Einrichten der Zertifikate für die externe Edgeschnittstelle für Lync Server 2013

  • Artikel

 

Thema Letzte Änderung: 08.09.2012

Wichtig

Wenn Sie den Zertifikat-Assistenten ausführen, stellen Sie sicher, dass Sie mit einem Konto angemeldet sind, das Mitglied einer Gruppe ist, dem die entsprechenden Berechtigungen für den Typ der Zertifikatvorlage zugewiesen wurden, die Sie verwenden werden. Standardmäßig verwendet eine Lync Server-Zertifikatanforderung die Webserver-Zertifikatvorlage. Wenn Sie ein Konto verwenden, das Mitglied der Gruppe "RTCUniversalServerAdmins" ist, um ein Zertifikat mithilfe dieser Vorlage anzufordern, überprüfen Sie, ob der Gruppe die registrierungsberechtigungen zugewiesen wurden, die für die Verwendung dieser Vorlage erforderlich sind.

Jeder Edgeserver benötigt ein öffentliches Zertifikat auf der Schnittstelle zwischen dem Umkreisnetzwerk und dem Internet, und der alternative Antragstellername des Zertifikats muss die externen Namen des Access Edge-Diensts und vollqualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs) des Webkonferenz-Edgediensts enthalten.

Ausführliche Informationen zu diesen und anderen Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für den Zugriff externer Benutzer in Lync Server 2013.

Eine Liste der öffentlichen Zertifizierungsstellen(CAs), die Zertifikate bereitstellen, die bestimmte Anforderungen für Unified Communications-Zertifikate erfüllen und mit Microsoft zusammenarbeiten, um sicherzustellen, dass sie mit dem Zertifikat-Assistenten von Lync Server 2013 arbeiten, finden Sie im Microsoft Knowledge Base-Artikel 929395 "Unified Communications Certificate Partners for Exchange Server and for Communications Server" unter https://go.microsoft.com/fwlink/p/?linkId=202834.

Konfigurieren von Zertifikaten für die externen Schnittstellen

Verwenden Sie die Verfahren in diesem Abschnitt, um ein Zertifikat auf der externen Edgeschnittstelle an einem Standort einzurichten, um Folgendes zu tun:

  • Erstellen Sie die Zertifikatanforderung für die externe Schnittstelle des Edgeservers.

  • Senden Sie die Anforderung an Ihre öffentliche Zertifizierungsstelle.

  • Importieren Sie das Zertifikat für die externe Schnittstelle jedes Edgeservers.

  • Weisen Sie das Zertifikat für die externe Schnittstelle jedes Edgeservers zu.

  • Wenn Ihre Bereitstellung mehrere Edgeserver umfasst, exportieren Sie das Zertifikat zusammen mit seinem privaten Schlüssel, und kopieren Sie es dann auf die anderen Edgeserver. Importieren Sie ihn dann für jeden Edgeserver, und weisen Sie ihn wie zuvor beschrieben zu. Wiederholen Sie dieses Verfahren für jeden Edgeserver.

Sie können öffentliche Zertifikate direkt von einer öffentlichen Zertifizierungsstelle anfordern (z. B. von der Website einer öffentlichen Zertifizierungsstelle). Die Verfahren in diesem Abschnitt verwenden den Zertifikat-Assistenten für die meisten Zertifikataufgaben. Wenn Sie sich entschieden haben, ein Zertifikat direkt von einer öffentlichen Zertifizierungsstelle anzufordern, müssen Sie jedes Verfahren entsprechend ändern, um das Zertifikat anzufordern, zu übertragen und zu importieren sowie um die Zertifikatkette zu importieren.

Wenn Sie ein Zertifikat von einer externen Zertifizierungsstelle anfordern, müssen die angegebenen Anmeldeinformationen über die Berechtigung zum Anfordern eines Zertifikats von dieser Zertifizierungsstelle verfügen. Jede Zertifizierungsstelle verfügt über eine Sicherheitsrichtlinie, die definiert, welche Anmeldeinformationen (d. h. bestimmte Benutzer- und Gruppennamen) Zertifikate anfordern, ausstellen, verwalten oder lesen dürfen.

