Konfigurieren von Zertifikaten für Server in Lync Server 2013

  • Artikel

 

Thema Letzte Änderung: 17.03.2013

Um dieses Verfahren erfolgreich abzuschließen, sollten Sie als Benutzer angemeldet sein, der Mitglied der Gruppe "RTCUniversalServerAdmins" ist oder die richtigen Berechtigungen delegiert hat. Ausführliche Informationen zum Delegieren von Berechtigungen finden Sie unter Stellvertretungs-Setupberechtigungen in Lync Server 2013. Abhängig von Ihrer Organisation und den Anforderungen für das Anfordern von Zertifikaten benötigen Sie möglicherweise andere Gruppenmitgliedschaften. Wenden Sie sich an die Gruppe, die Ihre PKI-Zertifizierungsstelle (Public Key Infrastructure) verwaltet.

Hinweis

Lync Server 2013 unterstützt die SHA-2-Suite (SHA-2 verwendet Digestlängen von 224, 256, 384 oder 512 Bit) von Digesthash- und Signaturalgorithmen für Verbindungen von Clients mit den Betriebssystemen Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista oder Windows XP sowie Lync Phone Edition. Damit der externe Zugriff über die SHA-2-Suite unterstützt wird, wird das externe Zertifikat von einer öffentlichen Zertifizierungsstelle ausgestellt, die auch ein Zertifikat mit einem Digest gleicher Bitlänge ausstellen kann.

Warnung

Die Auswahl des verwendeten Hashdigests und Signaturalgorithmus hängt von den Clients und Servern ab, die das Zertifikat verwenden sollen, sowie von den anderen Computern und Geräten, mit denen Clients und Server kommunizieren sollen, die ebenfalls imstande sein müssen, die im Zertifikat enthaltenen Algorithmen zu verwenden. Informationen dazu, welche Digestlängen im Betriebssystem und einigen Clientanwendungen unterstützt werden, finden Siehttps://go.microsoft.com/fwlink/?LinkId=287002 unter.

Jeder Standard Edition-Server oder Front-End-Server erfordert bis zu vier Zertifikate: das oAuthTokenIssuer-Zertifikat, ein Standardzertifikat, ein internes Webzertifikat und ein externes Webzertifikat. Es ist jedoch möglich, ein einzelnes Standardzertifikat mit entsprechenden Einträgen für alternative Antragstellernamen sowie das oAuthTokenIssuer-Zertifikat anzufordern und zuzuweisen. Ausführliche Informationen zu den Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für interne Server in Lync Server 2013. Ausführliche Informationen zum Anfordern, Zuweisen und Installieren des oAuthTokenIssuer-Zertifikats finden Sie unter Managing server-to-server authentication (OAuth) and partner applications in Lync Server 2013

Gehen Sie wie folgt vor, um die Standard Edition-Server- oder Front-End-Serverzertifikate anzufordern, zuzuweisen und zu installieren. Wiederholen Sie das Verfahren für jeden Front-End-Server.

Wichtig

Im folgenden Verfahren wird beschrieben, wie Sie Zertifikate von einer internen Unternehmens-PKI konfigurieren, die von Ihrer Organisation bereitgestellt wird und die Offlineanforderung verarbeitet. Informationen zum Abrufen von Zertifikaten von einer öffentlichen Zertifizierungsstelle finden Sie unter Zertifikatanforderungen für interne Server in Lync Server 2013 in der Planungsdokumentation. Außerdem wird in diesem Verfahren beschrieben, wie Sie Zertifikate während der Einrichtung des Front-End-Servers anfordern, zuweisen und installieren. Wenn Sie Zertifikate im Voraus angefordert haben, wie im Abschnitt "Zertifikate vorab anfordern" (optional) für Lync Server 2013 in dieser Bereitstellungsdokumentation beschrieben, oder wenn Sie keine in Ihrer Organisation bereitgestellte interne Unternehmens-PKI zum Abrufen von Zertifikaten verwenden, müssen Sie dieses Verfahren entsprechend ändern.

So konfigurieren Sie Zertifikate für einen Front-End-Server

  1. Klicken Sie im Lync Server-Bereitstellungs-Assistenten auf "Ausführen " neben Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikaten.

