalog |
Facultatif |
Chaîne |
Nom de domaine complet (FQDN) d’un serveur de catalogue global dans votre domaine. Ce paramètre n’est pas obligatoire si vous exécutez Request-CsCertificate sur un ordinateur disposant d’un compte dans votre domaine. |
GlobalSettingsDomainController |
Facultatif |
Chaîne |
Nom de domaine complet d’un contrôleur de domaine dans lequel les paramètres globaux sont stockés. Si les paramètres globaux sont stockés dans le conteneur Système des services de domaine Active Directory (AD DS), ce paramètre doit pointer sur le contrôleur de domaine racine. S’ils sont stockés dans le conteneur Configuration, vous pouvez utiliser n’importe quel contrôleur de domaine et ignorer ce paramètre. |
KeyAlg |
Facultatif |
Modificateur de liste PS |
Indique le type d’algorithme de chiffrement à utiliser lors de la génération de clés publiques et privées pour le nouveau certificat. Les algorithmes de clés valides incluent : RSA ECDH_P256 ECDH_P384 ECDH_P521 |
KeySize |
Facultatif |
Entier |
Indique la taille (en bits) de la clé privée utilisée par le certificat. Les clés de grande taille sont plus sécurisées, mais sont plus difficiles à déchiffrer. Les tailles de clés valides sont 1024, 2048 et 4096. Par exemple : -KeySize 2048. |
List |
Facultatif |
Paramètre de commutateur |
S’il est présent, ce paramètre répertorie toutes les demandes de certificats en cours et soumises au moyen de la cmdlet Request-CsCertificate. |
New |
Facultatif |
Paramètre de commutateur |
S’il est présent, ce paramètre indique que vous souhaitez demander un nouveau certificat. |
Organization |
Facultatif |
Chaîne |
Nom de l’organisation demandant le nouveau certificat. Par exemple : -Organization "Litwareinc". |
OU |
Facultatif |
Chaîne |
Unité d’organisation Active Directory de l’ordinateur auquel le nouveau certificat sera attribué. |
Output |
Facultatif |
Chaîne |
Chemin d’accès au fichier de certificat. Si vous souhaitez créer une demande de certificat hors connexion, utilisez le paramètre Output et spécifiez un chemin d’accès au fichier pour la demande de certificat (par exemple : -Output C:\Certificates\NewCertificate.pfx). Ce paramètre créera un fichier de demande de certificat que vous pourrez transmettre ensuite à une autorité de certification pour traitement. |
PrivateKeyExportable |
Facultatif |
Booléen |
Définissez la valeur de ce paramètre sur True si vous souhaitez exporter la clé privée du certificat. Lorsqu’une clé privée est exportable, le certificat peut être copié et utilisé sur plusieurs ordinateurs. |
RequestID |
Facultatif |
Entier |
Numéro d’identification associé à une demande de certificat. Le paramètre RequestID vous permet de répertorier, récupérer ou supprimer un certificat individuel. |
Retrieve |
Facultatif |
Paramètre de commutateur |
S’il est présent, ce paramètre récupère les demandes de certificats en cours et soumises au moyen de la cmdlet Request-CsCertificate, puis il tente de mener à terme l’opération et d’importer le certificat demandé. |
State |
Facultatif |
Chaîne |
État des États-Unis dans lequel le certificat sera déployé. Par exemple : -State WA. |
Template |
Facultatif |
Chaîne |
Indique le modèle de certificat à utiliser lors de la génération du nouveau certificat (par exemple : -Template "WebServer"). Le modèle demandé doit être installé sur l’autorité de certification. Notez que la valeur saisie doit correspondre au nom du modèle, et non au nom complet du modèle. |
Force |
Facultatif |
Paramètre de commutateur |
Supprime l’affichage de tous les messages d’erreur récupérable susceptibles d’apparaître lors de l’exécution de la commande. |
Report |
Facultatif |
Chaîne |
Permet de spécifier un chemin d’accès au fichier journal créé lors de l’exécution de la cmdlet. Par exemple : -Report "C:\Logs\Certificates.html" |
WhatIf |
Facultatif |
Paramètre de commutateur |
Décrit ce qui se passe si vous exécutez la commande sans l’exécuter réellement. |
Confirm |
Facultatif |
Paramètre de commutateur |
Vous demande confirmation avant d’exécuter la commande. |
Types d’entrées
Aucun. Request-CsCertificate n’accepte pas la saisie de données transmises via le pipeline.
Types de retours
Aucun. Au lieu de cela, Request-CsCertificate aide à gérer les instances de l’objet Microsoft.Rtc.Management.Deployment.CertificateReference.
Exemple
-------------------------- Exemple 1 -----------------------
Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"
La commande présentée dans l’exemple 1 crée une nouvelle demande de certificat : elle contacte l’autorité de certification atl-ca-001.litwareinc.com\myca et demande un nouveau certificat WebServicesExternal.
-------------------------- Exemple 2 -----------------------
Request-CsCertificate -List
La commande ci-dessus répertorie toutes les demandes de certificats en cours qui ont été soumises au moyen de la cmdlet Request-CsCertificate.
-------------------------- Exemple 3 -----------------------
Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer
L’exemple 3 utilise le paramètre Output pour créer une demande de certificat hors connexion.
-------------------------- Exemple 4 -----------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"
L’exemple ci-dessus est un exemple plus complet (et plus réaliste) de la manière d’utiliser Request-CsCertificate. Cet exemple demande un certificat à utiliser avec l’édition standard de Lync Server.
-------------------------- Exemple 5 -----------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"
Dans l’exemple 5, un certificat de pool est demandé pour une utilisation avec Lync Server Enterprise Edition.
-------------------------- Exemple 6 -----------------------
Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"
L’exemple ci-dessus vous montre comment demander un certificat pour le serveur Edge interne.
-------------------------- Exemple 7 -----------------------
Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"
L’exemple 7 est une variante de la commande présentée dans l’exemple 6. Néanmoins, dans ce cas, la demande concerne le serveur Edge externe.
Voir aussi
Autres ressources
Get-CsCertificate
Import-CsCertificate
Remove-CsCertificate
Set-CsCertificate