• Article

Modification de certificats pour la mobilité

 

Dernière rubrique modifiée : 2011-11-15

Les certificats pour votre mise à jour cumulative pour Lync Server 2010 de novembre 2011 et le proxy inverse requièrent des entrées supplémentaires d’autres noms de sujet afin de prendre en charge les connexions sécurisées avec les clients mobiles. Pour plus de détails sur les exigences de certificats pour la mobilité, voir pool de directeurspool de serveurs frontauxConditions préalables techniques pour la mobilité.

Mettez à jour les certificats après avoir installé le nouveau service de mobilité de Microsoft Lync Server 2010 ou après avoir exécuté l’applet de commande Set-CsWebServer pour définir les ports pour le service de mobilité.

L’applet de commande Set-CsCertificate valide les autres noms de sujet et renvoie un avertissement si un autre nom de sujet pour le nom de domaine complet externe ou interne de Microsoft Lync Server 2010 est manquant. Si l’applet de commande détecte un autre nom de sujet manquant, vous devez exécuter l’applet de commande Request-CsCertificate. Pour exécuter cette applet de commande localement, vous devez être un administrateur local et disposer de droits sur l’autorité de certification spécifiée.

importantImportant :
Il existe une exception : lorsque l’enregistrement DNS (Domain Name System) externe est un enregistrement A (hôte). Dans ce cas, si vous exécutez l’applet de commande Set-CsCertificate sur un directeur, elle ne renvoie pas d’avertissement concernant un autre nom de sujet manquant pour le service de découverte automatique externe (lyncdiscover.<domaineSIP>).

Pour mettre à jour les certificats avec de nouveaux autres noms de sujet

  1. Ouvrez une session sur l’ordinateur à l’aide d’un compte disposant de droits et d’autorisations d’administrateur local.

  2. Démarrez Lync Server Management Shell : cliquez successivement sur Démarrer , Tous les programmes , Microsoft Lync Server 2010, puis Lync Server Management Shell.

  3. Déterminez les certificats qui ont été assignés au serveur et pour quel type d’utilisation. Vous aurez besoin de ces informations lors de l’étape suivante afin d’assigner le certificat mis à jour. Sur la ligne de commande, tapez ce qui suit :

    Get-CsCertificate

  4. Examinez la sortie de l’étape précédente pour déterminer si un même certificat est assigné à plusieurs utilisations ou si un certificat différent est assigné à chaque utilisation. Observez le paramètre Use pour savoir comment un certificat est utilisé. Comparez le paramètre Thumbprint des certificats affichés pour savoir si le même certificat a plusieurs utilisations.

  5. Mettez à jour le certificat. Sur la ligne de commande, tapez ce qui suit :

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>

    Par exemple, si l’applet de commande Get-CsCertificate affichait un certificat avec comme utilisation « Default », un autre avec comme utilisation « WebServicesInternal  et un autre avec comme utilisation « WebServicesExternal » et que tous avaient la même valeur Thumbprint, tapez ce qui suit sur la ligne de commande :

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

    Important :

    Si un certificat différent est assigné pour chaque utilisation (la valeur de Thumbprint est différent pour chaque certificat), il ne faut surtout pas exécuter l’applet de commande Set-CsCertificate avec plusieurs types. Exécutez plutôt l’applet de commande Set-CsCertificate séparément pour chaque utilisation. Par exemple :

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

  6. Si un autre nom de sujet du service de découverte automatique est manquant, procédez comme suit :

    • Pour un autre nom de sujet du service de découverte automatique interne manquant, tapez ce qui suit sur la ligne de commande :

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez ce paramètre, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • Pour un autre nom de sujet du service de découverte automatique externe manquant, tapez ce qui suit sur la ligne de commande :

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      Si vous avez de nombreux domaines SIP, vous ne pouvez pas utiliser le nouveau paramètre AllSipDomain. Au lieu de cela, vous devez utiliser le paramètre DomainName. Lorsque vous utilisez ce paramètre, vous devez utiliser un préfixe approprié pour le nom de domaine complet du domaine SIP. Par exemple :

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose