通过

  • 项目

修改证书以实现移动功能

 

上一次修改主题: 2011-11-15

针对 2011 年 11 月版的 Lync Server 2010 累积更新、控制器池、前端池和反向代理的证书需要其他使用者替代名称条目来支持与移动客户端的安全连接。有关移动的证书要求的详细信息,请参阅移动的技术要求

在安装新的 Microsoft Lync Server 2010 Mobility Service 后或在运行“Set-CsWebServer”cmdlet 来为 Mobility Service 设置端口后更新证书。

Set-CsCertificate cmdlet 将验证使用者替代名称,如果内部 Microsoft Lync Server 2010 自动发现服务完全限定的域名 (FQDN) 的使用者替代名称或外部自动发现服务 FQDN 的使用者替代名称缺失,则该 cmdlet 将返回警告。如果该 cmdlet 找到缺少的使用者替代名称,则您需要运行 Request-CsCertificate cmdlet。若要本地运行该 cmdlet,您必须是本地管理员并具有指定证书颁发机构的权限。

important重要提示:
当外部域名系统 (DNS) 记录为 A(主机)记录时属于例外情况。如果外部 DNS 记录是 A(主机)记录并且您在控制器上运行 Set-CsCertificate cmdlet,则该 cmdlet 不会返回有关外部自动发现服务的使用者替代名称 (lyncdiscover.<sipdomain>) 缺失的警告。

使用新的使用者替代名称更新证书

  1. 使用具有本地管理员权限的帐户登录计算机。

  2. 启动 Lync Server 命令行管理程序:依次单击“开始”、“所有程序”和“Microsoft Lync Server 2010”,然后单击“Lync Server 命令行管理程序”。

  3. 查明已为服务器分配哪些证书并将这些证书用于哪些类型的使用情况。您在下一个步骤中需要使用此信息来分配更新后的证书。在命令行中键入:

    Get-CsCertificate

  4. 查看上一步骤中的输出内容以了解是否为多种使用情况分配了一个证书,或是否为每种使用情况分配了不同的证书。查看 Use 参数以了解证书的用法。比较显示的证书的 Thumbprint 参数以了解同一个证书是否有多种用途。

  5. 更新证书。在命令行中键入:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>

    例如,如果 Get-CsCertificate cmdlet 显示了一个用于默认使用情况的证书、一个用于 WebServicesInternal 的证书和一个用于 WebServicesExternal 的证书,并且这些证书都具有相同的 Thumbprint 值,请在命令行中键入:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

    重要说明:

    如果为每种使用情况分配一个单独的证书(每个证书的 Thumbprint 值不同),则请不要对多种类型运行 Set-CsCertificate cmdlet,这一点很重要。在此情况下,请对每种使用情况单独运行 Set-CsCertificate cmdlet。例如:

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

  6. 如果缺少自动发现服务使用者替代名称,请执行以下操作:

    • 对于缺少的内部自动发现服务使用者替代名称,请在命令行中键入:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose

      如果您有多个 SIP 域,则无法使用新的 AllSipDomain 参数。相反,您必须使用 DomainName 参数。当您使用 DomainName 参数时,您必须对 SIP 域 FQDN 使用适当的前缀。例如:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • 对于缺少的外部自动发现服务使用者替代名称,请在命令行中键入:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      如果您有多个 SIP 域,则无法使用新的 AllSipDomain 参数。相反,您必须使用 DomainName 参数。当您使用 DomainName 参数时,您必须对 SIP 域 FQDN 使用适当的前缀。例如:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose