Partilhar via


Configurar certificados da interface interna

Tópico modificado em: 2009-01-23

É necessário um certificado na comunicação do MTLS (TLS mútuo) entre os Servidores de Borda e os servidores internos, incluindo o Servidor de Conferência A/V e o Servidor de Mediação.

Para obter detalhes sobre os requisitos de certificado, consulte Requisitos de Certificado para Acesso de Usuário Externo.

Configurando os certificados na interface interna

Para configurar um certificado na interface interna dos Servidores de Borda em um único local, conclua as etapas a seguir:

  • Etapa 1: baixe o caminho de certificação da autoridade de certificação da interface interna em cada Servidor de Borda. Para obter detalhes, consulte Preparar certificados internos de Servidores de Borda.
  • Etapa 2: importe o caminho de certificação da autoridade de certificação da interface interna em cada Servidor de Borda.
  • Etapa 3: verifique se a autoridade de certificação está na lista de autoridades de certificação raiz confiáveis em cada Servidor de Borda.
  • Etapa 4: crie a solicitação de certificado da interface interna em um Servidor de Borda, que é considerado o primeiro Servidor de Borda.
  • Etapa 5: importe o certificado da interface interna para o primeiro Servidor de Borda.
  • Etapa 6: exporte o certificado usando o primeiro Servidor de Borda.
  • Etapa 7: importe o certificado para os outros Servidores de Borda nesse local (ou implantado atrás deste balanceador de carga).
  • Etapa 8: atribua o certificado à interface interna de cada Servidor de Borda.

As instruções para as etapas de 2 a 8 serão fornecidas posteriormente neste tópico.

Se você tiver mais de um local com Servidores de Borda (ou seja, uma topologia de borda consolidada de vários locais) ou conjuntos separados de Servidores de Borda implantados atrás de diferentes balanceadores de carga, será preciso seguir as etapas de 1 a 8 separadamente para cada local que tenha Servidores de Borda e para cada conjunto de Servidores de Borda implantado atrás de outro balanceador de carga.

Dd441270.note(pt-br,office.13).gifObservação:
As etapas dos procedimentos desta seção baseiam-se no uso de uma autoridade de certificação corporativa do Windows Server 2003 ou do Windows Server 2003 R2. Para obter orientação passo a passo para qualquer outra autoridade de certificação, consulte a documentação dessa autoridade. Por padrão, todos os usuários autenticados têm direitos para solicitar certificados.

Para importar o caminho de certificação da Autoridade de Certificação na interface interna

  1. Em cada Servidor de Borda da implantação, no Assistente para Implantação, na página Implantar Servidor de Borda, ao lado de Etapa 4: Configurar Certificados para o Servidor de Borda, clique em Executar.

  2. Na página Bem-vindo do Assistente de Certificados do Communications, clique em Avançar.

  3. Na página Tarefas de Certificado Disponíveis, selecione Importar uma cadeia de certificados de um arquivo .p7b e clique em Avançar.

  4. Na página Importar Cadeia de Certificados, digite o caminho completo e o nome do arquivo .p7b, e clique em Avançar.

  5. Clique em Concluir.

  6. Repita esse procedimento em cada Servidor de Borda.

Para verificar se a autoridade de certificação está na lista de autoridades de certificação raiz confiáveis

  1. Em cada Servidor de Borda, abra o Console de Gerenciamento Microsoft clicando em Iniciar, clicando em Executar, digitando mmc na caixa Abrir e clicando em OK.

  2. No menu Arquivo, clique em Adicionar/Remover Snap-in e, em seguida, clique em Adicionar.

  3. Na caixa Adicionar Snap-ins Autônomos, clique em Certificados e, em seguida, clique em Adicionar.

  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e, em seguida, clique em Avançar.

  5. Na caixa de diálogo Selecionar Computador, verifique se a caixa de seleção Computador local: (o computador no qual este console está sendo executado) está marcada e clique em Concluir.

  6. Clique em Fechar e, em seguida, clique em OK.

  7. Na árvore do console, expanda Certificados (Computador Local), expanda Autoridades de Certificação Raiz Confiáveis e clique em Certificados.

  8. No painel de detalhes, verifique se a autoridade de certificação está na lista de autoridades de certificação confiáveis.

