Configurer des certificats pour les serveurs frontaux
Dernière rubrique modifiée : 2011-10-28
.gif "important") Important : |
|---|
| Lorsque vous exécutez l’Assistant Certificat, assurez-vous d’être connecté à l’aide d’un compte membre d’un groupe auquel ont été affectées les autorisations appropriées pour le type de modèle de certificat que vous utiliserez. Par défaut, une demande de certificat Lync Server utilise le modèle de certificat Serveur Web. Si vous utilisez un compte membre du groupe RTCUniversalServerAdmins pour demander un certificat utilisant ce modèle, vérifiez que les autorisations Inscrire requises pour utiliser ce modèle ont été affectées au groupe. |
Pour effectuer cette procédure, vous devez avoir ouvert une session en tant qu’utilisateur membre du groupe RTCUniversalServerAdmins ou disposer des autorisations déléguées correctes. Pour plus d’informations sur la délégation d’autorisations, voir Déléguer des autorisations de configuration. En fonction de votre organisation et des besoins en matière de certificats, il se peut que vous deviez appartenir à d’autres groupes. Contactez le groupe chargé de gérer l’autorité de certification de votre infrastructure de clés publiques.
.gif "note") Remarque : |
|---|
| Lync Server 2010 prend en charge les certificats SHA-256 pour les connexions à partir de clients exécutant les systèmes d’exploitation Windows Vista, Windows Server 2008, Windows Server 2008 R2 et Windows 7, en plus de Lync 2010 Phone Edition. Pour permettre la prise en charge de l’accès externe via SHA-256, le certificat externe est émis par une autorité de certification publique utilisant SHA-256. |
Chaque serveur frontal nécessite jusqu’à trois certificats : un certificat par défaut, un certificat interne Web et un certificat externe Web. Cependant, il est possible de demander et d’assigner un certificat par défaut unique contenant les entrées de noms d’objet appropriées. Pour plus d’informations sur les certificats requis, voir Configuration requise pour les certificats pour les serveurs internes. Utilisez la procédure suivante pour demander, affecter et installer les certificats du serveur frontal. Répétez la procédure pour chaque serveur frontal.
| Remarque : |
|---|
| Dans le processus de configuration par défaut, un seul certificat est demandé. Le certificat reçu est alors assigné au serveur frontal. Le certificat sera assigné aux rôles de serveur frontal ainsi qu’aux services Web hébergés sur le serveur frontal. |
| Important : |
|---|
| La procédure suivante décrit la configuration des certificats à partir d’une infrastructure à clé publique (PKI) d’entreprise interne déployée par votre organisation et avec un traitement hors ligne de la demande. Pour plus d’informations sur l’obtention de certificats à partir d’une autorité de certification publique, voir Configuration requise pour les certificats pour les serveurs internes dans la documentation de planification. Cette procédure décrit également comment demander, affecter et installer les certificats lors de la configuration du serveur frontal. Si vous avez demandé des certificats par avance comme décrit à la section Demander des certificats à l’avance (facultatif) de la documentation de déploiement, ou si vous n’utilisez pas la PKI d’entreprise interne déployée dans votre organisation pour obtenir des certificats, vous devez modifier cette procédure en conséquence. |
Pour configurer des certificats pour un serveur frontal
Dans l’Assistant Déploiement de Lync Server, cliquez sur Exécuter en regard de Étape 3 : Demander, installer ou attribuer des certificats.
.jpg "Étape 3 : Demander, installer ou assigner des certificats")
Dans la page Assistant Certificat, cliquez sur Demander.
.jpg "Assistant Certificat : sélectionner des certificats")
Dans la page Demande de certificat, cliquez sur Suivant.
Dans la page Demandes différées ou immédiates, vous pouvez accepter l’option par défaut Envoyer la demande immédiatement à une autorité de certification en ligne en cliquant sur Suivant. L’autorité de certification interne avec inscription en ligne automatique doit être disponible si vous sélectionnez cette option. Si vous choisissez de mettre la demande en attente, vous serez invité à indiquer un nom et un emplacement pour enregistrer le fichier de demande de certificat. La demande de certificat doit être présentée et traitée par une autorité de certification interne à votre organisation ou publique. Vous devrez ensuite importer la réponse du certificat et lui assigner le rôle approprié.
.jpg "Boîte de dialogue Demandes différées ou immédiates")
Dans la page Sélectionnez une autorité de certification, sélectionnez l’option Sélectionner une autorité de certification dans la liste détectée pour votre environnement, puis choisissez une autorité de certification connue (via un enregistrement dans les services de domaine Active Directory (AD DS)) dans la liste. Ou sélectionnez l’option Spécifier une autre autorité de certification, entrez le nom d’une autre autorité de certification dans la zone, puis cliquez sur Suivant.
.jpg "Boîte de dialogue Choisir une autorité de certification")
Sur la page Compte d’autorité de certification, vous êtes invité à saisir des informations d’identification pour demander et traiter la demande de certificat auprès de l’autorité de certification. Vous devez avoir déterminé si un nom d’utilisateur et un mot de passe sont nécessaires pour demander un certificat à l’avance. Votre administrateur de l’autorité de certification dispose des informations requises et peut vous assister pour cette étape. Si vous devez fournir des informations d’identification de remplacement, saisissez un nom d’utilisateur et un mot de passe dans les champs de texte, puis cliquez sur Suivant.