  2. Klicken Sie auf der Seite Zertifikat-Assistent auf Anfordern.

  3. Klicken Sie auf der Seite "Zertifikatanforderung " auf "Weiter".

  4. Sie können auf der Seite Verzögerte oder sofortige Anforderungen die Standardoption Anforderung unmittelbar an eine Onlinezertifizierungsstelle senden akzeptieren, indem Sie auf Weiter klicken. Bei Auswahl dieser Option muss die interne Zertifizierungsstelle mit automatischer Onlineregistrierung verfügbar sein. Wenn Sie die Option zur verzögerten Anforderung auswählen, werden Sie aufgefordert, einen Namen und einen Speicherort zur Speicherung der Zertifikatanforderungsdatei anzugeben. Die Zertifikatanforderung muss entweder von einer Zertifizierungsstelle in Ihrer Organisation oder von einer öffentlichen Zertifizierungsstelle bereitgestellt und verarbeitet werden. Anschließend müssen Sie die Zertifikatantwort importieren und der entsprechenden Zertifikatrolle zuweisen.

  5. Wählen Sie auf der Seite "Zertifizierungsstelle auswählen" die Option "Zertifizierungsstelle auswählen" aus der Liste aus, die in Ihrer Umgebung erkannt wurde, und wählen Sie dann eine bekannte Zertifizierungsstelle (durch Registrierung in Active Directory Domain Services) aus der Liste aus. Alternativ können Sie die Option Andere Zertifizierungsstelle angeben auswählen, den Namen einer anderen Zertifizierungsstelle in das Feld eingeben und auf Weiter klicken.

  6. Auf der Seite "Konto der Zertifizierungsstelle" werden Sie aufgefordert, Anmeldeinformationen zum Anfordern und Verarbeiten der Zertifikatanforderung bei der Zertifizierungsstelle einzugeben. Sie sollten ermittelt haben, ob ein Benutzername und ein Kennwort erforderlich sind, um ein Zertifikat im Voraus anzufordern. Ihr Zertifizierungsstellenadministrator verfügt über die erforderlichen Informationen und muss Sie möglicherweise in diesem Schritt unterstützen. Wenn Sie alternative Anmeldeinformationen angeben müssen, aktivieren Sie das Kontrollkästchen, geben Sie einen Benutzernamen und ein Kennwort in die Textfelder ein, und klicken Sie dann auf "Weiter".

  7. Klicken Sie auf der Seite Alternative Zertifikatvorlage angeben auf Weiter, um die standardmäßige Webservervorlage zu verwenden.

    Hinweis

    Falls Ihre Organisation eine Vorlage zur Nutzung als Alternative für die Standardvorlage für die Webserver-Zertifizierungsstelle erstellt hat, aktivieren Sie das Kontrollkästchen und geben Sie den Namen der alternativen Vorlage ein. Sie müssen den vom Zertifizierungsstellenadministrator angegebenen Vorlagennamen eingeben.

  8. Geben Sie auf der Seite "Namens- und Sicherheitseinstellungen" einen Anzeigenamen an, mit dem Sie das Zertifikat und den Zweck identifizieren können. Wenn Sie ihn leer lassen, wird automatisch ein Name generiert. Legen Sie die Bitlänge des Schlüssels fest, oder übernehmen Sie den Standardwert von 2048 Bit. Wählen Sie den privaten Schlüssel des Zertifikats als exportierbar markieren, wenn Sie feststellen, dass das Zertifikat und der private Schlüssel in andere Systeme verschoben oder kopiert werden müssen, und klicken Sie dann auf "Weiter".

    Hinweis

    Lync Server 2013 hat minimale Anforderungen für einen exportierbaren privaten Schlüssel. Eine solche Stelle befindet sich auf den Edgeservern in einem Pool, in dem der Mediarelay-Authentifizierungsdienst Kopien des Zertifikats anstelle einzelner Zertifikate für jede Instanz im Pool verwendet.

  9. Geben Sie auf der Seite Organisationsinformationen optional Informationen zu Ihrer Organisation an und klicken Sie dann auf Weiter.