Wenn Sie die Microsoft Management Console (MMC) für Zertifikate zum Importieren der Zertifikatkette und des Zertifikats verwenden möchten, müssen Sie sie in den Zertifikatspeicher für den Computer importieren. Wenn Sie sie in den Benutzer- oder Dienstzertifikatspeicher importieren, steht das Zertifikat im Zertifikat-Assistenten von Lync Server 2013 nicht zur Verfügung.

So erstellen Sie die Zertifikatanforderung für die externe Schnittstelle des Edgeservers

  1. Klicken Sie auf dem Edgeserver im Bereitstellungs-Assistenten neben Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikaten erneut auf "Ausführen".

    Hinweis

    Wenn Ihre Organisation die Verbindung mit AOL (Public Instant Messaging) unterstützen möchte, können Sie den Lync Server-Bereitstellungs-Assistenten nicht verwenden, um das Zertifikat anzufordern. Führen Sie stattdessen die Schritte im Verfahren "So erstellen Sie eine Zertifikatanforderung für die externe Schnittstelle des Edgeservers zur Unterstützung der öffentlichen Chatkonnektivität mit AOL" weiter unten in diesem Thema aus.
    Wenn Sie mehrere Edgeserver an einem Ort in einem Pool haben, können Sie den Zertifikat-Assistenten von Lync Server 2013 auf einem der Edgeserver ausführen.

  2. Klicken Sie auf der Seite Verfügbare Zertifikataufgaben auf Neue Zertifikatsanforderung erstellen.

  3. Klicken Sie auf der Seite " Zertifikatanforderung " auf "Externes Edgezertifikat".

  4. Aktivieren Sie auf der Seite "Verzögerte oder sofortige Anforderung " das Kontrollkästchen "Anforderung jetzt vorbereiten", senden Sie sie aber später .

  5. Geben Sie auf der Seite " Zertifikatanforderungsdatei " den vollständigen Pfad und Dateinamen der Datei ein, in der die Anforderung gespeichert werden soll (z. B. "c:\cert_exernal_edge.cer").

  6. Aktivieren Sie auf der Seite "Alternative Zertifikatvorlage angeben " das Kontrollkästchen " Alternative Zertifikatvorlage für die ausgewählte Zertifizierungsstelle verwenden", um eine andere Vorlage als die Standardvorlage "WebServer" zu verwenden.

  7. Führen Sie auf der Seite "Namens- und Sicherheitseinstellungen" die folgenden Schritte aus:

    • Geben Sie unter "Anzeigename" einen Anzeigenamen für das Zertifikat ein.

    • Geben Sie in "Bitlänge" die Bitlänge an (in der Regel der Standardwert von 2048).

    • Stellen Sie sicher, dass das Kontrollkästchen " Zertifikat als exportierbar markieren " aktiviert ist.

  8. Geben Sie auf der Seite "Organisationsinformationen " den Namen für die Organisation und die Organisationseinheit (z. B. eine Abteilung oder Abteilung) ein.

  9. Geben Sie auf der Seite "Geografische Informationen " die Standortinformationen an.

  10. Auf der Seite " Antragstellername/Alternative Antragstellernamen " werden die Informationen angezeigt, die vom Assistenten automatisch ausgefüllt werden sollen. Wenn weitere alternative Antragstellernamen erforderlich sind, geben Sie diese in den nächsten beiden Schritten an.

  11. Aktivieren Sie auf der Seite "SIP Domain Setting on Subject Alternate Names (SANs) " das Kontrollkästchen "Domäne", um einen SIP hinzuzufügen.< sipdomain> entry to the subject alternative names list.

  12. Geben Sie auf der Seite "Zusätzliche alternative Antragstellernamen konfigurieren " alle zusätzlichen alternativen Antragstellernamen an, die erforderlich sind.

  13. Überprüfen Sie auf der Seite "Anforderungszusammenfassung " die Zertifikatinformationen, die zum Generieren der Anforderung verwendet werden sollen.

  14. Führen Sie die folgenden Schritte aus, nachdem die Befehle ausgeführt wurden:

    • Um das Protokoll für die Zertifikatanforderung anzuzeigen, klicken Sie auf "Protokoll anzeigen".

