在 Lync Server 2013 中修改证书以实现移动功能

 

上次修改的主题： 2014-06-20

若要支持 Lync 环境与移动客户端之间的安全连接，需要使用一些附加的主题替代名称更新 Director 池、前端池和反向代理的安全套接字层 (SSL) 证书 (SAN) 条目。 如果需要查看有关移动性证书要求的更多详细信息，请参阅 Lync Server 2013 中移动性技术要求中的“证书要求”部分，但基本上需要从证书颁发机构获取包含其他 SAN 条目的新证书，然后使用本文的步骤添加这些证书。

当然，在开始之前，通常最好知道证书已有哪些使用者替代名称。 如果不确定已配置的内容，可通过多种方式进行查找。虽然此选项可用于运行 Get-CsCertificate 和其他 PowerShell 命令来查看此信息，但 (在下面进行演练) 默认情况下，数据将被截断，因此您可能无法查看所需的所有属性。 若要深入了解证书及其所有属性，可以转到 Microsoft 管理控制台 (MMC) 并加载证书管理单元 (我们还) 下面进行演练，或者只需签入 Lync Server 部署向导即可。

如上所述，以下步骤将引导你使用 Lync Server Management Shell 和 MMC 更新证书。 如果你有兴趣在 Lync Server 部署向导中使用证书向导，则可以检查为 Director 或 Director 池配置 Lync Server 2013 中的 Director 的证书 ，如果配置了一个 (你可能没有) 。 对于前端服务器或前端池，你将希望看到 在 Lync Server 2013 中为服务器配置证书。

要记住的最后一件事是，在 Lync Server 2013 环境中可能有一个默认证书，或者默认 (可能具有单独的证书，除了 Web 服务) 、WebServicesExternal 和 WebServicesInternal 之外，其他所有证书都是如此。 无论配置如何，这些步骤都应帮助你完成。

使用 Lync Server Management Shell 使用新的使用者替代名称更新证书

1. 需要使用具有本地管理员权限和权限的帐户登录到 Lync Server 2013 服务器。 此外，如果在步骤 12 及更高版本中运行 PowerShell Request-CsCertificate ，则帐户需要拥有指定证书颁发机构 (CA) 的权限。

2. 启动 Lync Server Management Shell：单击 “开始”，单击 “所有程序”，单击 Microsoft Lync Server 2013，然后单击 Lync Server Management Shell。

3. 在分配更新后的证书之前，需要了解已分配给服务器的证书以及使用哪种类型。 在命令行中键入：

   Get-CsCertificate
   

4. 查看上一步的输出，查看是否为多个用途分配了单个证书，或者是否为每个用途分配了不同的证书。 查看 Use 参数，了解如何使用证书。 比较显示的证书的指纹参数，以查看同一证书是否具有多个用途。 请留意指纹参数。

5. 更新证书。 在命令行中键入：

   Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>
   

   例如，如果 Get-CsCertificate cmdlet 显示的证书具有默认使用，另一个证书具有 WebServicesInternal 的使用，另一个证书使用 WebServicesExternal，并且它们在命令行上都具有相同的指纹值，则应键入：

   Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
   

   重要：

   如果为每个使用 (分配了单独的证书，因此您上面检查的指纹值对于每个证书) 不同，则必须 不要 运行具有多种类型的 Set-CsCertificate cmdlet，如上面的示例所示。 在这种情况下，请单独运行 Set-CsCertificate cmdlet 以供每次使用。 例如：

   Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
   Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
   Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
   

6. 若要查看证书 (或证书) ，请单击 “开始”，单击 “运行...”。 键入 MMC 以打开 Microsoft 管理控制台。

7. 在 MMC 菜单中，选择 “文件”，选择 “添加/删除管理单元...”，然后选择“证书”。 单击“添加”。 出现提示时，选择 “计算机帐户”，然后单击 “下一步”。

8. 如果这是证书所在的服务器，请选择 “本地计算机”。 如果证书位于另一台计算机上，则应选择另一台计算机，然后可以键入计算机的完全限定域名，或者单击“输入要选择的对象名称”中的“浏览”，然后键入计算机的名称。 单击 “检查名称”。 当计算机名称解析时，它将被下划线。 单击 “确定”，然后单击 “完成”。 单击 “确定 ”提交所选内容并关闭 “添加或删除管理单元 ”对话框。

9. 若要查看证书的属性，请展开 “证书”，展开 “个人”，然后选择 “证书”。 选择要查看的证书，右键单击证书，然后选择 “打开”。

10. 在 “证书” 视图中，选择 “详细信息”。 在此处，可以通过选择 “使用 者”来选择证书使用者名称，并显示分配的主题名称和关联的属性。

11. 若要查看分配的主题可选名称，请选择 “使用者可选名称”。 此处显示所有分配的主题可选名称。 此处找到的主题可选名称默认为 DNS 名称 类型。 如果 IPv6 AAAA) 记录，则应会看到以下成员 (所有应为 DNS 主机 (A 中表示的完全限定的域名：

    • 此池的池名称，如果不是池，则为单个服务器名称

    • 将证书分配给的服务器名称

    • 简单的 URL 记录，通常满足和对话

    • Web 服务内部和 Web 服务外部名称 (例如，webpool01.contoso.net、webpool01.contoso.com) ，基于拓扑生成器和过度覆盖的 Web 服务选择中所做的选择。

    • 如果已分配，则为 lyncdiscover。<sipdomain> 和 lyncdiscoverinternal。<sipdomain> 记录。

    最后一个项目是你最感兴趣的 - 如果有一个 lyncdiscover 和 lyncdiscoverinternal SAN 条目。

    如果要检查多个证书，请重复这些步骤。 获取此信息后，可以关闭证书视图和 MMC。

12. 如果缺少自动发现服务使用者替代名称，并且使用的是默认、WebServicesInternal 和 WebServiceExternal 类型的单个默认证书，请执行以下操作：

    • 在 Lync Server Management Shell 命令行提示符处，键入：

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      如果有许多 SIP 域，则无法使用新的 AllSipDomain 参数。 需要改用 DomainName 参数。 使用 DomainName 参数时，必须为 lyncdiscoverinternal 和 lyncdiscover 记录定义 FQDN。 例如：

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      

    • 若要分配证书，请键入以下内容：

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      其中“指纹”是新颁发的证书显示的指纹。

13. 对于使用默认、WebServicesInternal 和 WebServicesExternal 的单独证书时缺少的内部自动发现 SAN，请执行以下操作：

    • 在 Lync Server Management Shell 命令行提示符处，键入：

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose
      

      如果有许多 SIP 域，则无法使用新的 AllSipDomain 参数。 需要改用 DomainName 参数。 使用 DomainName 参数时，必须为 SIP 域 FQDN 使用适当的前缀。 例如：

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      

    • 对于缺少的外部自动发现主题替代名称，请在命令行中键入：

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      如果有许多 SIP 域，则无法使用新的 AllSipDomain 参数。 需要改用 DomainName 参数。 使用 DomainName 参数时，必须为 SIP 域 FQDN 使用适当的前缀。 例如：

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose
      

    • 若要分配单个证书类型，请键入以下内容：

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      其中“指纹”是为新颁发的单个证书显示的指纹。

    注意

    需要注意的是，仅当运行步骤 12 和 13 的帐户有权访问具有相应权限的证书颁发机构时，才应运行步骤 12 和 13。 如果无法使用拥有这些权限的帐户登录，或者对证书使用公共或远程证书颁发机构，则需要通过 Lync Server 部署向导请求这些证书，该向导已在文章顶部进行了介绍。