为 Lync Server 2013 的外部边缘接口设置证书
上次修改的主题: 2012-09-08
重要
运行证书向导时,请确保使用一个帐户登录,该帐户是已为你将使用的证书模板类型分配了相应权限的组的成员。 默认情况下,Lync Server 证书请求将使用 Web Server 证书模板。 如果使用 RTCUniversalServerAdmins 组成员的帐户使用此模板请求证书,请验证该组是否已分配使用该模板所需的注册权限。
每个边缘服务器都需要外围网络和 Internet 之间的接口上的公共证书,并且证书的使用者替代名称必须包含 Access Edge 服务和 Web 会议边缘服务的外部名称, (FQDN) 完全限定域名。
有关此证书和其他证书要求的详细信息,请参阅 Lync Server 2013 中外部用户访问的证书要求。
有关公共证书颁发机构 (CA) 的列表,这些证书提供符合统一通信证书特定要求的证书,并与 Microsoft 合作确保它们与 Lync Server 2013 证书向导合作,请参阅 Microsoft 知识库文章929395,“适用于Exchange Server和通信服务器的统一通信证书合作伙伴”,https://go.microsoft.com/fwlink/p/?linkId=202834
在外部接口上配置证书
若要在站点的外部边缘接口上设置证书,请使用本部分中的过程执行以下操作:
为 Edge Server 的外部接口创建证书请求。
将请求提交到公共 CA。
导入每个 Edge Server 的外部接口的证书。
为每个 Edge Server 的外部接口分配证书。
如果部署包含多个 Edge Server,请导出证书及其私钥,然后将其复制到其他 Edge 服务器。 然后,对于每个 Edge Server,导入并按前面所述分配它。 针对每个 Edge Server 重复此过程。
可以直接从公共证书颁发机构 (CA) ((例如从公共 CA) 的网站)请求公共证书。 本部分中的过程对大多数证书任务使用证书向导。 如果选择直接从公共 CA 请求证书,则需要根据需要修改每个过程,以请求、传输和导入证书以及导入证书链。
从外部 CA 请求证书时,提供的凭据必须有权从该 CA 请求证书。 每个 CA 都有一个安全策略,用于定义哪些凭据 (,即允许特定用户和组名称) 请求、颁发、管理或读取证书。
如果决定使用证书 Microsoft 管理控制台 (MMC) 导入证书链和证书,则必须将其导入到计算机的证书存储。 如果将其导入到用户或服务证书存储,则该证书将无法在 Lync Server 2013 证书向导中分配。
为 Edge Server 的外部接口创建证书请求
在边缘服务器上的“部署向导”中,在 “步骤 3:请求、安装或分配证书”旁边的“ 再次运行”。
注意
如果组织想要支持公共即时消息 (IM) 与 AOL 的连接,则不能使用 Lync Server 部署向导请求证书。 相反,请执行本主题后面的“为边缘服务器的外部接口创建证书请求以支持与 AOL 的公共 IM 连接”过程中的步骤。
如果池中的一个位置中有多个 Edge Server,则可以在任一边缘服务器上运行 Lync Server 2013 证书向导。在“可用的证书任务”页上,单击“创建新的证书请求”。
在 “证书请求 ”页上,单击 “外部边缘证书”。
在 “延迟”或“立即请求 ”页上,立即选择 “准备请求”,但稍后会发送复 选框。
在 “证书请求文件” 页上,键入要将请求保存到的文件的完整路径和文件名 (例如 c:\cert_exernal_edge.cer) 。
在 “指定备用证书模板” 页上,若要使用默认 WebServer 模板以外的模板,请选 中所选证书颁发机构复选框的“使用备用证书模板 ”。
在 “名称和安全设置” 页上,执行以下操作:
在 友好名称中,键入证书的显示名称。
在 位长度中,通常指定位长度 (,默认值为 2048) 。
验证是否选中了 标记证书私钥作为可导出的 复选框。
在 “组织信息 ”页上,键入组织名称和组织单位 (例如部门或部门) 。
在“ 地理信息” 页上,指定位置信息。
在 “使用者名称/使用者备用名称” 页上,将显示向导自动填充的信息。 如果需要其他使用者可选名称,请在接下来的两个步骤中指定它们。
在 “使用者备用名称的 SIP 域设置 (SAN) 页上 ,选中要添加 sip 的域复选框。<使用者可选名称列表的 sipdomain> 条目。
在“ 配置其他使用者备用名称” 页上,指定所需的任何其他使用者替代名称。
在 “请求摘要 ”页上,查看用于生成请求的证书信息。
命令完成运行后,执行以下操作:
若要查看证书请求的日志,请单击 “查看日志”。
若要完成证书请求,请单击 “下一步”。
在 “证书请求文件” 页上,执行以下操作:
若要查看生成的证书签名请求 (CSR) 文件,请单击 “查看”。
若要关闭向导,请单击“完成”。
将输出文件复制到可将其提交到公共 CA 的位置。
为边缘服务器的外部接口创建证书请求以支持与 AOL 的公共 IM 连接
当所需模板可供 CA 使用时,请从 Edge Server 使用以下Windows PowerShell cmdlet 来请求证书:
Request-CsCertificate -New -Type AccessEdgeExternal -Output C:\ <certfilename.txt or certfilename.csr> -ClientEku $true -Template <template name>
