Configurar certificados para servidores no Lync Server 2013

  • Artigo

 

Tópico última modificação: 17-03-2013

Para concluir este procedimento com êxito, você deve estar conectado como um usuário que seja membro do grupo RTCUniversalServerAdmins ou tenha as permissões corretas delegadas. Para obter detalhes sobre como delegar permissões, consulte Permissões de instalação do Delegado no Lync Server 2013. Dependendo da sua organização e dos requisitos para solicitar certificados, você pode exigir outras associações de grupo. Consulte o grupo que gerencia sua AC (autoridade de certificação) de PKI (infraestrutura de chave pública).

Nota

O Lync Server 2013 inclui suporte para o pacote SHA-2 (SHA-2 usa comprimentos de resumo de 224, 256, 384 ou 512 bits) de algoritmos de hash de resumo e assinatura para conexões de clientes que executam os sistemas operacionais Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista ou Windows XP, além do Lync Phone Edition. Para suportar o acesso externo usando o pacote do SHA-2, o certificado externo é emitido por uma AC pública que também pode emitir um certificado com a mesma extensão de disco.

Aviso

A seleção do resumo do hash e do algoritmo de assinatura dependerá do cliente e dos servidores que utilizarão o certificado, e de outros computadores e dispositivos que os clientes e servidores comunicarão a quem também deve saber como usar os algoritmos usados no certificado. Para obter informações sobre quais comprimentos de resumo têm suporte no sistema operacional e alguns aplicativos cliente, consultehttps://go.microsoft.com/fwlink/?LinkId=287002.

Cada servidor Standard Edition ou Servidor Front-End requer até quatro certificados: o certificado oAuthTokenIssuer, um certificado padrão, um certificado interno da Web e um certificado externo da Web. No entanto, é possível solicitar e atribuir um único certificado padrão com entradas de nome alternativo de entidade apropriadas, bem como o certificado oAuthTokenIssuer. Para obter detalhes sobre os requisitos de certificado, consulte Requisitos de certificado para servidores internos no Lync Server 2013. Para obter detalhes sobre como solicitar, atribuir e instalar o certificado oAuthTokenIssuer, consulte Gerenciando a autenticação de servidor para servidor (OAuth) e aplicativos de parceiros no Lync Server 2013

Use o procedimento a seguir para solicitar, atribuir e instalar o servidor Standard Edition ou certificados do Servidor Front-End. Repita o procedimento para cada Servidor Front-End.

Importante

O procedimento a seguir descreve como configurar certificados de uma PKI corporativa interna implantada por sua organização e com processamento de solicitação offline. Para obter informações sobre como obter certificados de uma AC pública, consulte Requisitos de certificado para servidores internos no Lync Server 2013 na documentação planejamento. Além disso, este procedimento descreve como solicitar, atribuir e instalar certificados durante a configuração do Servidor Front-End. Se você solicitou certificados com antecedência, conforme descrito nos certificados de solicitação com antecedência (opcional) para a seção Lync Server 2013 desta documentação de implantação, ou se você não usar uma PKI corporativa interna implantada em sua organização para obter certificados, deverá modificar esse procedimento conforme apropriado.

Para configurar certificados para um Servidor Front-End

  1. No Assistente de Implantação do Lync Server, clique em Executar ao lado da Etapa 3: Solicitar, Instalar ou Atribuir Certificados.

  2. Na página Assistente de Certificados, clique em Solicitar.

  3. Na página Solicitação de Certificado, clique em Avançar.

  4. Na página Solicitações Atrasadas ou Imediatas, é possível aceitar a opção padrão Enviar a solicitação imediatamente para uma autoridade de certificação online clicando em Avançar. A AC interna com inscrição online automática precisa estar disponível se você selecionar essa opção. Se você escolher a opção para atrasar a solicitação, receberá uma solicitação para fornecer um nome e local para salvar o arquivo de solicitação do certificado. A solicitação de certificado precisa ser apresentada a processada por uma AC dentro de sua organização ou por uma AC pública. Em seguida, será necessário importar a resposta do certificado e atribuí-la à função de certificado apropriada.

  5. Na página Escolher uma AC (Autoridade de Certificação), selecione Selecionar uma AC na lista detectada na opção de ambiente e, em seguida, selecione uma AC conhecida (por meio do registro no Active Directory Domain Services) na lista. Como alternativa, selecione a opção Especificar outra autoridade de certificação, digite o nome de outra AC na caixa e clique em Avançar.

