Renovando certificados do Lync Server 2010/2013

O processo envolvido na renovação do certificado Lync é praticamente o mesmo envolvido na criação. O que é recomendado é que você verifique as entradas SAN que estão sendo utilizadas o certificado antigo, e anote elas. Isso vai evitar que você crie um certificado sem todas as entradas necessárias, o que poderia trazer um problema com um endereço SIP determinado. 

https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F3.bp.blogspot.com%2F-oYV4hQsYDEE%2FU6skrIHRhxI%2FAAAAAAAACQw%2FNDEFD9fYK0E%2Fs1600%2Frenew1.jpg&container=blogger&gadget=a&rewriteMime=image%2F*

• Use o Lync Deployment Wizard e vá até  “Install or Update Lync Server System”, “Request Install or Assign Certificates" , e clique no certificado desejado e clique no botão “View” e anote as entradas atuais.
•  Depois de anotar, você pode clicar em OK e voltar ao Certificate Wizard e clicar em “Request”.

https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F1.bp.blogspot.com%2F-37JtN0a30XE%2FU6skrBD9zjI%2FAAAAAAAACRY%2FDlPPIJfVvgg%2Fs1600%2Frenew2.jpg&container=blogger&gadget=a&rewriteMime=image%2F*

• Na próxima tela, clique em OK.
• Estamos focando aqui na renovação do Certificado Interno, selecione a opção  “Send the Request immediately to an online certification authority“.
• Na próxima tela, seleciona a autoridade certificadora interna que sera usada para criar o certificado.

https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F1.bp.blogspot.com%2F-4gWgP1me2ws%2FU6skq7QbXiI%2FAAAAAAAACQ0%2FPpFp_HDyk9A%2Fs1600%2Frenew3.jpg&container=blogger&gadget=a&rewriteMime=image%2F*

• Na próxima tela, você só precisa preencher os dados se for necessário **usar credenciais diferentes para a autoridade certificadora **e avance.
• Agora, de forma similar, você terá que alterar o modelo de certificado apenas se você precisar de um modelo diferente do de “WebServer”. Normalmente, nenhuma alteração é necessária aqui.
• Preencha os dados do certificado conforme necessário, e marque a caixa “Private Key as exportable”.

https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F3.bp.blogspot.com%2F-28JpS8a58RY%2FU6skr9VYyyI%2FAAAAAAAACRU%2FHZiWulOPxpE%2Fs1600%2Frenew4.jpg&container=blogger&gadget=a&rewriteMime=image%2F*

• Preencha as informações locais.

• Agora, verifique se os dados estão de acordo com o esperado. Pode acontecer de alguma entrada SAN faltar, você poderá adicioná-las depois.

  https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F1.bp.blogspot.com%2F-e7YdA_mcO0s%2FU6sksO3XgNI%2FAAAAAAAACRI%2Fyvcs1cwYRZ8%2Fs1600%2Frenew5.jpg&container=blogger&gadget=a&rewriteMime=image%2F*

• Na próxima tela, selecione os domínios SIP necessários – tenha certeza de verificar as notas que você realizou no início ao verificar o certificado que vai expirar ou verificando sua topologia. 

• Como dito anteriormente, na próxima tela você sera capaz de adicionar as SAN’s que estão faltando. Lembre, use o certificado antigo como referência. Não esqueça de clicar em **Add **depois de cada URL inserida. 

  https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F3.bp.blogspot.com%2F-e8EDxsKjhbA%2FU6sksRQ65oI%2FAAAAAAAACRM%2FgLO1TzW6dcM%2Fs1600%2Frenew6.jpg&container=blogger&gadget=a&rewriteMime=image%2F*

• Na próxima tela, verifique se os resultados estão como esperados, já que estas informações estarão no certificado.

• Agora o certificado sera solicitado, e se tudo funcionar, o resultado “Completed” irá aparecer e você poderá continuar.

• O Lync agora irá pedir que você associe o certificado, clique em Next.

• Novamente, ele irá exibir as informações do novo certificado, então se tudo estiver correto, clique em Next.

• O certificado sera associado, e você poderá concluir o processo.

• No fim, você irá voltar para o Certificate Wizard, verifique no campo “Friendly Name”, se o nome do novo certificado está associado e a data de expiração.

  https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F4.bp.blogspot.com%2F-g4hpizP7oXc%2FU6sktWnX3XI%2FAAAAAAAACRc%2FdeYFrQVfbIk%2Fs1600%2Frenew7.jpg&container=blogger&gadget=a&rewriteMime=image%2F*

• Depois de finalizar o processo, você precisa reiniciar os serviços do FE. Este é o maior impacto no ambiente, já que causa indisponibilidade. Se você tem mais de um FE, isto não causará impacto real, mas recomendamos que você agende o processo para sua janela de manutenção.

• Ao reiniciar os serviços, você pode utilizar o cmdlet Stop-CsWindowsService para parar os serviços, e então Start-CsWindowsService para iniciar novamente. 

• Este processo precisa ser realizado em cada FE, já que o mesmo certificado não pode ser utilizado em todos os FE.

Dica: Eventualmente, o Lync não abre o assistente para associar o certificado depois de criá-lo. Neste caso, verifique se o certificado está presente no servidor FE no container "Personal". Se for este o caso, utilize o Certificate Wizard para associar o certificado, usando o botão "Assign". Se o certificado não está no container "Personal", verifique se a CA criou o certificado e copie o certificado para este container, e então você será capaz de visualizar o novo certificado no Certificate Wizede para associá-lo.

Requisição de Certificado Externo (Edge)

O mesmo processo pode ser seguido para a Requisição/Renovação de Certificados Externos. A única grande diferença é que ao invés de enviar a requisição para a CA imediatamente, você tem que escolher “Prepare the request now, but send it later (offline certificate request). No fim, um arquivo offline para a requisição do certificado será gerado. Você pode compartilhar este arquivo com a autoridade certificadora externa. Quando a CA enviar o certificado para você, você será capaz de associar o certificado utilizando o Certificate Wizard.