Configuration des certificats pour les serveurs dans Lync Server 2013

  • Article

 

Rubrique Dernière modification : 2013-03-17

Pour effectuer cette procédure, vous devez être connecté en tant qu’utilisateur membre du groupe RTCUniversalServerAdmins ou disposant des autorisations appropriées déléguées. Pour plus d’informations sur la délégation d’autorisations, consultez Les autorisations d’installation du délégué dans Lync Server 2013. En fonction de votre organisation et des exigences relatives à la demande de certificats, vous pouvez exiger d’autres appartenances à des groupes. Consultez le groupe qui gère votre autorité de certification d’infrastructure à clé publique (PKI).

Remarque

Lync Server 2013 inclut la prise en charge de la suite SHA-2 (SHA-2 utilise des longueurs digestes de 224, 256, 384 ou 512 bits) d’algorithmes de hachage et de signature digest pour les connexions des clients exécutant Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista ou les systèmes d’exploitation Windows XP, en plus de Lync Phone Edition. Pour permettre la prise en charge de l’accès externe via la suite SHA-2, le certificat externe est émis par une autorité de certification publique pouvant également émettre un certificat avec le même hachage de longueur en bits.

Avertissement

La sélection de l’algorithme de hachage et de signature dépend des clients et serveurs qui utiliseront le certificat, et des autres ordinateurs et appareils avec lesquels les clients et serveurs communiqueront, lesquels doivent également savoir comment utiliser les algorithmes définis dans le certificat. Pour plus d’informations sur les longueurs de synthèse prises en charge dans le système d’exploitation et certaines applications clientes, consultezhttps://go.microsoft.com/fwlink/?LinkId=287002.

Chaque serveur Standard Edition ou serveur frontal requiert jusqu’à quatre certificats : le certificat oAuthTokenIssuer, un certificat par défaut, un certificat interne web et un certificat externe web. Toutefois, il est possible de demander et d’attribuer un certificat par défaut unique avec les entrées de nom de remplacement d’objet appropriées ainsi que le certificat oAuthTokenIssuer. Pour plus d’informations sur les exigences en matière de certificat, consultez La configuration requise pour les serveurs internes dans Lync Server 2013. Pour plus d’informations sur la demande, l’affectation et l’installation du certificat oAuthTokenIssuer, consultez Gestion de l’authentification de serveur à serveur (OAuth) et des applications partenaires dans Lync Server 2013

Utilisez la procédure suivante pour demander, affecter et installer le serveur Standard Edition ou les certificats serveur frontal. Répétez la procédure pour chaque serveur frontal.

Important

La procédure suivante décrit comment configurer des certificats à partir d’une infrastructure à clé publique d’entreprise interne déployée par votre organisation et avec le traitement des demandes hors connexion. Pour plus d’informations sur l’obtention de certificats auprès d’une autorité de certification publique, consultez les exigences de certificat pour les serveurs internes dans Lync Server 2013 dans la documentation de planification. En outre, cette procédure décrit comment demander, affecter et installer des certificats lors de la configuration du serveur frontal. Si vous avez demandé des certificats à l’avance, comme décrit dans la section Demander des certificats à l’avance (facultatif) pour Lync Server 2013 de cette documentation de déploiement, ou si vous n’utilisez pas une infrastructure à clé publique d’entreprise interne déployée dans votre organisation pour obtenir des certificats, vous devez modifier cette procédure comme il convient.

Pour configurer des certificats pour un serveur frontal

  1. Dans l’Assistant Déploiement de Lync Server, cliquez sur Exécuter en regard de l’étape 3 : Demander, installer ou affecter des certificats.

  2. Dans la page Assistant Certificat, cliquez sur Demander.

  3. Dans la page Demande de certificat , cliquez sur Suivant.

  4. Dans la page Demandes différées ou immédiates, vous pouvez accepter l’option par défaut Envoyer la demande immédiatement à une autorité de certification en ligne en cliquant sur Suivant. L’autorité de certification interne avec inscription en ligne automatique doit être disponible si vous sélectionnez cette option. Si vous choisissez de mettre la demande en attente, vous serez invité à indiquer un nom et un emplacement pour enregistrer le fichier de demande de certificat. La demande de certificat doit être présentée et traitée par une autorité de certification publique ou interne à votre entreprise. Vous devrez ensuite importer la réponse de certificat et lui attribuer le rôle de certificat approprié.

  5. Dans la page Choisir une autorité de certification,sélectionnez l’autorité de certification dans la liste détectée dans votre option d’environnement, puis sélectionnez une autorité de certification connue (par le biais de l’inscription dans services de domaine Active Directory) dans la liste. Vous pouvez aussi sélectionner l’option Spécifier une autre autorité de certification, entrer le nom d’une autre autorité de certification dans la zone, puis cliquer sur Suivant.