Lync Server 2013 中提供的模板的默认证书名称为 Web Server。 仅当需要使用与默认模板不同的模板时,才指定 <模板名称> 。
注意
如果你的组织想要支持与 AOL 的公共 IM 连接,则必须使用Windows PowerShell而不是证书向导来请求将证书分配给 Access Edge 服务的外部边缘。 这是因为证书向导用于请求证书的 Lync Server 2013 Web Server 模板不支持客户端 EKU 配置。 在使用Windows PowerShell创建证书之前,CA 管理员必须创建并部署支持客户端 EKU 的新模板。
向公共证书颁发机构提交请求
打开输出文件。
复制并粘贴证书签名请求的内容 (CSR) 。
如果出现提示,请指定以下内容:
Microsoft 作为服务器平台。
IIS 作为版本。
Web 服务器 作为使用类型。
PKCS7 作为响应格式。
当公共 CA 验证了你的信息后,你将收到一封电子邮件,其中包含证书所需的文本。
复制电子邮件中的文本,并将内容保存在本地计算机上的文本文件 (.txt) 中。
导入 Edge Server 外部接口的证书
以管理员组成员身份登录到创建证书请求的同一 Edge Server。
在部署向导中的 “部署边缘服务器 ”页上,单击 “步骤 3:请求、安装或分配证书”旁边的“ 再次运行”。
在 “可用证书任务 ”页上,单击 .p7b、pfx 或 .cer 文件中的“导入证书”。
在“ 导入证书 ”页上,单击 “浏览 ”,找到并选择为边缘服务器 (外部接口请求的证书,或者,可以键入完整路径和文件名) 。 如果证书包含私钥,请选择 “证书”文件包含证书的私钥 ,并键入私钥的密码。 单击" 下一步"。
在 “导入证书摘要 ”页上,查看摘要,然后单击 “下一步”。
在 执行命令时,查看导入结果,根据需要单击 “查看日志 ”以获取详细信息,然后单击 “完成 ”以完成证书导入。
如果要配置边缘服务器池,请在本主题后面的“使用池中边缘服务器的私钥导出证书”过程中所述,使用其私钥导出证书。 将导出的证书文件复制到其他边缘服务器,并将其导入到每个 Edge Server 上的计算机存储中。
使用池中边缘服务器的私钥导出证书
以管理员组成员身份登录到导入证书的同一 Edge Server。
单击 “开始”,单击 “运行”,然后键入 MMC。
在 Microsoft 管理控制台 (MMC) 控制台中,单击 “文件”,然后单击 “添加/删除管理单元”。
在 “添加”或“删除管理单元”中,单击 “证书”,然后单击 “添加”。
在“证书”对话框中,选择“计算机帐户”,单击“下一步”,选择“本地计算机”: (此控制台在“选择计算机”中的) 上运行的计算机,单击“完成”,然后单击“确定”以完成 MMC 控制台的配置。
双击 “证书 (本地计算机) 展开证书存储,双击 ”个人“,然后双击 ”证书”。
重要
如果本地计算机的证书个人存储中没有证书,则没有与导入的证书关联的私钥。 查看请求和导入步骤。 如果问题仍然存在,请与证书颁发机构管理员或提供商联系。
在 本地计算机的“证书个人”存储中,右键单击要导出的证书,单击 “所有任务”,然后单击“ 导出”。
在“证书导出向导”中,单击 “下一步”,选择 “是”,导出私钥,然后单击 “下一步”。
注意
如果选择 “是”,则导出私钥 不可用,则未标记与此证书关联的私钥进行导出。 需要再次请求证书,确保证书被标记为允许导出私钥,然后才能继续导出。 联系证书颁发机构管理员或提供商。
在“导出文件格式”对话框中,选择 “个人信息交换 - PKCS#12 (”。PFX) ,然后选择以下内容:
如果可能,请在认证路径中包含所有证书
导出所有扩展属性
警告
从 Edge 服务器导出证书时, 如果导出成功,请勿选择“删除私钥”。 选择此选项需要将证书和私钥导入到此 Edge 服务器。
单击" 下一步"。
键入私钥密码,再次键入密码以确认,然后单击 “下一步”。
为导出的证书键入路径和文件名,并使用文件扩展名 .pfx。 路径必须可供池中所有其他 Edge 服务器访问,也可以通过可移动媒体(例如 USB 闪存驱动器)进行传输。 单击" 下一步"。
在 完成证书导出向导时查看摘要,然后单击 “完成”。
在成功的导出对话框中,单击 “确定”。
按照本主题前面的“为边缘服务器的外部接口导入证书”过程中所述的步骤,将导出的证书文件导入到其他 Edge 服务器。
为 Edge Server 的外部接口分配证书
在每个边缘服务器上的部署向导中,在 步骤 3:请求、安装或分配证书旁边, 单击“再次运行”。
在 “可用证书任务 ”页上,单击 “分配现有证书”。
在 “证书分配 ”页上,单击 “外部边缘证书 ”,然后选中 “高级证书使用情况” 复选框。
在 “高级证书使用情况”页上 ,选择所有复选框,为所有使用情况分配证书。
在 “证书存储” 页上,选择为边缘服务器的外部接口请求和导入的公共证书。
注意
如果请求和导入的证书不在列表中,则故障排除方法之一是验证证书的使用者名称和使用者替代名称是否满足证书的所有要求,并且,如果手动导入证书和证书链而不是使用上述过程,则证书在计算机证书存储 (正确的证书存储中, 不是用户或服务证书存储) 。
在 “证书分配摘要 ”页上,查看设置,然后单击 “旁边 ”分配证书。
在向导完成页上,单击“完成”。
使用此过程分配边缘证书后,在每台服务器上打开证书管理单元,展开 “证书” (本地计算机) ,展开 “个人”,单击 “证书”,然后在详细信息窗格中验证证书是否已列出。
如果部署包含多个 Edge Server,请针对每个 Edge Server 重复此过程。