  6. Na página Conta da Autoridade de Certificação, você deve informar as credenciais para solicitar e processar a solicitação de certificado na AC. Você deve determinar com antecedência se um nome de usuário e uma senha são necessários para solicitar um certificado. O administrador da AC terá as informações necessárias e poderá ter que ajudá-lo nesta etapa. Se precisar fornecer credenciais alternativas, marque a caixa de seleção, digite um nome de usuário e uma senha nas caixas de texto e clique em Avançar.

  7. Na página Especificar Modelo de Certificado Alternativo, para usar o modelo de Servidor da web padrão, clique em Avançar.

    Nota

    Se sua organização tiver criado um modelo para ser usado como uma alternativa para o modelo de AC padrão do Servidor da web, marque a caixa de seleção, e digite o nome do modelo alternativo. Você precisará do nome do modelo, conforme definido pelo administrador de AC.

  8. Na página Configurações de Nome e Segurança , especifique um Nome Amigável que deve permitir que você identifique o certificado e a finalidade. Se você deixar em branco, um nome será gerado automaticamente. Defina o comprimento do bit da chave ou aceite o padrão de 2.048 bits. Selecione Marcar a chave privada do certificado como exportável se você determinar que o certificado e a chave privada precisam ser movidos ou copiados para outros sistemas e clique em Avançar.

    Nota

    O Lync Server 2013 tem requisitos mínimos para uma chave privada exportável. Um exemplo disso são os Servidores de Borda em um pool, onde o Serviço de Autenticação de Media Relay usa cópias do certificado, em vez de certificados individuais para cada instância no pool.

  9. Na página Informações da Organização, forneça, opcionalmente, as informações da organização e clique em Avançar.

  10. Na página Informações Geográficas, forneça, opcionalmente, informações geográficas e clique em Avançar.

  11. Na página Nome da Entidade/Nomes Alternativos da Entidade, revise os nomes alternativos da entidade que serão adicionados e clique em Avançar.

  12. Na página Configuração do Domínio SIP, selecione o Domínio SIP e clique em Avançar.

  13. Na página Configurar Nomes Alternativos da Entidade Adicionais, adicione quaisquer nomes alternativos da entidade adicionais necessários, incluindo qualquer um que possa ser exigido para domínios SIP adicionais no futuro, e clique em Avançar.

  14. Na página Resumo da Solicitação de Certificado, revise as informações no resumo. Se as informações estiverem corretas, clique em Avançar. Se você precisar corrigir ou modificar uma configuração, clique em Voltar para a página apropriada a fim de fazer a correção ou modificação.

  15. Na página Executando Comandos, clique em Avançar.

  16. On the Online Certificate Request Status page, review the information returned. You should note that the certificate was issued and installed into the local certificate store. Se for relatado como tendo sido emitido e instalado, mas não for válido, verifique se o certificado raiz da AC foi instalado no repositório de AC raiz confiável do servidor. Refer to your CA documentation on how to retrieve a Trusted Root CA certificate. If you need to view the retrieved certificate, click View Certificate Details. Por padrão, a caixa de seleção Atribuir o certificado aos usos de certificado do Lync Server é marcada. If you want to manually assign the certificate, clear the check box, and then click Finish.

  17. Se você desmarcar a caixa de seleção Atribuir o certificado aos usos de certificado do Lync Server na página anterior, você verá a página Atribuição de Certificado. Click Next.

  18. Na página Repositório de Certificados, selecione o certificado que você solicitou. Se você quiser ver o certificado, clique em Exibir Detalhes do Certificado e clique em Avançar para continuar.

    Nota

    Se a página Status da Solicitação de Certificado Online tiver relatado um problema com o certificado, como o certificado não ser válido, a exibição do certificado real poderá ajudar a resolver o problema. Dois problemas específicos que podem fazer com que um certificado seja inválido são a ausência o certificado AC raiz confiável, mencionada anteriormente, e a ausência de uma chave privada associada ao certificado. Consulte a documentação da AC para resolver esses dois problemas.

  19. Na página Resumo de Atribuição de Certificado, examine as informações apresentadas a fim de assegurar que esse certificado deve ser atribuído e clique em Avançar.

  20. Na página Executando Comandos, revise a saída do comando. Clique em Exibir Log se você quiser revisar o processo de atribuição ou se houver um erro ou aviso. Após a conclusão da revisão, clique em Concluir.

  21. Na página Assistente de Certificado, verifique se o Status do certificado é "Atribuído" e clique em Fechar.