  10. Geben Sie auf der Seite Geografische Informationen optional geografische Informationen an und klicken Sie dann auf Weiter.

  11. Überprüfen Sie auf der Seite Antragstellername/Alternative Antragstellernamen die alternativen Antragstellernamen, die hinzugefügt werden, und klicken Sie dann auf Weiter.

  12. Aktivieren Sie auf der Seite SIP-Domäneneinstellung die Option SIP-Domäne und klicken Sie dann auf Weiter.

  13. Geben Sie auf der Seite Weitere alternative Antragstellernamen konfigurieren zusätzlich erforderliche alternative Antragstellernamen an und klicken Sie auf Weiter.

  14. Überprüfen Sie auf der Seite Zusammenfassung über Zertifikatsanforderungen die Informationen in der Zusammenfassung. Wenn alle Informationen richtig angegeben sind, klicken Sie auf Weiter. Wenn Sie eine Einstellung korrigieren oder ändern müssen, klicken Sie auf Zurück, um zur entsprechenden Seite zu gelangen und die Korrektur oder Änderung durchzuführen.

  15. Klicken Sie auf der Seite Befehle werden ausgeführt auf Weiter.

  16. Überprüfen Sie auf der Seite " Status der Onlinezertifikatanforderung " die zurückgegebenen Informationen. Beachten Sie, dass das Zertifikat ausgestellt und im lokalen Zertifikatspeicher installiert wurde. Wenn gemeldet wird, dass es ausgestellt und installiert, aber ungültig ist, stellen Sie sicher, dass das Ca-Stammzertifikat im Speicher der vertrauenswürdigen Stammzertifizierungsstelle des Servers installiert wurde. Informationen zum Abrufen eines Zertifikats für eine vertrauenswürdige Stammzertifizierungsstelle finden Sie in der Ca-Dokumentation. Wenn Sie das abgerufene Zertifikat anzeigen müssen, klicken Sie auf "Zertifikatdetails anzeigen". Standardmäßig ist das Kontrollkästchen zum Zuweisen des Zertifikats zu Lync Server-Zertifikatverwendungen aktiviert. Wenn Sie das Zertifikat manuell zuweisen möchten, deaktivieren Sie das Kontrollkästchen, und klicken Sie dann auf Fertig stellen.

  17. Wenn Sie das Kontrollkästchen zum Zuweisen des Zertifikats zu Lync Server-Zertifikatverwendungen auf der vorherigen Seite deaktiviert haben, wird die Seite " Zertifikatzuweisung " angezeigt. Klicken Sie auf Weiter.

  18. Wählen Sie auf der Seite Zertifikatspeicher das von Ihnen angeforderte Zertifikat aus. Klicken Sie auf Zertifikatdetails anzeigen, wenn Sie das Zertifikat anzeigen möchten, und klicken Sie zum Fortfahren auf Weiter.

    Hinweis

    Wenn auf der Seite " Status der Onlinezertifikatanforderung " ein Problem mit dem Zertifikat gemeldet wurde, z. B. das Zertifikat nicht gültig ist, kann das Anzeigen des tatsächlichen Zertifikats bei der Behebung des Problems helfen. Zwei häufige Ursachen dafür, dass ein Zertifikat als ungültig angezeigt wird, sind das zuvor erwähnte fehlende Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle und ein fehlender privater Schlüssel, der dem Zertifikat zugeordnet ist. Informationen zur Lösung dieser beiden Probleme finden Sie in der Dokumentation der Zertifizierungsstelle.

  19. Überprüfen Sie anhand der Informationen auf der Seite Zusammenfassung der Zertifikatzuweisung, dass es sich um das zuzuweisende Zertifikat handelt, und klicken Sie dann auf Weiter.

  20. Überprüfen Sie auf der Seite Befehle werden ausgeführt die Befehlsausgabe. Klicken Sie auf Protokoll anzeigen, um zu überprüfen, ob bei der Zuweisung Fehler oder Warnungen ausgegeben wurden. Klicken Sie nach der Überprüfung auf Fertig stellen.

  21. Überprüfen Sie auf der Seite " Zertifikat-Assistent ", ob der Status des Zertifikats "Zugewiesen" lautet, und klicken Sie dann auf "Schließen".