  9. Repita esse procedimento em cada Servidor de Borda.

Para criar a solicitação de certificado da interface interna

  1. Em um Servidor de Borda, no Assistente para Implantação, na página Implantar Servidor de Borda, ao lado de Etapa 4: Configurar Certificados para o Servidor de Borda, clique em Executar.

  2. Na página Bem-vindo do Assistente de Certificados do Communications, clique em Avançar.

  3. Na página Tarefas de Certificado Disponíveis, clique em Criar um novo certificado e, em seguida, clique em Avançar.

  4. Na página Selecionar o Componente para o qual o Certificado é Solicitado, marque a caixa de seleção Interface Particular do Servidor de Borda e clique em Avançar.

  5. Na página Solicitação Atrasada ou Imediata, marque a caixa de seleção Preparar a solicitação agora, mas enviá-la depois e clique em Avançar.

    Dd441270.note(pt-br,office.13).gifObservação:
    Se for possível acessar a autoridade de certificação corporativa no Servidor de Borda, você poderá usar a opção Enviar a solicitação imediatamente para uma autoridade de certificação online. Como isso geralmente não ocorre, esse procedimento e outros procedimentos de solicitação de certificado descritos neste guia não abordam o uso dessa opção.
    Além disso, esteja ciente de que, quando você cria uma solicitação, ela fica pendente e o Assistente de Certificados não permitirá que você crie outra até que a solicitação pendente seja processada.
  6. Na página Nome e Configurações de Segurança, digite um nome amigável para o certificado e especifique o comprimento em bits (geralmente, o padrão é 1024). Verifique se a caixa de seleção Marcar certificado como exportável está marcada e clique em Avançar.

  7. Na página Informações da Organização, digite o nome da organização e da unidade organizacional (como uma divisão ou um departamento, se apropriado) e clique em Avançar.

  8. Na página Nome da Entidade do Seu Servidor, digite ou selecione o nome da entidade e o nome alternativo da entidade do Servidor de Borda.

    O nome da entidade deve corresponder ao FQDN (nome de domínio totalmente qualificado) do Servidor de Borda publicado pelo firewall interno para a interface interna na qual você está configurando o certificado:

    • Para a interface interna do Servidor de Borda, esse nome de entidade deve corresponder ao nome usado pelos servidores internos para se conectar ao Servidor de Borda (normalmente, o FQDN da interface interna do Servidor de Borda).
    • Se você estiver usando um balanceador de carga, o tráfego do Servidor de Borda ainda utilizará o FQDN da borda interna do servidor (nome do servidor); contudo, se você estiver usando um endereço IP virtual para o Servidor de Borda, o certificado deverá corresponder ao FQDN do endereço IP virtual utilizado por essa função de servidor no balanceador de carga interno. Para a interface interna, esse é normalmente o nome DNS (Sistema de Nomes de Domínio) publicado para a rede de perímetro mapeada para o Servidor de Borda.
  9. Selecione Adicionar automaticamente o nome do computador local ao Nome Alternativo da Entidade caso você deseje adicionar o nome de computador do Servidor de Borda à lista de nomes alternativos do certificado.

  10. Clique em Avançar.

  11. Na página Informações Geográficas, digite as informações de local e clique em Avançar.

  12. Na página Nome do Arquivo de Solicitação de Certificado, na caixa Nome do arquivo, digite o caminho completo e o nome do arquivo no qual a solicitação deverá ser salva (por exemplo, C:\certrequest_AccessEdge.txt) e clique em Avançar.

  13. Na página Resumo da Solicitação, clique em Avançar.

  14. Na página de conclusão do assistente, verifique se a conclusão foi bem-sucedida e clique em Concluir.

  15. Envie esse arquivo à autoridade de certificação (por email ou outro método aceito em sua organização para a autoridade de certificação corporativa) e, quando receber o arquivo de resposta, copie o novo certificado no computador a fim de disponibilizá-lo para importação.

  16. Repita esse procedimento para cada Servidor de Borda.

Para importar o certificado da interface interna

  1. No Servidor de Borda em que você criou a solicitação de certificado, no Assistente para Implantação, na página Implantar Servidor de Borda, ao lado de Etapa 4: Configurar Certificados para o Servidor de Borda, clique em Executar.