    • Klicken Sie auf 'Weiter', um die Zertifikatanforderung abzuschließen.

  15. Führen Sie auf der Seite " Zertifikatanforderungsdatei " die folgenden Schritte aus:

    • Klicken Sie auf 'Ansicht', um die generierte CSR-Datei (Certificate Signing Request) anzuzeigen.

    • Klicken Sie auf Fertig stellen, um den Assistenten zu schließen.

  16. Kopieren Sie die Ausgabedatei an einen Speicherort, an den Sie sie an die öffentliche Zertifizierungsstelle übermitteln können.

So erstellen Sie eine Zertifikatanforderung für die externe Schnittstelle des Edgeservers zur Unterstützung der Verbindung öffentlicher Chatnachrichten mit AOL

  1. Wenn die erforderliche Vorlage für die Zertifizierungsstelle verfügbar ist, verwenden Sie das folgende Windows PowerShell Cmdlet auf dem Edgeserver, um das Zertifikat anzufordern:

    Request-CsCertificate -New -Type AccessEdgeExternal  -Output C:\ <certfilename.txt or certfilename.csr>  -ClientEku $true -Template <template name>

    Der Standardzertifikatname der in Lync Server 2013 bereitgestellten Vorlage ist "Webserver". Geben Sie den <Vorlagennamen> nur an, wenn Sie eine Vorlage verwenden müssen, die sich von der Standardvorlage unterscheidet.

    Hinweis

    Wenn Ihre Organisation die Verbindung mit öffentlichen Chatnachrichten mit AOL unterstützen möchte, müssen Sie Windows PowerShell anstelle des Zertifikat-Assistenten verwenden, um anzufordern, dass das Zertifikat dem externen Edge für den Zugriffs-Edgedienst zugewiesen wird. Dies liegt daran, dass die Lync Server 2013-Webservervorlage, die der Zertifikat-Assistent zum Anfordern eines Zertifikats verwendet, die Client-EKU-Konfiguration nicht unterstützt. Bevor Windows PowerShell zum Erstellen des Zertifikats verwendet wird, muss der Zertifizierungsstellenadministrator eine neue Vorlage erstellen und bereitstellen, die Client-EKU unterstützt.

So übermitteln Sie eine Anforderung an eine öffentliche Zertifizierungsstelle

  1. Öffnen Sie die Ausgabedatei.

  2. Kopieren Sie den Inhalt der Zertifikatsignaturanforderung (Certificate Signing Request, CSR), und fügen Sie ihn ein.

  3. Wenn Sie dazu aufgefordert werden, geben Sie Folgendes an:

    • Microsoft als Serverplattform.

    • IIS als Version.

    • Webserver als Verwendungstyp.

    • PKCS7 als Antwortformat.

  4. Wenn die öffentliche Zertifizierungsstelle Ihre Informationen überprüft hat, erhalten Sie eine E-Mail-Nachricht mit text, der für Ihr Zertifikat erforderlich ist.

  5. Kopieren Sie den Text aus der E-Mail-Nachricht, und speichern Sie den Inhalt in einer Textdatei (.txt) auf Ihrem lokalen Computer.

So importieren Sie das Zertifikat für die externe Schnittstelle des Edgeservers

  1. Melden Sie sich als Mitglied der Gruppe "Administratoren" auf demselben Edgeserver an, auf dem Sie die Zertifikatanforderung erstellt haben.

  2. Klicken Sie im Bereitstellungs-Assistenten auf der Seite "Edgeserver bereitstellen " neben Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikatenerneut auf "Ausführen".

  3. Klicken Sie auf der Seite "Verfügbare Zertifikataufgaben " auf "Importieren eines Zertifikats aus einer P7B-, PFX- oder CER-Datei".

  4. Klicken Sie auf der Seite "Zertifikat importieren " auf " Durchsuchen ", um das Zertifikat zu suchen und auszuwählen, das Sie für die externe Schnittstelle des Edgeservers angefordert haben (oder Sie können den vollständigen Pfad und Dateinamen eingeben). Wenn das Zertifikat einen privaten Schlüssel enthält, wählen Sie "Zertifikatdatei enthält den privaten Schlüssel des Zertifikats " aus, und geben Sie das Kennwort für den privaten Schlüssel ein. Klicken Sie auf Weiter.