  6. Dans la page Compte d’autorité de certification, vous êtes invité à saisir des informations d’identification pour demander et traiter la demande de certificat auprès de l’autorité de certification. Vous devez avoir déterminé si un nom d’utilisateur et un mot de passe sont nécessaires pour demander un certificat à l’avance. Votre administrateur d’autorité de certification disposera des informations requises et devra peut-être vous aider dans cette étape. Si vous devez fournir des informations d’identification de remplacement, saisissez un nom d’utilisateur et un mot de passe dans les champs de texte, puis cliquez sur Suivant.

  7. Dans la page Spécifier un autre modèle de certificat, pour utiliser le modèle de serveur web par défaut, cliquez sur Suivant.

    Remarque

    Si votre entreprise a créé un modèle à employer en remplacement du modèle d’autorité de certification de serveur web, activez la case à cocher et entrez le nom du modèle de remplacement. Vous devez utiliser le nom du modèle défini par l’administrateur de l’autorité de certification.

  8. Dans la page Paramètres de nom et de sécurité , spécifiez un nom convivial qui doit vous permettre d’identifier le certificat et l’objectif. Si vous laissez ce champ vide, un nom est créé automatiquement. Définissez la Longueur en bits de la clé ou acceptez la valeur par défaut de 2 048 bits. Sélectionnez l’option Marquer la clé privée du certificat comme exportable si vous estimez que le certificat et la clé privée doivent être déplacés ou copiés sur d’autres systèmes, puis cliquez sur Suivant.

    Remarque

    Lync Server 2013 a des exigences minimales pour une clé privée exportable. L’un de ces emplacements concerne les serveurs Edge dans un pool, où le service d’authentification du serveur relais multimédia utilise des copies du certificat au lieu de plusieurs certificats individuels pour chaque instance du pool.

  9. Dans la page Informations relatives à l’organisation, entrez éventuellement des informations sur l’organisation, puis cliquez sur Suivant.

  10. Dans la page Informations géographiques, entrez éventuellement des informations géographiques, puis cliquez sur Suivant.

  11. Dans la page Nom du sujet/Autres noms du sujet, passez en revue les autres noms du sujet à ajouter, puis cliquez sur Suivant.

  12. Dans la page Paramètre du domaine SIP, sélectionnez le domaine SIP, puis cliquez sur Suivant.

  13. Dans la page Configurer d’autres noms du sujet supplémentaires, ajoutez d’éventuels noms de sujet supplémentaires requis, dont ceux nécessaires aux futurs domaines SIP supplémentaires, puis cliquez sur Suivant.

  14. Dans la page Résumé de la demande de certificat, passez en revue les informations du résumé. Si les informations sont correctes, cliquez sur Suivant. Si vous devez corriger ou modifier un paramètre, cliquez sur Précédent pour revenir à la page correspondante afin d’y apporter la correction ou modification requise.

  15. Dans la page Exécution de commandes, cliquez sur Suivant.

  16. On the Online Certificate Request Status page, review the information returned. You should note that the certificate was issued and installed into the local certificate store. S’il est signalé comme ayant été émis et installé, mais qu’il n’est pas valide, assurez-vous que le certificat racine de l’autorité de certification a été installé dans le magasin d’autorité de certification racine de confiance du serveur. Refer to your CA documentation on how to retrieve a Trusted Root CA certificate. If you need to view the retrieved certificate, click View Certificate Details. Par défaut, la case à cocher Affecter le certificat aux utilisations des certificats Lync Server est cochée. If you want to manually assign the certificate, clear the check box, and then click Finish.

  17. Si vous avez désactivé la case à cocher Affecter le certificat aux utilisations des certificats Lync Server sur la page précédente, la page Affectation de certificat s’affiche. Cliquez sur Suivant.

  18. Dans la page Magasin de certificats, sélectionnez le certificat que vous avez demandé. Si vous souhaitez afficher le certificat, cliquez sur Afficher les détails du certificat, puis sur Suivant pour continuer.

    Remarque

    Si la page État de la demande de certificat en ligne a signalé un problème avec le certificat, tel que le certificat non valide, l’affichage du certificat réel peut aider à résoudre le problème. Il existe deux problèmes spécifiques pouvant entraîner l’invalidité d’un certificat : il manque le certificat de l’autorité de certification racine de confiance indiqué ci-dessus et il manque une clé privée associée au certificat. Consultez la documentation de votre autorité de certification pour résoudre ces deux problèmes.

  19. Dans la page Résumé de l’attribution du certificat, passez en revue les informations présentées pour vérifier qu’il s’agit bien du certificat à attribuer, puis cliquez sur Suivant.

  20. Dans la page Exécution de commandes, passez en revue le résultat de la commande. Cliquez sur Afficher le journal si vous souhaitez consulter le processus d’attribution ou en cas d’erreur ou d’avertissement. Lorsque vous avez terminé votre vérification, cliquez sur Terminer.

  21. Dans la page Assistant Certificat, vérifiez que l’état du certificat est « Affecté », puis cliquez sur Fermer.