Request-CsCertificate
Ultima modifica dell'argomento: 2012-04-23
Consente di richiedere certificati da utilizzare con i server che eseguono Microsoft Lync Server 2010 e i ruoli del server. Consente inoltre di verificare lo stato delle richieste di certificato esistenti e, se necessario, di annullarne una o tutte.
Sintassi
Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
Lync Server 2010 utilizza i certificati come strumento per consentire ai server e ai ruoli del server di verificare la propria identità; ad esempio Edge Server utilizza i certificati per verificare che il computer con cui stanno comunicando sia effettivamente un server Front End e viceversa. Per implementare Lync Server, è necessario che ai ruoli del server siano stati assegnati i certificati appropriati.
Un modo per richiedere i certificati da utilizzare con Lync Server è quello di utilizzare il cmdlet Request-CsCertificate. Anche se è possibile utilizzare altri strumenti standard di Windows per richiedere i certificati da utilizzare con Lync Server, uno dei vantaggi principali di utilizzare il cmdlet Request-CsCertificate è che questo analizzerà la topologia prima di contattare l'Autorità di certificazione (CA). In base all'analisi, Request-CsCertificate richiederà automaticamente un certificato con un nome soggetto e un nome soggetto alternativo corretti.
Request-CsCertificate è stato progettato per richiedere i certificati da utilizzare esclusivamente con Lync Server. Non è stato progettato per essere uno strumento di gestione dei certificati generico.
Oltre a richiedere nuovi certificati, questo cmdlet può essere utilizzato anche per esaminare qualsiasi richiesta di certificato in sospeso, purché tali richieste siano state eseguite utilizzando Request-CsCertificate. Request-CsCertificate può essere utilizzato anche per eliminare richieste di certificato in sospeso, purché tali richieste siano state eseguite utilizzando il cmdlet.
Mentre si tenta di recuperare le richieste di certificati si potrebbe ricevere un messaggio di errore in presenza di richieste revocate; attualmente Request-CsCertificate supporta solo i seguenti tipi di richiesta: Issued, Denied e Pending. Se si riscontrano problemi dovuti a certificati revocati utilizzare un comando simile al seguente per eliminare le richieste revocate (dove 224 rappresenta il RequestID della richiesta di certificato revocata):
Request-CsCertificate –Clear –RequestID 224
Dopo di che si dovrebbe essere in grado di recuperare le richieste di certificato.
Utenti autorizzati a utilizzare questo cmdlet: il cmdlet Request-CsCertificate può essere utilizzato localmente da un amministratore locale che disponga dei diritti per l'autorità di certificazione specificata. Per ottenere un elenco di tutti i ruoli RBAC (controllo dell'accesso basato sui ruoli) a cui è stato assegnato questo cmdlet (inclusi eventuali ruoli RBAC personalizzati), utilizzare il seguente comando dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}
Parametri
Parametro | Obbligatorio | Tipo | Descrizione |
---|---|---|---|
Type |
Obbligatorio |
Stringa |
Tipo di certificato richiesto. Di seguito sono elencati alcuni tipi di certificati: AccessEdgeExternal AudioVideoAuthentication DataEdgeExternal Default External Internal iPhoneAPNService iPadAPNService MPNService PICWebService (solo Microsoft Lync Online 2010) ProvisionService (solo Microsoft Lync Online 2010) WebServicesExternal WebServicesInternal WsFedTokenTransfer Ad esempio, questa sintassi richiede un nuovo certificato Default: -Type Default. È possibile specificare più tipi in un singolo comando separando i tipi di certificato con virgole: -Type Internal,External,Default |
CA |
Facoltativo |
Stringa |
Nome di dominio completo (FQDN) dell'Autorità di certificazione (CA). Ad esempio: -CA "atl-ca-001.litwareinc.com\myca". Per ottenere un elenco di Autorità di certificazione note, digitare quanto segue nel prompt di Windows PowerShell e premere INVIO: certutil La proprietà Config restituita da Certutil indica il percorso dell'Autorità di certificazione. |
CaAccount |
Facoltativo |
Stringa |
Nome dell'account utente che richiede il nuovo certificato, utilizzando il formato nome_dominio\nome_utente. Ad esempio: -CaAccount "litwareinc\davidegarghentini". Se non viene specificato, Request-CsCertificate utilizzerà le credenziali dell'utente che ha eseguito l'accesso durante la richiesta del nuovo certificato. |
CaPassword |
Facoltativo |
Stringa |
Password per l'utente che richiede il nuovo certificato (specificata utilizzando il parametro CaAccount). |
City |
Facoltativo |
Stringa |
Città in cui verrà distribuito il certificato. |
Clear |
Facoltativo |
Parametro opzionale |
Quando è presente, consente di eliminare qualsiasi richiesta di certificato in sospeso eseguita utilizzando Request-CsCertificate. |
ClientEKU |
Facoltativo |
Booleano |
Impostare questo parametro su True se è necessario utilizzare il certificato per l'autenticazione client. Questo tipo di autenticazione è obbligatorio se si desidera che gli utenti siano in grado di scambiare messaggi istantanei con utenti che dispongono di account AOL. La parte EKU del nome del parametro è l'abbreviazione di "utilizzo chiavi avanzato"; il campo dell'utilizzo chiavi avanzato elenca gli utilizzi validi per il certificato. |
ComputerFqdn |
Facoltativo |
Stringa |
FQDN del computer per il quale è stato richiesto il certificato. Quando è presente, questo parametro fa in modo che Request-CsCertificate si connetta a archivio di gestione centrale per individuare il computer specificato Si deve sempre utilizzare il nome del computer quando si richiede un certificato, anche quando si richiede un certificato per il pool. Il cmdlet Request-CsCertificate aggiungerà automaticamente il nome del pool al nome soggetto in tutti i certificati ottenuti utilizzando questo cmdlet. |
Country |
Facoltativo |
Stringa |
Paese o regione in cui verrà distribuito il certificato. |
DomainName |
Facoltativo |
Stringa |
Elenco separato da virgole di nomi di dominio completi che devono essere aggiunti al campo Nome alternativo soggetto del certificato. Ad esempio: -DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com" |
FriendlyName |
Facoltativo |
Stringa |
Nome assegnato all'utente che semplifica l'identificazione del certificato. |
GlobalCatalog |
Facoltativo |
Stringa |
FQDN del server di catalogo globale nel dominio. Questo parametro non è obbligatorio se si esegue Request-CsCertificate su un computer con un account nel dominio. |
GlobalSettingsDomainController |
Facoltativo |
Stringa |
Nome di dominio completo del controller di dominio in cui vengono archiviate le impostazioni globali. Se le impostazioni globali vengono archiviate nel contenitore di sistema in Servizi di dominio Active Directory questo parametro deve puntare al controller di dominio radice. Se le impostazioni globali vengono archiviate nel contenitore di configurazione, è possibile utilizzare qualsiasi controller di dominio e questo parametro può essere omesso. |
KeyAlg |
Facoltativo |
Modificatore dell'elenco PS |
Indica il tipo di algoritmo di crittografia da utilizzare nella creazione delle chiavi pubbliche e private per il nuovo certificato. Tra gli algoritmi della chiave validi compaiono: RSA ECDH_P256 ECDH_P384 ECDH_P521 |
KeySize |
Facoltativo |
Numero intero |
Indica la dimensione (in bit) della chiave privata utilizzata dal certificato. Le dimensioni di chiave maggiori sono più sicure, ma richiedono un maggiore overhead per essere decodificate. Dimensioni di chiave valide sono 1024, 2048 e 4096. Ad esempio: -KeySize 2048. |
List |
Facoltativo |
Parametro opzionale |
Quando è presente, consente di visualizzare un elenco contenente qualsiasi richiesta di certificato in sospeso eseguita utilizzando Request-CsCertificate. |
New |
Facoltativo |
Parametro opzionale |
Quando è presente, indica che si desidera richiedere un nuovo certificato. |
Organization |
Facoltativo |
Stringa |
Nome dell'organizzazione che richiede il nuovo certificato. Ad esempio: -Organization "Litwareinc". |
OU |
Facoltativo |
Stringa |
Unità organizzativa di Active Directory per il computer che verrà assegnata al nuovo certificato. |
Output |
