Изменение сертификатов для мобильной работы в Lync Server 2013
Последнее изменение раздела: 2014-06-20
Для поддержки безопасных подключений между средой Lync и мобильными клиентами необходимо обновить сертификаты SSL для пула директоров, пула переднего плана и обратного прокси-сервера с помощью дополнительных записей альтернативного имени субъекта (SAN). Дополнительные сведения о требованиях к сертификатам для мобильности см. в разделе "Требования к сертификатам" статьи "Технические требования к мобильности" в Lync Server 2013, но, по сути, вам потребуется получить новые сертификаты из центра сертификации с включенными дополнительными записями SAN, а затем добавить эти сертификаты, выполнив действия, описанные в этой статье.
Конечно, прежде чем начать, обычно рекомендуется знать, какие альтернативные имена субъектов уже есть у сертификатов. Если вы не знаете, что уже настроено, есть много способов узнать. Хотя для просмотра этих сведений можно выполнить командлет Get-CsCertificate и другие команды PowerShell (которые мы рассмотрим ниже), по умолчанию эти данные будут усечены, поэтому вы можете не просмотреть все необходимые свойства. Чтобы получить хорошее представление о сертификате и всех его свойствах, можно перейти в консоль управления (MMC) и загрузить оснастку "Сертификаты" (которую мы также рассмотрим ниже) или просто перейти в мастер развертывания Lync Server.
Как отмечалось выше, следующие действия помогут вам обновить сертификаты с помощью командной консоли Lync Server и MMC. Если вы хотите использовать мастер сертификатов в мастере развертывания Lync Server для этого, можно проверить настройку сертификатов для директора в Lync Server 2013 для каталога или пула директоров, если вы настроите его (возможно, нет). Для интерфейсного сервера или пула переднего плана необходимо просмотреть сведения о настройке сертификатов для серверов в Lync Server 2013.
Наконец, следует помнить, что в среде Lync Server 2013 может быть один сертификат по умолчанию или отдельные сертификаты для default (это все, кроме веб-служб), WebServicesExternal и WebServicesInternal. Независимо от конфигурации, эти действия помогут вам.
Обновление сертификатов новыми альтернативными именами субъектов с помощью командной консоли Lync Server
Необходимо войти на сервер Lync Server 2013 с помощью учетной записи с правами локального администратора и разрешениями. Кроме того, если вы используете PowerShell Request-CsCertificate в шагах 12 и более поздних версий, учетная запись должна иметь права на указанный центр сертификации (ЦС).
Запустите консоль управления Lync Server: нажмите кнопку "Пуск ", выберите пункт "Все программы ",щелкните Microsoft Lync Server 2013, а затем щелкните Lync Server Management Shell.
Перед назначением обновленного сертификата необходимо выяснить, какие сертификаты были назначены серверу и для какого типа использования. В командной строке выполните следующую команду:
Get-CsCertificateПросмотрите выходные данные предыдущего шага, чтобы узнать, был ли назначен один сертификат для нескольких вариантов использования или для каждого использования назначен другой сертификат. Просмотрите параметр Use, чтобы узнать, как используется сертификат. Сравните параметр Thumbprint для отображаемых сертификатов, чтобы узнать, имеет ли один и тот же сертификат несколько вариантов использования. Следите за параметром Thumbprint.
Обновите сертификат. В командной строке выполните следующую команду:
Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>Например, если командлет Get-CsCertificate отображает сертификат с использованием по умолчанию, другой — с использованием WebServicesInternal, а другой — с использованием WebServicesExternal и все они имели одинаковое значение отпечатка, в командной строке следует ввести:
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>Важно:
Если для каждого использования назначается отдельный сертификат (поэтому значение отпечатка, которое вы проверили выше, отличается для каждого сертификата), крайне важно не запускать командлет Set-CsCertificate с несколькими типами, как показано в примере выше. В этом случае выполните командлет Set-CsCertificate отдельно для каждого использования. Например:
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>Чтобы просмотреть сертификат (или сертификаты), нажмите кнопку "Пуск", нажмите кнопку "Выполнить".... Введите MMC, чтобы открыть консоль управления Майкрософт.
В меню MMC выберите " Файл", "Добавить или удалить оснастку"... и "Сертификаты". Нажмите Добавить. При появлении запроса выберите учетную запись компьютера и нажмите кнопку "Далее".