  2. Na página Bem-vindo do Assistente de Certificados do Communications, clique em Avançar.

  3. Na página Solicitação de Certificado Pendente, clique em Processar uma solicitação de certificado offline e importar o certificado e, em seguida, clique em Avançar.

  4. Na página Processar uma Solicitação Pendente, em Caminho e nome do arquivo, digite o caminho completo e o nome de arquivo do certificado que você solicitou e recebeu para a interface interna desse Servidor de Borda e clique em Avançar.

  5. Na página de conclusão do assistente, verifique se a conclusão foi bem-sucedida e clique em Concluir.

Para exportar o certificado (a ser usado por outros Servidores de Borda)

  1. No Servidor de Borda em que você solicitou e importou o certificado, no Assistente para Implantação, na página Implantar Servidor de Borda, ao lado de Etapa 4: Configurar Certificados para o Servidor de Borda, clique em Executar.

  2. Na página Bem-vindo do Assistente de Certificados do Communications, clique em Avançar.

  3. Na página Tarefas de Certificado Disponíveis, clique em Exportar um certificado para um arquivo .pfx e clique em Avançar.

  4. Na página Certificados Disponíveis, em Selecionar um certificado, clique no certificado que você importou para esse Servidor de Borda e clique em Avançar.

  5. Na página Exportar Certificado, em Caminho e nome de arquivo, digite o caminho completo e o nome do arquivo para o qual deseja exportar o certificado e clique em Avançar.

    Inclua todos os certificados no caminho de certificação, se possível.

  6. Na página Exportar Senha do Certificado, em Senha, digite a senha que será usada para importar o certificado para os outros Servidores de Borda e clique em Avançar.

  7. Na página de conclusão do assistente, verifique se a conclusão foi bem-sucedida e clique em Concluir.

  8. Copie o arquivo exportado para um local ou uma mídia ao qual os outros Servidores de Borda tenham acesso.

Para importar o certificado da interface interna para os outros Servidores de Borda

  1. Em cada um dos outros Servidores de Borda nesse local, no Assistente para Implantação, na página Implantar Servidor de Borda, ao lado de Etapa 4: Configurar Certificados para o Servidor de Borda, clique em Executar.

  2. Na página Bem-vindo do Assistente de Certificados do Communications, clique em Avançar.

  3. Na página Tarefas de Certificado Disponíveis, clique em Importar um certificado de um arquivo .pfx e, em seguida, clique em Avançar.

  4. Na página Importar Certificado, em Caminho e nome de arquivo, digite o caminho completo e o nome de arquivo do certificado exportado do primeiro Servidor de Borda, desmarque a caixa de seleção Marcar certificado como exportável e clique em Avançar.

  5. Na página Importar Senha do Certificado, em Senha, digite a senha que você usou quando exportou o certificado do primeiro servidor e clique em Avançar.

  6. Na página de conclusão do assistente, verifique se a conclusão foi bem-sucedida e clique em Concluir.

  7. Repita esse procedimento para cada Servidor de Borda que usará o mesmo certificado.

Para atribuir o certificado à interface interna dos Servidores de Borda

  1. Em cada Servidor de Borda, no Assistente para Implantação, na página Implantar Servidor de Borda, ao lado da Etapa 4: Configurar Certificados para o Servidor de Borda, clique em Executar.

  2. Na página Bem-vindo do Assistente de Certificados do Communications, clique em Avançar.

  3. Na página Tarefas de Certificado Disponíveis, clique em Atribuir um certificado existente e, em seguida, clique em Avançar.

  4. Na página Certificados Disponíveis, selecione o certificado solicitado para a interface interna desse Servidor de Borda e clique em Avançar.

  5. Na página Atribuições de Certificado Disponíveis, marque a caixa de seleção Interface Particular do Servidor de Borda (ou seja, a interface do servidor na qual você deseja instalar o certificado) e clique em Avançar.

  6. Na página Definir as Configurações de Certificado do seu Servidor, revise suas configurações e clique em Avançar para atribuir os certificados.

  7. Na página de conclusão do assistente, clique em Concluir.

  8. Repita esse procedimento para cada Servidor de Borda ao qual você atribuiu esse certificado.