Request-CsCertificate
Letztes Änderungsdatum des Themas: 2012-04-23
Ermöglicht die Anforderung von Zertifikaten für die Verwendung mit Servern mit Microsoft Lync Server 2010 und Serverrollen. Ermöglicht es zudem, den Status von vorhandenen Zertifikatsanforderungen zu prüfen und ggf. eine oder alle dieser Anforderungen abzubrechen.
Syntax
Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
Mit Zertifikaten können Server und Serverrollen in Lync Server 2010 ihre Identitätswerte überprüfen. Beispielsweise überprüft ein Edgeserver mithilfe von Zertifikaten, ob der Computer, mit dem er kommuniziert, tatsächlich ein Front-End-Server ist (und umgekehrt). Für eine vollständige Implementierung von Lync Server müssen den Serverrollen die entsprechenden Zertifikate zugewiesen werden.
Sie können Zertifikate für Lync Server zum einen durch den Aufruf des Cmdlets Request-CsCertificate anfordern. Zur Anforderung von Zertifikaten für die Verwendung mit Lync Server können auch andere Windows-Standardtools verwendet werden. Ein wesentlicher Vorteil des Cmdlets Request-CsCertificate besteht jedoch darin, dass das Cmdlet vor der Kontaktaufnahme mit der Zertifizierungsstelle Ihre Topologie analysiert. Anhand dieser Analyse fordert Request-CsCertificate automatisch ein Zertifikat mit den Feldern für den Antragstellernamen und den alternativen Antragstellernamen an.
Request-CsCertificate wurde speziell für die Anforderung von Zertifikaten zur Verwendung mit Lync Server konzipiert. Es dient nicht als allgemeines Zertifikatverwaltungstool.
Mit diesem Cmdlet können Sie nicht nur neue Zertifikate anfordern, Sie können auch ausstehende Zertifikatsanforderungen überprüfen, vorausgesetzt, die Zertifikate wurden mit Request-CsCertificate angefordert. Mit Request-CsCertificate können Sie auch ausstehende Zertifikatsanforderungen löschen, sofern diese Zertifikate mit dem Cmdlet angefordert wurden.
Eine Zertifikatsanforderung kann zu einer Fehlermeldung führen, wenn abgelehnte Anforderungen vorliegen. Derzeit unterstützt Request-CsCertificate nur diese Anforderungstypen: Issued, Denied, Pending. Wenn es aufgrund einer abgelehnten Anforderung zu Problemen kommt, verwenden Sie einen Befehl wie den folgenden, um die abgelehnte Anforderung zu löschen (hierbei entspricht 224 der Anforderungs-ID der abgelehnten Zertifikatsanforderung):
Request-CsCertificate –Clear –RequestID 224
Nach Ausführung dieses Befehls sollten Sie Zertifikate anfordern können.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Sie müssen Mitglied der lokalen Administratorengruppe sein und über Rechte für die angegebene Zertifizierungsstelle verfügen, um das Cmdlet Request-CsCertificate lokal ausführen zu können. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Type |
Erforderlich |
Zeichenfolge |
Typ des angeforderten Zertifikats. Zu den Zertifikatstypen gehören u. a. die folgenden: AccessEdgeExternal AudioVideoAuthentication DataEdgeExternal Default External Internal iPhoneAPNService iPadAPNService MPNService PICWebService (nur Microsoft Lync Online 2010) ProvisionService (nur Microsoft Lync Online 2010) WebServicesExternal WebServicesInternal WsFedTokenTransfer Mit dieser Syntax wird beispielsweise ein neues Standardzertifikat angefordert: -Type Default. Sie können in einem einzelnen Befehl mehrere Typen angeben, indem Sie die Zertifikatstypen durch Kommata abtrennen: -Type Internal,External,Default |
CA |
Optional |
Zeichenfolge |
Der vollqualifizierte Domänenname (FQDN), der auf die Zertifizierungsstelle verweist. Beispiel: -CA "atl-ca-001.litwareinc.com\myca". Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein, und drücken Sie die Eingabetaste, um eine Liste der bekannten Zertifizierungsstellen abzurufen: certutil Die von "Certutil" zurückgegebene Eigenschaft "Config" gibt die Adresse einer Zertifizierungsstelle an. |
CaAccount |
Optional |
Zeichenfolge |
Kontoname des Benutzers, der das neue Zertifikat anfordert, im Format "Domänenname\Benutzername". Beispiel: -CaAccount "litwareinc\kenmyer". Wenn dieser Wert nicht angegeben wird, verwendet Request-CsCertificate bei der Anforderung des neuen Zertifikats die Anmeldeinformationen des angemeldeten Benutzers. |
