在 Lync Server 2013 中为服务器配置证书
上次修改的主题: 2013-03-17
若要成功完成此过程,应以属于 RTCUniversalServerAdmins 组成员或具有正确权限的用户身份登录。 有关委派权限的详细信息,请参阅 Lync Server 2013 中的委托设置权限。 根据组织和请求证书的要求,可能需要其他组成员身份。 请咨询管理公钥基础结构的组 (PKI) 证书颁发机构 (CA) 。
注意
Lync Server 2013 包括对 SHA-2 套件的支持 (SHA-2 使用摘要长度为 224, 256、384 或 512 位) 摘要哈希和签名算法,用于运行 Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows Vista 或 Windows XP 操作系统(除了 Lync Phone Edition)的客户端的连接。 要支持使用 SHA-2 套件进行外部访问,外部证书必须由公共 CA 颁发,公共 CA 也可颁发具有相同位长度摘要的证书。
警告
选择哪种哈希摘要和签名算法取决于将使用证书的客户端和服务器,客户端和服务器将与其通信的其他计算机和设备也必须知道如何使用证书中所用的算法。 有关操作系统和某些客户端应用程序支持哪些摘要长度的信息,请参阅https://go.microsoft.com/fwlink/?LinkId=287002。
每个 Standard Edition 服务器或前端服务器最多需要四个证书:oAuthTokenIssuer 证书、默认证书、Web 内部证书和 Web 外部证书。 但是,可以请求并分配具有相应使用者替代名称条目以及 oAuthTokenIssuer 证书的单个默认证书。 有关证书要求的详细信息,请参阅 Lync Server 2013 中内部服务器的证书要求。 有关请求、分配和安装 oAuthTokenIssuer 证书的详细信息,请参阅 在 Lync Server 2013 中管理服务器到服务器的身份验证 (OAuth) 和合作伙伴应用程序
使用以下过程请求、分配和安装 Standard Edition 服务器或前端服务器证书。 对每个前端服务器重复此过程。
重要
以下过程介绍如何从组织部署的内部企业 PKI 和脱机请求处理配置证书。 有关从公共 CA 获取证书的信息,请参阅规划文档 中 Lync Server 2013 中内部服务器的证书要求 。 此外,此过程介绍如何在前端服务器的设置过程中请求、分配和安装证书。 如果提前请求证书,如请求证书中所述,请 (本部署文档的 Lync Server 2013 部分的可选) ,或者不使用组织中部署的内部企业 PKI 来获取证书,则必须根据需要修改此过程。
为前端服务器配置证书
在 Lync Server 部署向导中,单击“步骤 3:请求、安装或分配证书”旁边的“运行”。
在“证书向导”页上,单击“请求”。
在 “证书请求 ”页上,单击 “下一步”。
在“延迟的请求或即时请求”页上,可通过单击“下一步”接受默认的“立即将请求发送给联机证书颁发机构”选项。 如果选择此选项,具有自动联机注册的内部 CA 必须可用。 如果选择了延迟请求的选项,系统将提示您输入用于保存证书请求文件的名称和位置。 证书请求必须由组织内部的 CA 或公共 CA 提出和处理。 然后您需要导入证书响应并将其分配给适当的证书角色。
在“选择证书颁发机构 (CA) ”页上,从环境选项中检测到的列表中选择 CA,然后从列表中选择Active Directory 域服务) CA 中的已知 (。 或者,选择“指定其他证书颁发机构”选项,在框中输入其他 CA 的名称,然后单击“下一步”。
在“证书颁发机构帐户”页上,将提示您提供凭据,以在 CA 中请求证书和处理证书请求。 您应该已经确定提前请求证书是否需要用户名和密码。 CA 管理员将获得所需的信息,并且可能需要协助执行此步骤。 如果需要提供备用凭据,请选中相应的复选框,在文本框中输入用户名和密码,然后单击“下一步”。
在“指定替代证书模板”页上,要使用默认的 Web 服务器模板,请单击“下一步”。
注意
如果组织已经创建了模板,以用作默认 Web 服务器 CA 模板的备用模板,请选中相应的复选框,然后输入备用模板的名称。 您将需要 CA 管理员定义的模板名称。
在 “名称和安全设置”页上 ,指定一个 友好名称 ,该名称应允许你标识证书和用途。 如果将此处留空,则系统会自动生成一个名称。 设置密钥的“位长度”,或接受默认值 2048 位。 如果您确定需要将证书和私钥移动或复制到其他系统中,请选择“将证书的私钥标记为可导出”,然后单击“下一步”。
注意
Lync Server 2013 对可导出的私钥的要求最低。 其中一个可导出的位置是池中的边缘服务器,在这里媒体中继身份验证服务使用证书副本,而不是对池中的每个实例都分别使用单个证书。
在“组织信息”页上,可选择提供组织信息,然后单击“下一步”。
在“地理信息”页上,可选择提供地理信息,然后单击“下一步”。
在“使用者名称/使用者替代名称”页上,检查将添加的使用者替代名称,然后单击“下一步”。
在“SIP 域设置”页上,选择“SIP 域”,然后单击“下一步”。
在“配置其他使用者替代名称”页上,添加其他任何需要的使用者替代名称,包括将来其他 SIP 域可能需要的使用者替代名称,然后单击“下一步”。
在“证书请求摘要”页上,检查摘要中的信息。 如果信息正确,请单击“下一步”。 如果需要更正或修改设置,请单击“上一步”返回相应的页面进行更正或修改。
在“正在执行命令”页上,单击“下一步”。
On the Online Certificate Request Status page, review the information returned. You should note that the certificate was issued and installed into the local certificate store. 如果报告已颁发并安装,但无效,请确保已在服务器的受信任根 CA 存储中安装 CA 根证书。 Refer to your CA documentation on how to retrieve a Trusted Root CA certificate. If you need to view the retrieved certificate, click View Certificate Details. 默认情况下,选中“ 将证书分配给 Lync Server 证书使用情况 ”复选框。 If you want to manually assign the certificate, clear the check box, and then click Finish.
如果清除了在上一页上 为 Lync Server 证书使用情况分配证书 的复选框,则会显示 “证书分配 ”页。 单击" 下一步"。
在“证书存储”页上,选择已请求的证书。 如果要查看证书,请单击“查看证书详细信息”,然后单击“下一步”继续。
注意
如果 联机证书请求状态 页报告了证书的问题(例如证书无效),则查看实际证书有助于解决问题。 可能导致证书无效的两个具体问题为:先前提到的受信任根 CA 证书缺失,与证书相关联的私钥缺失。 有关如何解决这两个问题的信息,请参阅 CA 文档。
在“证书分配摘要”页上,检查显示的信息以确保此证书是应分配的证书,然后单击“下一步”。
在“正在执行命令”页上,检查命令的输出。 如果要检查分配过程或查看是否出现错误或警告,请单击“查看日志”。 检查完成后,单击“完成”。
在 “证书向导 ”页上,验证证书的 状态 是否为“已分配”,然后单击“ 关闭”。