Проверка и настройка проверки подлинности и сертификатов для виртуальных каталогов IIS в Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2012-05-25

Выполните следующую процедуру, чтобы настроить сертификат в виртуальных каталогах СЛУЖБ IIS или убедиться, что сертификат настроен правильно. Выполните следующую процедуру на каждом сервере, на котором выполняются службы IIS во внутреннем пуле серверов Lync и на необязательных серверах пула Директор или Директор.

Примечание.

В следующей процедуре определяется процедура запроса объединенного сертификата, который используется для всех целей Lync Server, внутреннего веб-сайта и внешнего веб-сайта в IIS. В Lync Server 2010 представлен набор командлетов командлетов командной консоли Lync Server Windows PowerShell для управления запросом, импортом и назначением сертификатов. В процедуре предполагается, что существует внутренне развернутый центр сертификации (ЦС), который может обрабатывать запрос. Если вы используете общедоступные сертификаты для своего сервера Lync Server или ЦС требует автономного запроса, см. подробный синтаксис в этом разделе для получения сведений о параметре –Output. Request-CsCertificate

Настройка проверки подлинности и сертификатов в виртуальных каталогах IIS

  1. Для успешного выполнения следующих действий необходимо войти на компьютер (сервер переднего плана или директор), на котором установлены веб-службы, и быть локальным администратором. У вас должны быть разрешения на чтение и регистрацию в центре сертификации, из которого будут запрашиваться сертификаты, если центр сертификации является центром сертификации вашей организации. Если вы настроите и отправите автономный запрос на сертификат, разрешения для центра сертификации не требуются.

  2. Нажмите кнопку "Пуск", выберите "Все программы" , выберите "Администрирование" и "Диспетчер служб IIS".

  3. В диспетчере служб IIS выберитеServerName. В представлении "Компоненты" выберите "Сертификаты сервера", щелкните правой кнопкой мыши и выберите команду "Открыть компонент".

    Совет

    В представлении компонентов сертификатов сервера, если серверу назначены сертификаты, они будут отображаться здесь. Если существует сертификат, соответствующий требованиям внешнего веб-сайта в IIS, вы можете повторно использовать этот сертификат. Чтобы просмотреть сертификат, щелкните его правой кнопкой мыши и выберите пункт "Вид"...

  4. На сервере переднего плана или директоре, для которого запрашиваются сертификаты, нажмите кнопку "Пуск ", выберите "Все программы ",выберите Microsoft Lync Server 2013 и щелкните Lync Server Management Shell.

  5. В командной консоли Lync Server введите следующее:

    Get-CsCertificate

    Выходные данные — это список сертификатов, которые в настоящее время находятся на сервере в хранилище сертификатов Computer Personal. Обратите внимание, что в объединенном сертификате (то есть, где по умолчанию внутренние веб-службы и внешние веб-службы используют один и тот же сертификат) вы увидите, что свойство Use будет заполнено значениями Default, WebServicesInternal и WebServicesExternal. Кроме того, свойство Thumbprint будет одинаковым для каждого типа use. Пример выходных данных Get-CsCertificate показан в этом примере:

    Get-CsCertificate info on current scert status

  6. В командной консоли Lync Server введите следующее:

    Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -CA <CA Server FQDN\CA Instance> -Verbose -DomainName "<FQDN entries to be added to the Subject Alternative Name>"

    Полная команда будет выглядеть, как показано в следующем примере:

    Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -CA dc01.contoso.net\contoso-DC01-CA -Verbose -DomainName "LyncdiscoverInternal.Contoso.com,Lyncdiscover.Contoso.com"

    Совет

    По умолчанию Request-CsCertificate заполнит имя субъекта именем сервера или пула и заполнит в альтернативном имени субъекта полное доменное имя сервера, полное доменное имя пула, полные доменные имена простых URL-адресов и полные доменные имена внутренних и внешних веб-служб. Это делается путем ссылки на документ топологии в развертывании. Если отсутствует значение и вы указали параметр –Verbose, вы будете получать уведомления о том, что вычисляемые и фактические значения для альтернативных имен отличаются, но оно не сообщает о том, какие значения отсутствуют. Он предоставляет все вычисленное значение, на которое ссылается командлет. Используйте вычисляемую строку альтернативных имен в выходных данных, чтобы повторно запросить новый сертификат, который будет содержать все значения.

    Выходные данные запроса сертификата с помощью request-CsCertifica

  7. В командной консоли Lync Server введите следующее:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Thumbprint of certificate to use>

    Полная команда будет выглядеть, как показано в следующем примере:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint 466D9BB0E8B928B65AF38FA2D9F41E1B301ECE9D

    В выходных данных командлета Set-CsCertificate будет показано, что один и тот же сертификат (определенный отпечатком сертификата) назначается для использования по умолчанию, WebServicesExternal и WebServicesInternal.

    Выходные данные Set-CsCertificate выходных данных IIS WebExt

Проверка или настройка проверки подлинности и сертификатов в виртуальных каталогах IIS

  1. Нажмите кнопку "Пуск", выберите "Все программы" , выберите "Администрирование" и "Диспетчер служб IIS".

  2. В диспетчере служб IIS разверните имя сервера, а затем — " Сайты".

  3. Щелкните правой кнопкой мыши внешний веб-сайт Lync Server и выберите команду "Изменить привязки".

  4. Убедитесь, что https связан с портом 4443, и нажмите кнопку HTTPS.

  5. Выберите запись HTTPS, нажмите кнопку "Изменить", а затем убедитесь, что Lync Server WebServicesExternalCertificate привязан к этому протоколу. Сравните отпечаток Set-CsCertificate командлета, чтобы убедиться, что ожидаемый сертификат правильно связан с привязкой HTTPS.