CaPassword |
Optional |
Zeichenfolge |
Kennwort für den Benutzer, der das neue Zertifikat anfordert (festgelegt durch den Parameter "CaAccount"). |
City |
Optional |
Zeichenfolge |
Ort, an dem das Zertifikat bereitgestellt wird. |
Clear |
Optional |
Switch-Parameter |
Sofern angegeben, werden alle ausstehenden Zertifikatsanforderungen gelöscht, die mit Request-CsCertificate erstellt wurden. |
ClientEKU |
Optional |
Boolescher Wert |
Legen Sie diesen Parameter auf "True" fest, wenn das Zertifikat zur Clientauthentifizierung verwendet werden soll. Diese Form der Authentifizierung ist erforderlich, wenn Ihre Benutzer Sofortnachrichten mit AOL-Kontobenutzern austauschen können sollen. Der EKU-Teil des Parameternamens steht für "Extended Key Usage" (erweiterte Schlüsselverwendung). In diesem Feld werden die gültigen Verwendungszwecke für das Zertifikat aufgeführt. |
ComputerFqdn |
Optional |
Zeichenfolge |
FQDN des Computers, für den das Zertifikat angefordert wird. Sofern angegeben, zwingt dieser Parameter Request-CsCertificate, eine Verbindung mit dem zentraler Verwaltungsspeicher herzustellen, um den angegebenen Computer zu suchen. Sie sollten beim Anfordern eines Zertifikats immer den Computernamen angeben, selbst wenn Sie ein Poolzertifikat anfordern. Das Cmdlet Request-CsCertificate fügt den Poolnamen automatisch zum Antragstellernamen für alle Zertifikate hinzu, die mit diesem Cmdlet abgerufen werden. |
Country |
Optional |
Zeichenfolge |
Land/Region, in dem/der das Zertifikat bereitgestellt wird. |
DomainName |
Optional |
Zeichenfolge |
Durch Trennzeichen getrennte Liste von vollqualifizierten Domänennamen, die dem Feld für den alternativen Antragstellernamen des Zertifikats hinzugefügt werden sollen. Beispiel: -DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com" |
FriendlyName |
Optional |
Zeichenfolge |
Vom Benutzer zugewiesener Name, mit dem das Zertifikat leichter identifiziert werden kann. |
GlobalCatalog |
Optional |
Zeichenfolge |
Vollqualifizierter Domänenname (FQDN) eines globalen Katalogservers in Ihrer Domäne. Dieser Parameter ist nicht erforderlich, wenn Sie Request-CsCertificate auf einem Computer mit einem Konto in der Domäne ausführen. |
GlobalSettingsDomainController |
Optional |
Zeichenfolge |
FQDN eines Domänencontrollers, auf dem die globalen Einstellungen gespeichert wurden. Wenn die globalen Einstellungen im Systemcontainer von Active Directory-Domänendienste (AD DS) gespeichert wurden, muss dieser Parameter auf den Stammdomänencontroller verweisen. Wenn die globalen Einstellungen im Konfigurationscontainer gespeichert sind, kann jeder Domänencontroller verwendet werden, und dieser Parameter kann ausgelassen werden. |
KeyAlg |
Optional |
PS-Listenmodifizierer |
Gibt die Art des Kryptografiealgorithmus an, der beim Generieren der öffentlichen und privaten Schlüssel für das neue Zertifikat verwendet wird. Gültige Schlüsselalgorithmen: RSA ECDH_P256 ECDH_P384 ECDH_P521 |
KeySize |
Optional |
Ganze Zahl |
Gibt die Größe des privaten Schlüssels (in Bit) an, der vom Zertifikat verwendet wird. Größere Schlüssel sind sicherer, führen bei der Entschlüsselung jedoch zu mehr Verarbeitungsaufwand. Gültige Schlüsselgrößen sind 1024, 2048 und 4096. Beispiel: -KeySize 2048. |
List |
Optional |
Switch-Parameter |
Sofern angegeben, werden alle ausstehenden Zertifikatsanforderungen aufgelistet, die mit Request-CsCertificate erstellt wurden. |
New |
Optional |
Switch-Parameter |
Gibt an, dass Sie ein neues Zertifikat anfordern möchten. |
Organization |
Optional |
Zeichenfolge |
Name der Organisation, die das neue Zertifikat anfordert. Beispiel: -Organization "Litwareinc". |
OU |
Optional |
Zeichenfolge |
Active Directory-Organisationseinheit für den Computer, dem das neue Zertifikat zugewiesen wird. |
Output |
Optional |
Zeichenfolge |
