为群聊服务器获取证书

 

上一次修改主题: 2012-03-06

要安装 Microsoft Lync Server 2010 群聊,则对于运行查找服务、频道服务、Web 服务和合规性服务的每台服务器,您都必须拥有由 Microsoft Lync Server 2010 内部服务器所使用的同一个证书颁发机构 (CA) 所颁发的证书。启动 Lync Server 2010 群聊之前,请先获取所需证书(尤其当您要使用外部 CA 时)。

有关配置 Web 服务 IIS 证书的信息,请参阅为群聊服务器配置 Web 服务 IIS 证书

可以按照本主题中的过程,使用内部企业 CA 和 Windows 证书服务获取证书。

下载 CA 证书路径

  1. 在组织根 CA 脱机但企业从属(发证)CA 服务器联机的情况下,通过单击**“开始”“运行”,键入 http://<发证 CA 服务器的名称>/certsrv**,然后单击**“确定”**,登录到群聊服务器。

  2. 在**“选择一个任务”框中单击“下载 CA 证书**、证书链CRL”

  3. 在**“下载 CA 证书**、证书链CRL”中单击“下载 CA 证书链”

  4. 在**“文件下载”对话框中,单击“保存”**。

  5. 将 .p7b 文件保存到服务器的某个驱动器上。如果打开此 .p7b 文件,就会发现该证书链包含下面两个证书:

    • <企业根 CA 的名称> 证书

    • <企业从属 CA 的名称> 证书

安装 CA 证书路径

  1. 单击**“开始”,再单击“运行”,键入 mmc,然后单击“确定”**。

  2. 在**“文件”菜单上,单击“添加/删除管理单元”**。

  3. 在**“添加/删除管理单元”对话框中,单击“添加”**。

  4. 在**“可用的独立管理单元”列表上单击“证书”,然后单击“添加”**。

  5. 单击**“计算机帐户”,然后单击“下一步”**。

  6. 在**“选择计算机”对话框中,单击“本地计算机(运行这个控制台的计算机)”,然后单击“完成”**。

  7. 单击**“关闭”,然后单击“确定”**。

  8. 在“证书”管理单元的控制台树中展开**“证书(本地计算机)”**。

  9. 展开**“受信任的根证书颁发机构”**。

  10. 右键单击**“证书”,指向“所有任务”,然后单击“导入”**。

  11. 在“导入向导”中单击**“下一步”**。

  12. 单击**“浏览”,导航到保存证书链的位置,单击 .p7b 文件,然后单击“打开”**。

  13. 单击**“下一步”**。

  14. 接受默认值**“将所有的证书放入下列存储”,并确认“受信任的根证书颁发机构”**出现在“证书存储”下。

  15. 单击**“下一步”**。

  16. 单击**“完成”**。

请求证书

  1. 打开 Web 浏览器,键入 http://<发证 CA 服务器的名称>/certsrv,然后按 Enter。

  2. 单击**“请求证书”**。

  3. 单击**“高级证书申请”**。

  4. 单击**“创建并向此 CA 提交一个请求”**。

  5. 在**“证书模板”**中选择 Web 服务器模板。

    important重要提示:
    通过网站请求证书时,证书将安装在默认位置:Current User\Personal\Certificates。需要将证书导入到:Local Computer\Personal。因此,必须导出证书,然后将其导入 Local Computer\Personal\Certificates。您还需要创建允许使用可导入私钥的 Web 服务器证书模板的副本。在证书请求中,使用允许导入私钥的这个 Web 服务器模板。例如,请参阅以下过程“使用可导入的私钥创建一个证书”。
  6. 在**“标识脱机模板的信息”“名称”**中键入服务器的完全限定的域名 (FQDN)。

  7. 在**“密钥选项”“CSP”中单击“Microsoft RSA 通道加密提供程序”**。

  8. 选中**“将证书保存在本地计算机存储中”**复选框。

  9. 单击**“提交”**。

  10. 在**“潜在的脚本冲突”对话框中单击“是”**。

使用可导入的私钥创建证书

  1. 使用 certreq.inf 文件和 Certutil 命令创建具有可导入私钥的证书。例如,首先创建一个 request.inf 文件:

    [NewRequest]
    Subject = "CN=server.contoso.com" 
    Exportable = TRUE
    KeyLength = 1024 
    KeySpec = 1
    KeyUsage = 0xA0
    MachineKeySet = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = CMC
    
  2. 发出以下 Certutil 命令:

    certreq -new request.inf certnew.req
    certreq -submit - attrib "CertificateTemplate:Webserver" certnew.req certnew.cer
    certreq -retrieve <RequestID> certnew.cer
    certreq -accept certnew.cer
    

在计算机上安装证书

  1. 单击**“安装此证书”**。

  2. 在**“潜在的脚本冲突”对话框中单击“是”**。

在收到请求后手动批准证书颁发请求

  1. 以 Domain Admins 组成员的身份登录到企业从属 CA 服务器。

  2. 单击**“开始”,再单击“运行”**,键入 mmc,然后按 Enter。

  3. 在**“文件”菜单上,单击“添加/删除管理单元”**。

  4. 单击**“添加”**。

  5. 在**“添加独立管理单元”中单击“证书颁发机构”,然后单击“添加”**。

  6. 在**“证书颁发机构”中单击“本地计算机(运行这个控制台的计算机)”**。

  7. 单击**“完成”**。

  8. 单击**“关闭”,然后单击“确定”**。

  9. 在 Microsoft 管理控制台 (MMC) 中展开**“证书颁发机构”**,然后展开颁发证书的服务器。

  10. 单击**“待处理的请求”**。

  11. 在详细信息窗格中,右键单击由其请求 ID 标识的请求,指向**“所有任务”,然后单击“颁发”**。

  12. 在从其请求证书的服务器上单击**“开始”,然后单击“运行”**。

  13. 键入 http://<发证 CA 服务器的名称>/certsrv,然后单击**“确定”**。

  14. 在**“选择一个任务”框中单击“查看待处理证书请求的状态”**。

  15. 在**“查看待处理证书请求的状态”**中单击您的请求。

  16. 单击**“安装此证书”**。

    确认在以下位置已安装对 CA 所颁发的证书予以信任的 CA 证书链:控制台根节点/证书(本地计算机)/受信任的根证书颁发机构/证书。此链包含根 CA 证书。