  5. Überprüfen Sie auf der Seite " Zertifikatzusammenfassung importieren " die Zusammenfassung, und klicken Sie dann auf "Weiter".

  6. Überprüfen Sie bei der Ausführung von Befehlen die Ergebnisse des Imports, klicken Sie auf "Protokoll anzeigen ", um weitere Informationen nach Bedarf anzuzeigen, und klicken Sie dann auf "Fertig stellen ", um den Zertifikatimport abzuschließen.

  7. Wenn Sie einen Edgeserverpool konfigurieren, exportieren Sie das Zertifikat mit seinem privaten Schlüssel, wie im Verfahren "Exportieren des Zertifikats mit dem privaten Schlüssel für Edgeserver in einem Pool" weiter unten in diesem Thema beschrieben. Kopieren Sie die exportierte Zertifikatdatei auf die anderen Edgeserver, und importieren Sie sie in den Computerspeicher auf jedem Edgeserver.

So exportieren Sie das Zertifikat mit dem privaten Schlüssel für Edgeserver in einem Pool

  1. Melden Sie sich als Mitglied der Gruppe "Administratoren" auf demselben Edgeserver an, auf dem Sie das Zertifikat importiert haben.

  2. Klicken Sie auf "Start", klicken Sie auf "Ausführen", und geben Sie MMC ein.

  3. Klicken Sie in der Microsoft Management Console (MMC)-Konsole auf "Datei" und dann auf " Snap-In hinzufügen/entfernen".

  4. Klicken Sie in "Snap-Ins hinzufügen" oder "Entfernen" auf "Zertifikate" und dann auf "Hinzufügen".

  5. Wählen Sie im Dialogfeld "Zertifikate " die Option " Computerkonto" aus, klicken Sie auf "Weiter", wählen Sie "Lokaler Computer" aus: (der Computer, auf dem diese Konsole ausgeführt wird) in " Computer auswählen", klicken Sie auf "Fertig stellen ", und klicken Sie dann auf "OK ", um die Konfiguration der MMC-Konsole abzuschließen.

  6. Doppelklicken Sie auf Zertifikate (lokaler Computer), um die Zertifikatspeicher zu erweitern, doppelklicken Sie auf "Persönlich", und doppelklicken Sie dann auf "Zertifikate".

    Wichtig

    Wenn im Zertifikatspeicher für den lokalen Computer keine Zertifikate vorhanden sind, ist dem importierten Zertifikat kein privater Schlüssel zugeordnet. Überprüfen Sie die Anforderungs- und Importschritte. Wenn das Problem weiterhin besteht, wenden Sie sich an den Administrator oder Anbieter Ihrer Zertifizierungsstelle.

  7. Klicken Sie im Speicher "Persönliche Zertifikate" für den lokalen Computer mit der rechten Maustaste auf das Zertifikat, das Sie exportieren, klicken Sie auf "Alle Aufgaben", und klicken Sie dann auf "Exportieren".

  8. Klicken Sie im Zertifikatexport-Assistenten auf "Weiter", wählen Sie "Ja" aus, exportieren Sie den privaten Schlüssel, und klicken Sie dann auf "Weiter".

    Hinweis

    Wenn die Auswahl "Ja" ist, ist der private Schlüssel nicht verfügbar, der private Schlüssel, der diesem Zertifikat zugeordnet ist, wurde nicht für den Export markiert. Sie müssen das Zertifikat erneut anfordern und sicherstellen, dass das Zertifikat markiert ist, um den Export des privaten Schlüssels zu ermöglichen, bevor Sie den Export fortsetzen können. Wenden Sie sich an den Administrator oder Anbieter Ihrer Zertifizierungsstelle.

