Ändern der Zertifikate für Mobilität in Lync Server 2013

  • Artikel

 

Letzte Änderung: 20.06.2014

Um sichere Verbindungen zwischen Ihrer Lync-Umgebung und Ihren mobilen Clients zu unterstützen, müssen die SSL-Zertifikate (Secure Socket Layer) für Ihren Directorpool, Front-End-Pool und Reverseproxy mit einigen zusätzlichen SAN-Einträgen (Subject Alternative Name) aktualisiert werden. Wenn Sie weitere Informationen zu den Zertifikatanforderungen für mobilität benötigen, lesen Sie den Abschnitt "Zertifikatanforderungen" unter "Technische Anforderungen für Mobilität" in Lync Server 2013, aber im Grunde müssen Sie neue Zertifikate von der Zertifizierungsstelle mit den zusätzlichen SAN-Einträgen abrufen und diese Zertifikate dann mithilfe der Schritte in diesem Artikel hinzufügen.

Bevor Sie beginnen, sollten Sie natürlich wissen, welche alternativen Antragstellernamen Ihre Zertifikate bereits haben. Wenn Sie nicht sicher sind, was bereits konfiguriert wurde, gibt es viele Möglichkeiten, dies herauszufinden. Während die Option vorhanden ist, um die Get-CsCertificate- und andere PowerShell-Befehle auszuführen, um diese Informationen anzuzeigen (die wir unten durchgehen), werden diese Daten standardmäßig abgeschnitten, sodass Möglicherweise nicht alle benötigten Eigenschaften angezeigt werden. Um einen guten Überblick über das Zertifikat und alle eigenschaften zu erhalten, können Sie zur Microsoft Management Console (MMC) wechseln und das Zertifikat-Snap-In laden (das wir auch unten durchgehen), oder Sie können einfach den Lync Server-Bereitstellungs-Assistenten einchecken.

Wie oben erwähnt, führen Sie die folgenden Schritte durch die Aktualisierung der Zertifikate mithilfe der Lync Server-Verwaltungsshell und des MMC. Wenn Sie stattdessen den Zertifikat-Assistenten im Lync Server-Bereitstellungs-Assistenten verwenden möchten, können Sie die Konfiguration von Zertifikaten für den Director in Lync Server 2013 für den Director- oder Directorpool überprüfen, sofern Sie einen konfiguriert haben (möglicherweise nicht). Für den Front-End-Server oder Front-End-Pool sollten Sie In Lync Server 2013 Zertifikate für Server konfigurieren sehen.

Ein letztes Zu beachten ist, dass Sie möglicherweise über ein einzelnes Standardzertifikat in Ihrer Lync Server 2013-Umgebung verfügen oder separate Zertifikate für "Default" (alles außer den Webdiensten), "WebServicesExternal" und "WebServicesInternal" besitzen. Unabhängig von Ihrer Konfiguration sollten Ihnen diese Schritte helfen.

So aktualisieren Sie Zertifikate mit neuen alternativen Antragstellernamen mithilfe der Lync Server-Verwaltungsshell

  1. Sie müssen sich bei Ihrem Lync Server 2013-Server mit einem Konto anmelden, das über lokale Administratorrechte und Berechtigungen verfügt. Wenn Sie das PowerShell-Anforderungs-CsCertificate in Schritt 12 und darüber hinaus ausführen, muss das Konto außerdem über Berechtigungen für die angegebene Zertifizierungsstelle verfügen.

  2. Starten Sie die Lync Server-Verwaltungsshell: Klicken Sie auf "Start", dann auf "Alle Programme", dann auf "Microsoft Lync Server 2013" und dann auf "Lync Server-Verwaltungsshell".

