Obtendo certificados para o Servidor de bate-papo de grupo
Tópico modificado em: 2012-03-06
Para instalar o Microsoft Lync Server 2010, Chat de Grupo, você deve ter um certificado emitido pela mesma autoridade de certificação daquele usado pelos servidores internos do Microsoft Lync Server 2010 para cada servidor que estiver executando o serviço de Pesquisa, o serviço de Canal, o serviço Web e o serviço de Conformidade. Obtenha o(s) certificado(s) necessário(s) antes de iniciar o Lync Server 2010, Chat de Grupo, principalmente se estiver usando uma autoridade de certificação externa.
Para mais informações sobre como configurar o certificado IIS do serviço da Web, consulte Configurando o certificado IIS do Web Services para o Servidor de bate-papo de grupo.
Você pode usar os procedimentos deste tópico para obter um certificado usando uma AC corporativa interna e Serviços de Certificados Windows.
Para baixar o caminho de certificação da autoridade de certificação
Com a AC raiz da sua organização off-line e seu servidor de (emissão de) AC subordinada on-line, entre no Servidor de Chat de Grupo clicando em Iniciar, clicando em Executar, digitando http://<nome do seu Servidor de Emsisão de CA>/certsrv, e clicando em OK.
Na caixa Selecionar uma tarefa, clique em Download de um certificado de autoridade de certificação, cadeia de certificados ou lista de certificados revogados.
Em Download de um Certificado de Autoridade de Certificação, Cadeia de Certificados ou Lista de Certificados Revogados, clique em Fazer download de cadeia de certificados de autoridade de certificação.
Na caixa de diálogo Download de Arquivo, clique em Salvar.
Salve o arquivo .p7b em uma unidade no servidor. Se você abrir esse arquivo .p7b, a cadeia conterá estes dois certificados:
certificado <nome da AC raiz corporativa>
certificado <nome da AC subordinada corporativa>
Para instalar o caminho de certificação da autoridade de certificação
Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
No menu Arquivo, clique Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar/Remover Snap-in, clique em Adicionar.
Na lista Snap-ins Autônomos Disponíveis, clique em Certificados e, em seguida, clique em Adicionar.
Clique em Conta de computador e, em seguida, clique em Avançar.
Na caixa de diálogo Selecionar Computador, clique em Computador local (o computador no qual este console está sendo executado) e, em seguida, clique em Concluir.
Clique em Fechar e depois em OK.
Na árvore de console do snap-in Certificados, expanda Certificados (Computador Local).
Expanda Autoridades de Certificação Raiz Confiáveis.
Clique com o botão direito em Certificados, aponte para Todas as tarefas, e clique em Importar.
No Assistente de Importação, clique em Avançar.
Clique em Procurar, navegue para o local em que você salvou a cadeia de certificação, clique no arquivo p7b e, em seguida, clique em Abrir.
Clique em Avançar.
Aceite o valor padrão Colocar todos os certificados no armazenamento a seguir e verifique se Autoridades de Certificação Raiz Confiáveis aparece no repositório de certificados.
Clique em Avançar.
Clique em Concluir.
Para solicitar um certificado
Abra um navegador da Web, digite http://<nome do seu servidor de Emissão de AC>/certsrv, e aperte Enter.
Clique em Solicitar um Certificado.
Clique em Solicitação avançada de certificado.
Clique em Criar e enviar uma solicitação para a autoridade de certificação.
Em Modelo de Certificado, selecione modelo do servidor da Web.
Importante: Ao solicitar um certificado por meio de um site da Web, esse certificado é instalado no local padrão: Usuário Atual\Pessoal\Certificados. Você precisa importar o certificado para: Computador Local \Pessoal. Por esse motivo, o certificado deve ser exportado e depois importado em um Computador Local\Pessoal\Certificados. Pode ser necessário criar uma cópia do modelo de certificado do servidor da Web que permita uma chave privada exportável. Na solicitação de certificado, use esse modelo de servidor da Web que permite que a chave privada seja exportada. Por exemplo, veja o procedimento a seguir, ‘Para criar um certificado com uma chave provada exportável’. Em Informações de Identificação para Modelo Offline, em Nome, digite o nome de domínio totalmente qualificado (FQDN) do servidor.
Em Opções de Chaves, em CSP, clique em Microsoft RSA Channel Cryptographic Provider.
Marque a caixa de seleção Armazenar certificado no armazenamento de certificados do computador local.
Clique em Enviar.
Na caixa de diálogo Possível Violação de Script, clique em Sim.
Para criar um certificado com uma chave privada exportável
Use o arquivo certreq.inf e o comando Certutil para criar um certificado com uma chave privada exportável. Por exemplo, antes crie um arquivo request.inf:
[NewRequest] Subject = "CN=server.contoso.com" Exportable = TRUE KeyLength = 1024 KeySpec = 1 KeyUsage = 0xA0 MachineKeySet = True ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = CMC
Emita os comandos Certutil a seguir:
certreq -new request.inf certnew.req certreq -submit -attrib "CertificateTemplate:Webserver" certnew.req certnew.cer certreq -retrieve <RequestID> certnew.cer certreq -accept certnew.cer
Para instalar o certificado no computador
Clique em Instalar este certificado.
Na caixa de diálogo Possível Violação de Script, clique em Sim.
Para aprovar uma solicitação de emissão de certificado manualmente após a solicitação ter sido feita
Faça logon como membro do grupo Admins. do Domínio no servidor da autoridade de certificação subordinada corporativa.
Clique em Iniciar, clique em Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/Remover Snap-in.
Clique em Adicionar.
Na caixa Adicionar Snap-in Autônomo, clique em Autoridade de Certificação e, em seguida, clique em Adicionar.
Em Autoridade de Certificação, clique em Computador local (o computador no qual este console está sendo executado).
Clique em Concluir.
Clique em Fechar e depois clique em OK.
No Console de Gerenciamento Microsoft (MMC), expanda Autoridade de Certificação e depois expanda seu servidor de emissão de certificado.
Clique em Solicitação pendente.
No painel de detalhes, clique com o botão direito do mouse na solicitação identificada pela respectiva ID, aponte para Todas as Tarefas e clique em Emitir.
No servidor em que você solicitou o certificado, clique em Iniciar e, em seguida, clique em Executar.
Digite http://<nome do seu Servidor de Emissão de CA>/certsrv, e clique em OK.
Na caixa Selecionar uma tarefa, clique em Exibir o status de uma solicitação de certificado pendente.
Em Exibir o Status de uma Solicitação de Certificado Pendente, clique na sua solicitação.
Clique em Instalar este certificado.
Verifique se a cadeia do certificado de AC que concede a confiança para os certificados emitidos de sua AC foi instalada no seguinte local: raiz do console/certificados (computador local)/autoridades de certificado de raiz confiável/certificados. Essa cadeia contém o certificado de AC raiz.