  9. Wählen Sie im Dialogfeld "Dateiformate exportieren" die Option "Austausch persönlicher Informationen – PKCS#12 (. PFX) aus, und wählen Sie dann Folgendes aus:

    • Wenn möglich, alle Zertifikate in den Zertifizierungspfad einschließen

    • Exportieren aller erweiterten Eigenschaften

      Warnung

      Wählen Sie beim Exportieren des Zertifikats von einem Edgeserver nicht "Privaten Schlüssel löschen" aus, wenn der Export erfolgreich ist. Wenn Sie diese Option auswählen, müssen Sie das Zertifikat und den privaten Schlüssel auf diesen Edgeserver importieren.

  10. Klicken Sie auf Weiter.

  11. Geben Sie ein Kennwort für den privaten Schlüssel ein, geben Sie das Kennwort erneut ein, um dies zu bestätigen, und klicken Sie dann auf Weiter.

  12. Geben Sie einen Pfad und einen Dateinamen für das exportierte Zertifikat ein, wobei Sie die Dateierweiterung .pfx verwenden. Der Pfad muss entweder für alle anderen Edgeserver im Pool zugänglich sein oder über Wechselmedien , z. B. einen USB-Speicherstick, transportierbar sein. Klicken Sie auf Weiter.

  13. Überprüfen Sie die Zusammenfassung unter "Abschließen des Zertifikatexport-Assistenten", und klicken Sie dann auf "Fertig stellen".

  14. Klicken Sie im Dialogfeld "Erfolgreicher Export" auf "OK".

  15. Importieren Sie die exportierte Zertifikatdatei auf die anderen Edgeserver, indem Sie die Schritte ausführen, die im Verfahren "Importieren des Zertifikats für die externe Schnittstelle des Edgeservers" weiter oben in diesem Thema beschrieben sind.

So weisen Sie das Zertifikat für die externe Schnittstelle des Edgeservers zu

  1. Klicken Sie auf jedem Edgeserver im Bereitstellungs-Assistenten neben Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikaten erneut auf "Ausführen".

  2. Klicken Sie auf der Seite "Verfügbare Zertifikataufgaben " auf "Vorhandenes Zertifikat zuweisen".

  3. Klicken Sie auf der Seite " Zertifikatzuweisung " auf " Externes Edgezertifikat ", und aktivieren Sie das Kontrollkästchen "Erweiterte Zertifikatverwendungen ".

  4. Aktivieren Sie auf der Seite "Erweiterte Zertifikatverwendungen " alle Kontrollkästchen, um das Zertifikat für alle Verwendungen zuzuweisen.

  5. Wählen Sie auf der Seite " Zertifikatspeicher " das öffentliche Zertifikat aus, das Sie für die externe Schnittstelle des Edgeservers angefordert und importiert haben.

    Hinweis

    Wenn das von Ihnen angeforderte und importierte Zertifikat nicht in der Liste enthalten ist, besteht eine der Methoden zur Problembehebung darin, zu überprüfen, ob der Antragstellername und alternative Antragstellernamen des Zertifikats alle Anforderungen für das Zertifikat erfüllen, und wenn Sie das Zertifikat und die Zertifikatkette manuell importiert haben, anstatt die vorstehenden Verfahren zu verwenden, dass sich das Zertifikat im richtigen Zertifikatspeicher (dem Computerzertifikatspeicher, nicht der Benutzer- oder Dienstzertifikatspeicher).

  6. Überprüfen Sie auf der Seite " Zertifikatzuweisungszusammenfassung " Ihre Einstellungen, und klicken Sie dann auf "Weiter ", um die Zertifikate zuzuweisen.

  7. Klicken Sie auf der Seite zum Abschließen des Assistenten auf Fertig stellen.

  8. Nachdem Sie dieses Verfahren zum Zuweisen des Edgezertifikats verwendet haben, öffnen Sie das Zertifikat-Snap-In auf jedem Server, erweitern Sie Zertifikate (lokaler Computer), erweitern Sie "Persönlich", klicken Sie auf "Zertifikate", und überprüfen Sie dann im Detailbereich, ob das Zertifikat aufgeführt ist.

  9. Wenn Ihre Bereitstellung mehrere Edgeserver umfasst, wiederholen Sie dieses Verfahren für jeden Edgeserver.