Compartilhar via

Atribuir um certificado de autenticação servidor a servidor ao Skype para Empresas Server

  • Artigo

Resumo: Atribua um certificado de autenticação servidor a servidor para o Skype para Empresas Server.

Para determinar se um certificado de autenticação servidor a servidor está ou não atribuído ao Skype para Empresas Server, execute o seguinte comando a partir da Shell de Gestão do Skype para Empresas Server:

Get-CsCertificate -Type OAuthTokenIssuer

Se não forem devolvidas informações de certificado, tem de atribuir um certificado de emissor de tokens antes de poder utilizar a autenticação servidor a servidor. Regra geral, qualquer certificado do Skype para Empresas Server pode ser utilizado como certificado OAuthTokenIssuer; por exemplo, o certificado predefinido do Skype para Empresas Server também pode ser utilizado como o certificado OAuthTokenIssuer. (O certificado OAUthTokenIssuer também pode ser qualquer certificado de servidor Web que inclua o nome do seu domínio SIP no campo Assunto.) Os dois principais requisitos do certificado utilizado para a autenticação servidor a servidor são os seguintes: 1) o mesmo certificado tem de ser configurado como o certificado OAuthTokenIssuer em todos os servidores front-end; e, 2) o certificado tem de ter, pelo menos, 2048 bits.

Se você não tiverum certificado que possa ser usado para autenticação servidor-servidor, é possível obter um novo certificado, importá-lo e usar para autenticação servidor-servidor. Depois de ter pedido e obtido o novo certificado, pode iniciar sessão em qualquer um dos servidores front-end e utilizar um comando do Windows PowerShell semelhante a este para importar e atribuir esse certificado:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

No comando anterior, o parâmetro Path representa o caminho completo para o arquivo de certificado e o parâmetro Password representa a senha atribuída ao certificado. Este procedimento deve ser executado apenas uma vez: o serviço de replicação do Skype para Empresas Server cria automaticamente um conjunto de tarefas agendadas que irão desencriptar e implementar o certificado em todos os servidores front-end.

Como alternativa, é possível usar um certificado existente como seu certificado de autenticação servidor-servidor. (Conforme indicado, o certificado predefinido pode ser utilizado como o certificado de autenticação servidor a servidor.) O seguinte par de comandos do Windows PowerShell obtém o valor da propriedade Thumbprint do certificado predefinido e, em seguida, utiliza esse valor para tornar o certificado predefinido no certificado de autenticação servidor a servidor:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

No comando anterior, o certificado obtido está configurado para funcionar como o certificado de autenticação servidor a servidor global; isto significa que o certificado é replicado e utilizado por todos os servidores front-end. Mais uma vez, este comando só deve ser executado uma vez e apenas num dos seus Servidores front-end. Embora todos os Servidores front-end tenham de utilizar o mesmo certificado, não deve configurar o certificado OAuthTokenIssuer em cada Servidor front-end. Em vez disso, configure o certificado uma vez e, em seguida, permita que o servidor de replicação do Skype para Empresas Server trate de copiar esse certificado para cada servidor.

O cmdlet Set-CsCertificate utiliza o certificado em questão e configura imediatamente esse certificado para funcionar como o certificado OAuthTokenIssuer atual. (O Skype para Empresas Server mantém duas cópias de um tipo de certificado: o certificado atual e o certificado anterior.) Se precisar que o novo certificado comece imediatamente a funcionar como o certificado OAuthTokenIssuer, deve utilizar o cmdlet Set-CsCertificate.

Também é possível usar o cmdlet Set-CsCertificate para "criar" um novo certificado. "Criar" um certificado simplesmente significa que você configura um novo certificado para se tornar o certificado OAuthTokenIssuer atual em um determinado ponto no tempo. Por exemplo, esse comando recupera o certificado padrão e configura o certificado para assumir como o certificado OAuthTokenIssuer atual a partir de 1° de julho de 2015:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

A 1 de julho de 2015, o novo certificado será configurado como o certificado OAuthTokenIssuer atual e o certificado OAuthTokenIssuer "antigo" será configurado como o certificado anterior.

Se não quiser utilizar o Windows PowerShell, também pode utilizar a consola MMC de Certificados para exportar um certificado de um Servidor front-end e, em seguida, importar esse mesmo certificado em todos os outros Servidores front-end. Se você fizer isso, certifique-se de exportar a chave privada junto com o próprio certificado.

Atenção

Neste caso, o procedimento tem de ser efetuado em cada Servidor front-end. Ao exportar e importar certificados desta forma, o Skype para Empresas Server não irá replicar esse certificado para cada Servidor front-end.

Depois de o certificado ser importado para todos os servidores front-end, esse certificado pode ser atribuído através do Assistente de Implementação do Skype para Empresas Server em vez do Windows PowerShell. Para atribuir um certificado com o Assistente de Implementação, conclua os seguintes passos num computador onde o Assistente de Implementação esteja instalado:

  1. Selecione Iniciar, selecione Todos os Programas, clique em Skype para Empresas Server e, em seguida, clique em Assistente de Implementação do Skype para Empresas Server.

  2. No Assistente de Implementação, clique em Instalar ou Atualizar Sistema do Skype para Empresas Server.

  3. Na página Skype para Empresas Server, clique no botão Executar sob o cabeçalho Passo 3: Pedir, Instalar ou Atribuir Certificados. (Observação: Se você já tiver instalado certificados neste computador, o botão Executar será chamado Executar novamente.)

  4. No Assistente de Certificado, selecione o certificado OAuthTokenIssuer e clique em Atribuir.

  5. No assistente de Atribuição de Certificado, na página Atribuição de certificado, clique em Avançar.

  6. Na página Repositório de Certificado, selecione o certificado a ser usado para autenticação servidor-servidor e clique em Avançar.

  7. Na página Resumo da Atribuição de Certificado, clique em Avançar.

  8. Na página Executando Comandos, clique em Concluir.

  9. Feche o Assistente de Certificado e Assistente de Implantação.