  3. Bevor Sie ein aktualisiertes Zertifikat zuweisen können, müssen Sie herausfinden, welche Zertifikate dem Server zugewiesen wurden und für welche Art der Verwendung. Geben Sie in der Befehlszeile Folgendes ein:

    Get-CsCertificate

  4. Überprüfen Sie die Ausgabe des vorherigen Schritts, um festzustellen, ob ein einzelnes Zertifikat für mehrere Verwendungen zugewiesen wurde oder ob für jede Verwendung ein anderes Zertifikat zugewiesen ist. Sehen Sie sich den Parameter "Use" an, um herauszufinden, wie ein Zertifikat verwendet wird. Vergleichen Sie den Thumbprint-Parameter für die angezeigten Zertifikate, um festzustellen, ob das gleiche Zertifikat mehrere Verwendungen aufweist. Behalten Sie den Thumbprint-Parameter im Auge.

  5. Aktualisieren Sie das Zertifikat. Geben Sie in der Befehlszeile Folgendes ein:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>

    Wenn das Cmdlet "Get-CsCertificate " z. B. ein Zertifikat mit Standardverwendung, ein anderes mit einer Verwendung von "WebServicesInternal" und ein anderes mit der Verwendung von "WebServicesExternal" angezeigt hat und alle über denselben Thumbprint-Wert verfügen, sollten Sie an der Befehlszeile Folgendes eingeben:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

    Wichtig:

    Wenn für jede Verwendung ein separates Zertifikat zugewiesen wird (sodass der oben überprüfte Thumbprint-Wert für jedes Zertifikat unterschiedlich ist), ist es wichtig, dass Sie das Cmdlet Set-CsCertificatenicht mit mehreren Typen ausführen, wie im obigen Beispiel gezeigt. Führen Sie in diesem Fall das Cmdlet Set-CsCertificate für jede Verwendung separat aus. Zum Beispiel: 

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

  6. Zum Anzeigen des Zertifikats (oder der Zertifikate) klicken Sie auf "Start", dann auf " Ausführen...". Geben Sie MMC ein, um die Microsoft Management Console zu öffnen.

  7. Wählen Sie im MMC-Menü "Datei", dann "Snap-In hinzufügen/entfernen" und dann "Zertifikate" aus. Klicken Sie auf Hinzufügen. Wenn Sie dazu aufgefordert werden, wählen Sie "Computerkonto" aus, und klicken Sie dann auf "Weiter".

  8. Wenn dies der Server ist, auf dem sich das Zertifikat befindet, wählen Sie "Lokaler Computer" aus. Wenn sich das Zertifikat auf einem anderen Computer befindet, sollten Sie "Anderer Computer" auswählen. Anschließend können Sie entweder den vollqualifizierten Domänennamen des Computers eingeben oder unter "Durchsuchen" den zu markierenden Objektnamen eingeben und den Namen des Computers eingeben. Klicken Sie auf "Namen überprüfen". Wenn der Name des Computers aufgelöst wird, wird er unterstrichen. Klicken Sie auf "OK" und dann auf "Fertig stellen". Klicken Sie auf "OK ", um die Auswahl zu übernehmen und das Dialogfeld "Snap-Ins hinzufügen oder entfernen " zu schließen.

  9. Um die Eigenschaften des Zertifikats anzuzeigen, erweitern Sie Zertifikate, erweitern Sie "Persönlich", und wählen Sie "Zertifikate" aus. Wählen Sie das anzuzeigende Zertifikat aus, klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie "Öffnen" aus.

  10. Wählen Sie in der Ansicht "Zertifikat " die Option "Details" aus. Von hier aus können Sie den Namen des Zertifikatsantragstellers auswählen, indem Sie "Betreff " auswählen, und der zugewiesene Antragstellername und die zugehörigen Eigenschaften werden angezeigt.

  11. Um die zugewiesenen alternativen Antragstellernamen anzuzeigen, wählen Sie "Alternativer Antragstellername" aus. Hier werden alle zugewiesenen alternativen Antragstellernamen angezeigt. Die hier gefundenen alternativen Antragstellernamen sind standardmäßig vom Typ DNS-Name . Es sollten die folgenden Member angezeigt werden (die alle vollqualifizierte Domänennamen sein sollten, wie sie in DNS-Hosteinträgen (A oder, wenn IPv6 AAAA) dargestellt werden:

    • Poolname für diesen Pool oder der Einzelne Servername, wenn es sich nicht um einen Pool handelt

    • Servername, dem das Zertifikat zugewiesen ist

    • Einfache URL-Einträge, in der Regel Besprechung und Einwahl

    • Interne Webdienste und externe Webdienstenamen (z. B. webpool01.contoso.net, webpool01.contoso.com), basierend auf Auswahlmöglichkeiten im Topologie-Generator und überlaste Webdienstauswahl.

    • Falls bereits zugewiesen, wird die lyncdiscover.if already assigned, the lyncdiscover.< sipdomain> und lyncdiscoverinternal.< sipdomain-Einträge> .

    Das letzte Element ist das, was Sie am meisten interessieren – wenn es einen lyncdiscover- und lyncdiscoverinternal SAN-Eintrag gibt.

    Wiederholen Sie diese Schritte, wenn Sie mehrere Zertifikate überprüfen müssen. Sobald Sie über diese Informationen verfügen, können Sie die Zertifikatansicht und die MMC schließen.

  12. Wenn ein alternativer Name für den AutoErmittlungsdienst-Betreff fehlt und Sie ein einzelnes Standardzertifikat für die Typen "Default", "WebServicesInternal" und "WebServiceExternal" verwenden, gehen Sie folgendermaßen vor:

    • Geben Sie an der Eingabeaufforderung der Lync Server-Verwaltungsshell Folgendes ein:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den Parameter "DomainName" verwenden. Wenn Sie den Parameter "DomainName" verwenden, müssen Sie den FQDN für die Einträge "lyncdiscoverinternal" und "lyncdiscover" definieren. Zum Beispiel: 

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • Geben Sie Folgendes ein, um das Zertifikat zuzuweisen:

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

      Dabei ist "Fingerabdruck" der Fingerabdruck, der für das neu ausgestellte Zertifikat angezeigt wird.

  13. Gehen Sie für einen fehlenden internen AutoErmittlungs-SAN bei Verwendung separater Zertifikate für Default, WebServicesInternal und WebServicesExternal wie folgt vor:

    • Geben Sie an der Eingabeaufforderung der Lync Server-Verwaltungsshell Folgendes ein:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den Parameter "DomainName" verwenden. Wenn Sie den Parameter "DomainName" verwenden, müssen Sie ein entsprechendes Präfix für den SIP-Domänen-FQDN verwenden. Zum Beispiel: 

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • Geben Sie für einen fehlenden alternativen Namen des betreffs für die externe AutoErmittlung an der Befehlszeile Folgendes ein:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den Parameter "DomainName" verwenden. Wenn Sie den Parameter "DomainName" verwenden, müssen Sie ein entsprechendes Präfix für den SIP-Domänen-FQDN verwenden. Zum Beispiel: 

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose

    • Geben Sie Folgendes ein, um die einzelnen Zertifikattypen zuzuweisen:

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

      Dabei ist "Fingerabdruck" der Fingerabdruck, der für die neu ausgestellten Einzelzertifikate angezeigt wird.

    Hinweis

    Um nur zu beachten, dass die Schritte 12 und 13 nur ausgeführt werden sollten, wenn das Konto, das sie ausführt, Zugriff auf die Zertifizierungsstelle mit den entsprechenden Berechtigungen hat. Wenn Sie sich nicht mit einem Konto anmelden können, das über diese Berechtigungen verfügt, oder wenn Sie eine öffentliche oder Remote-Zertifizierungsstelle für Ihre Zertifikate verwenden, müssen Sie diese über den Lync Server-Bereitstellungs-Assistenten anfordern, der oben im Artikel berührt wurde.