Facoltativo |
Stringa |
Percorso del file del certificato. Se si vuole creare una richiesta di certificato offline utilizzare il parametro Output e specificare un percorso file per la richiesta di certificato, ad esempio: -Output C:\Certificates\NewCertificate.pfx. Creerà un file di richiesta certificato che può essere inviato come posta elettronica ad una autorità di certificazione per essere elaborato. |
PrivateKeyExportable |
Facoltativo |
Booleano |
Impostare questo parametro su True se si desidera rendere esportabile la chiave privata del certificato. Quando una chiave privata è esportabile, è possibile copiare il certificato ed utilizzarlo su più computer. |
RequestID |
Facoltativo |
Numero intero |
Numero identificativo associato alla richiesta di certificato. Il parametro RequestID consente di elencare, recuperare o eliminare un singolo certificato. |
Retrieve |
Facoltativo |
Parametro opzionale |
Quando è presente, consente di recuperare qualsiasi richiesta di certificato in sospeso eseguita utilizzando Request-CsCertificate e tenta di completare l'operazione e di importare il certificato richiesto. |
State |
Facoltativo |
Stringa |
Stato degli Stati Uniti in cui verrà distribuito il certificato. Ad esempio: -State WA. |
Template |
Facoltativo |
Stringa |
Indica il modello di certificato da utilizzare quando viene generato il nuovo certificato, ad esempio: -Template "WebServer". È necessario installare il modello richiesto sull'Autorità di certificazione. Si noti che il valore immesso deve essere il nome del modello e non il nome visualizzato del modello. |
Force |
Facoltativo |
Parametro opzionale |
Consente di evitare la visualizzazione di qualunque messaggio di errore non grave che potrebbe essere generato nel corso dell'esecuzione del comando. |
Report |
Facoltativo |
Stringa |
Consente di specificare un percorso per il file di registro creato durante l'esecuzione del cmdlet. Ad esempio: -Report "C:\Logs\Certificates.html" |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Nessuno. Request-CsCertificate non accetta input tramite pipeline.
Tipi restituiti
Nessuno. Request-CsCertificate consente di gestire le istanze dell'oggetto Microsoft.Rtc.Management.Deployment.CertificateReference.
Esempio
-------------------------- Esempio 1 -----------------------
Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"
Il comando riportato nell'Esempio 1 crea una nuova richiesta di certificato: si mette in contatto con CA atl-ca-001.litwareinc.com\myca e richiede un nuovo certificato WebServicesExternal.
-------------------------- Esempio 2 -----------------------
Request-CsCertificate -List
Il comando precedente consente di elencare tutte le richieste di certificato in sospeso eseguite utilizzando Request-CsCertificate.
-------------------------- Esempio 3 -----------------------
Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer
Nell'Esempio 3 viene utilizzato il parametro Output per creare una richiesta di certificato offline.
-------------------------- Esempio 4 -----------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"
L'esempio precedente è un più dettagliato e più realistico esempio dell'utilizzo di Request-CsCertificate. Questo esempio richiede un certificato da utilizzare con la versione Standard Edition di Lync Server
-------------------------- Esempio 5 -----------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"
Nell'Esempio 5, viene richiesto un certificato del pool da utilizzare con la versione Enterprise Edition di Lync Server
-------------------------- Esempio 6 -----------------------
Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"
Nell'esempio precedente viene mostrato come richiedere un certificato per un Edge Server interno.
-------------------------- Esempio 7 -----------------------
Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"
L'Esempio 7 è una variazione del comando riportato nell'Esempio 6, in questo caso, tuttavia, si richiede un certificato per un Edge Server esterno.
Vedere anche
Ulteriori risorse
Get-CsCertificate
Import-CsCertificate
Remove-CsCertificate
Set-CsCertificate