.jpg "Boîte de dialogue Compte d’autorité de certification")
Sur la page Spécifier un autre modèle de certificat, pour utiliser le modèle de serveur Web par défaut, cliquez sur Suivant.
Remarque :Si votre organisation a créé un modèle à employer en remplacement du modèle d’autorité de certification de serveur Web, activez la case à cocher et entrez le nom du modèle de remplacement. Vous devez utiliser le nom du modèle défini par l’administrateur de l’autorité de certification. .jpg "Boîte de dialogue Spécifier un autre modèle de certificat")
Sur la page Nom et paramètres de sécurité, spécifiez un Nom convivial devant vous permettre d’identifier le certificat et son utilisation. Si vous laissez ce champ vide, un nom est créé automatiquement. Définissez la Longueur en bits de la clé, ou acceptez la valeur par défaut de 2 048 bits. Sélectionnez l’option Marquer la clé privée du certificat comme exportable si vous estimez que le certificat et la clé privée doivent être déplacés ou copiés sur d’autres systèmes, puis cliquez sur Suivant.
Remarque :Lync Server 2010 présente des conditions minimales pour une clé privée exportable. L’un de ces emplacements concerne les serveurs Edge dans un pool, où le service d’authentification du serveur relais multimédia utilise des copies du certificat au lieu de plusieurs certificats individuels pour chaque instance du pool. .jpg "Page Nom et paramètres de sécurité")
Dans la page Informations relatives à l’organisation, entrez éventuellement des informations sur l’organisation, puis cliquez sur Suivant.
Dans la page Informations géographiques, entrez éventuellement des informations géographiques, puis cliquez sur Suivant.
Sur la page Nom du sujet/Autres noms du sujet, passez en revue les autres noms du sujet à ajouter, puis cliquez sur Suivant.
.jpg "Page Nom du sujet/Autres noms du sujet")
Dans la page Paramètre du domaine SIP, sélectionnez le domaine SIP, puis cliquez sur Suivant.
.jpg "Boîte de dialogue Paramètre du domaine SIP sur les autres noms du sujet")
Dans la page Configurer d’autres noms du sujet supplémentaires, ajoutez d’éventuels noms de sujet supplémentaires requis, y compris ceux nécessaires aux futurs domaines SIP supplémentaires, puis cliquez sur Suivant.
.jpg "Configurer d’autres noms du sujet supplémentaires")
Dans la page Résumé de la demande de certificat, passez en revue les informations du résumé. Si les informations sont correctes, cliquez sur Suivant. Si vous devez corriger ou modifier un paramètre, cliquez sur Précédent pour revenir à la page correspondante afin d’y apporter la correction ou modification requise.
.jpg "Page Résumé de la demande de certificat")
Dans la page Exécution de commandes, cliquez sur Suivant.
.jpg "Page Exécution des commandes")
Dans la page État de la demande de certificat en ligne, passez en revue les informations affichées. Notez que le certificat a été émis et installé dans le magasin de certificats local. Si un message signale que le certificat a été émis et installé mais qu’il n’est pas valide, vérifiez que le certificat racine de l’autorité de certification a été installé dans le magasin Autorités de certification racines de confiance du serveur. Consultez la documentation de votre autorité de certification pour savoir comment extraire le certificat d’une autorité de certification racine de confiance. Si vous devez consulter le certificat extrait, cliquez sur Afficher les détails du certificat. Par défaut, la case à cocher Assigner ce certificat aux utilisations de certificat Lync Server est activée. Si vous souhaitez assigner manuellement le certificat, désactivez la case à cocher, puis cliquez sur Terminer.
.jpg "Boîte de dialogue État de la demande de certificat en ligne")
Si vous avez désactivé la case à cocher Assigner ce certificat aux utilisations de certificat Lync Server dans la page précédente, la page Assignation de certificat apparaît. Cliquez sur Suivant.
.jpg "Boîte de dialogue Assignation de certificat")
Dans la page Magasin de certificats, sélectionnez le certificat que vous avez demandé. Si vous souhaitez afficher le certificat, cliquez sur Afficher les détails du certificat, puis sur Suivant pour continuer.
Remarque :Si la page État de la demande de certificat en ligne a signalé un problème de certificat, par exemple que le certificat n’est pas valide, l’affichage du certificat réel peut vous aider à résoudre ce problème. Il existe deux problèmes spécifiques pouvant entraîner l’invalidité d’un certificat : il manque le certificat de l’autorité de certification racine de confiance indiqué ci-dessus et il manque une clé privée associée au certificat. Consultez la documentation de votre autorité de certification pour résoudre ces deux problèmes. .jpg "Page État de la demande de certificat en ligne")
Dans la page Résumé de l’affectation du certificat, passez en revue les informations présentées pour vérifier qu’il s’agit bien du certificat à assigner, puis cliquez sur Suivant.
.jpg "Page Résumé de l’affectation du certificat")
Dans la page Exécution de commandes, passez en revue le résultat de la commande. Cliquez sur Afficher le journal si vous souhaitez passer en revue le processus d’assignation ou en cas d’erreur ou d’avertissement. Lorsque vous avez terminé votre vérification, cliquez sur Terminer.
.jpg "Page Exécution des commandes")
Dans la page Assistant Certificat, vérifiez que l’option État du certificat affiche « Assigné », puis cliquez sur Fermer.
.jpg "Page Assistant Certificat")