Если это сервер, на котором расположен сертификат, выберите локальный компьютер. Если сертификат находится на другом компьютере, необходимо выбрать другой компьютер, а затем ввести полное доменное имя компьютера или нажать кнопку "Обзор" в поле "Введите имя объекта" и введите имя компьютера. Щелкните "Проверить имена". Когда имя компьютера разрешается, оно будет подчеркнуто. Нажмите кнопку "ОК" и нажмите кнопку "Готово". Нажмите кнопку " ОК", чтобы зафиксировать выделение и закрыть диалоговое окно "Добавление или удаление оснастки ".
Чтобы просмотреть свойства сертификата, разверните " Сертификаты", " Личные" и выберите "Сертификаты". Выберите сертификат для просмотра, щелкните его правой кнопкой мыши и выберите команду "Открыть".
В представлении "Сертификат " выберите " Сведения". Здесь можно выбрать имя субъекта сертификата, выбрав " Субъект", и отобразится имя назначенного субъекта и связанные свойства.
Чтобы просмотреть альтернативные имена назначенных субъектов, выберите альтернативное имя субъекта. Здесь отображаются все альтернативные имена назначенных субъектов. Альтернативные имена субъектов по умолчанию имеют тип DNS-имени . Вы должны увидеть следующие члены (все из которых должны быть полными доменными именами, представленными в записях узла DNS (A или, если IPv6 AAAA):
Имя пула для этого пула или имя отдельного сервера, если это не пул
Имя сервера, для которого назначен сертификат
Простые записи URL-адресов, обычно встреча и диалоговое окно
Внешние имена веб-служб и внешних веб-служб (например, webpool01.contoso.net, webpool01.contoso.com), основанные на вариантах, выбранных в построителе топологий и чрезмерно выделенных веб-службах.
Если оно уже назначено, lyncdiscover.< sipdomain> и lyncdiscoverinternal.< записи sipdomain> .
Последний элемент — это то, что вас больше всего интересует— если есть запись lyncdiscover и lyncdiscoverinternal SAN.
Повторите эти действия, если у вас есть несколько сертификатов для проверки. Получив эти сведения, можно закрыть представление сертификата и MMC.
Если альтернативное имя субъекта службы автообнаружения отсутствует и вы используете один сертификат по умолчанию для типов Default, WebServicesInternal и WebServiceExternal, сделайте следующее:
В командной строке командной строки командной строки Lync Server введите:
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verboseЕсли у вас много доменов SIP, нельзя использовать новый параметр AllSipDomain. Вместо этого необходимо использовать параметр DomainName. При использовании параметра DomainName необходимо определить полное доменное имя для записей lyncdiscoverinternal и lyncdiscover. Например:
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verboseЧтобы назначить сертификат, введите следующее:
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>Где "Отпечаток" — это отпечаток, отображаемый для только что выданного сертификата.
Для отсутствующей внутренней сети SAN автообнаружения при использовании отдельных сертификатов для default, WebServicesInternal и WebServicesExternal выполните следующие действия:
В командной строке командной строки командной строки Lync Server введите:
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verboseЕсли у вас много доменов SIP, нельзя использовать новый параметр AllSipDomain. Вместо этого необходимо использовать параметр DomainName. При использовании параметра DomainName необходимо использовать соответствующий префикс для полного доменного имени домена SIP. Например:
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verboseДля отсутствующего альтернативного имени субъекта автообнаружения в командной строке введите:
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verboseЕсли у вас много доменов SIP, нельзя использовать новый параметр AllSipDomain. Вместо этого необходимо использовать параметр DomainName. При использовании параметра DomainName необходимо использовать соответствующий префикс для полного доменного имени домена SIP. Например:
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verboseЧтобы назначить отдельные типы сертификатов, введите следующее:
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>Где "Отпечаток" — это отпечаток, отображаемый для только что выданных отдельных сертификатов.
Примечание.
Обратите внимание, что шаги 12 и 13 должны выполняться только в том случае, если учетная запись, на которой они работают, имеет доступ к центре сертификации с соответствующими разрешениями. Если вам не удается войти с помощью учетной записи, которая имеет эти разрешения, или если вы используете общедоступный или удаленный центре сертификации для сертификатов, вам потребуется запросить их с помощью мастера развертывания Lync Server, который был затронут в верхней части статьи.