Der Pfad zur Zertifikatsdatei. Wenn Sie eine Offlinezertifikatsanforderung erstellen möchten, verwenden Sie den Parameter "Output", und geben Sie einen Dateipfad für die Zertifikatsanforderung an. Beispiel: -Output C:\Certificates\NewCertificate.pfx. Mit diesem Befehl wird eine Zertifikatsanforderungsdatei erstellt, die anschließend per E-Mail zur Verarbeitung an eine Zertifizierungsstelle gesendet werden kann. |
PrivateKeyExportable |
Optional |
Boolescher Wert |
Legen Sie diesen Parameter auf "True" fest, wenn der private Schlüssel des Zertifikats exportiert werden darf. Wenn ein privater Schlüssel exportierbar ist, kann das Zertifikat kopiert und auf mehreren Computern verwendet werden. |
RequestID |
Optional |
Ganze Zahl |
Einer Zertifikatsanforderung zugeordnete ID. Mit dem Parameter "RequestID" können Sie ein einzelnes Zertifikat auflisten, abrufen oder löschen. |
Retrieve |
Optional |
Switch-Parameter |
Sofern angegeben, werden alle ausstehenden Zertifikatsanforderungen abgerufen, die mit Request-CsCertificate erstellt wurden. Es wird versucht, den Vorgang abzuschließen und das angeforderte Zertifikat zu importieren. |
State |
Optional |
Zeichenfolge |
US-Bundesstaat, in dem das Zertifikat bereitgestellt wird. Beispiel: -State WA. |
Template |
Optional |
Zeichenfolge |
Gibt die Zertifikatsvorlage an, die beim Generieren des neuen Zertifikats verwendet werden soll. Beispiel: -Template "WebServer". Die angeforderte Vorlage muss in der Zertifizierungsstelle installiert sein. Beachten Sie, dass es sich bei dem eingegebenen Wert um den Namen der Vorlage, nicht um den Anzeigenamen der Vorlage, handeln muss. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
Report |
Optional |
Zeichenfolge |
Ermöglicht es Ihnen, einen Dateipfad für die bei der Ausführung des Cmdlets erstellte Protokolldatei anzugeben. Beispiel: -Report "C:\Logs\Certificates.html" |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Keine. Request-CsCertificate akzeptiert keine weitergeleitete Eingabe.
Rückgabetypen
Keine. Mit Request-CsCertificate können stattdessen Instanzen des Objekts "Microsoft.Rtc.Management.Deployment.CertificateReference" verwaltet werden.
Beispiel
-------------------------- Beispiel 1 ------------------------
Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"
Mit dem in Beispiel 1 gezeigten Befehl wird eine neue Zertifikatsanforderung erstellt: Es wird Kontakt zur Zertifizierungsstelle "atl-ca-001.litwareinc.com\myca" aufgenommen und ein neues Zertifikat "WebServicesExternal" angefordert.
-------------------------- Beispiel 2 -----------------------
Request-CsCertificate -List
Mit dem vorstehenden Befehl werden alle ausstehenden Zertifikatsanforderungen aufgelistet, die mit Request-CsCertificate erstellt wurden.
-------------------------- Beispiel 3 -----------------------
Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer
In Beispiel 3 wird mit dem Parameter "Output" eine Offlinezertifikatsanforderung erstellt.
-------------------------- Beispiel 4 ------------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"
Das vorstehende Beispiel ist ein detaillierteres (realistischeres) Beispiel zur Verwendung von "Request-CsCertificate". In diesem Beispiel wird ein Zertifikat zur Verwendung mit der Standard Edition von Lync Server angefordert.
-------------------------- Beispiel 5 ------------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"
In Beispiel 5 wird ein Poolzertifikat zur Verwendung mit der Enterprise Edition von Lync Server angefordert.
-------------------------- Beispiel 6 ------------------------
Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"
Das vorstehende Beispiel zeigt, wie Sie ein Zertifikat für den internen Edgeserver anfordern können.
-------------------------- Beispiel 7 ------------------------
Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"
Beispiel 7 ist eine Variante des Befehls aus Beispiel 6. In diesem Fall wird die Anforderung jedoch für den externen Edgeserver erstellt.
Siehe auch
Weitere Ressourcen
Get-CsCertificate
Import-CsCertificate
Remove-CsCertificate
Set-CsCertificate