Staging von AV- und OAuth-Zertifikaten in Lync Server 2013 mithilfe von "-Roll in Set-CsCertificate

  • Artikel

 

Letzte Änderung: 13.11.2012

Die Audio-/Videokommunikation (A/V) ist eine wichtige Komponente von Microsoft Lync Server 2013. Features wie Anwendungsfreigabe und Audio- und Videokonferenzen basieren auf den Zertifikaten, die dem A/V-Edgedienst zugewiesen sind, insbesondere dem A/V-Authentifizierungsdienst.

Wichtig

  1. Dieses neue Feature ist für den A/V-Edgedienst und das OAuthTokenIssuer-Zertifikat ausgelegt. Andere Zertifikattypen können zusammen mit dem A/V-Edgedienst und dem OAuth-Zertifikattyp bereitgestellt werden, profitieren jedoch nicht vom Koexistenzverhalten, das das A/V-Edgedienstzertifikat ausführt.

  2. Die PowerShell-Cmdlets der Lync Server-Verwaltungsshell, die zum Verwalten von Microsoft Lync Server 2013-Zertifikaten verwendet werden, beziehen sich auf das A/V-Edgedienstzertifikat als AudioVideoAuthentication-Zertifikattyp und das OAuthServer-Zertifikat als Typ OAuthTokenIssuer. Im restlichen Thema – und zur eindeutigen Identifizierung der Zertifikate – wird mit demselben ID-Typ, AudioVideoAuthentication und OAuthTokenIssuer, auf sie verwiesen.

Der A/V-Authentifizierungsdienst ist für die Ausgabe von Token verantwortlich, die von Clients und anderen A/V-Verbrauchern verwendet werden. Die Token werden aus Attributen auf dem Zertifikat generiert, und wenn das Zertifikat abläuft, führt der Verlust der Verbindung und die Anforderung, erneut mit einem neuen Token zusammenzuschließen, das vom neuen Zertifikat generiert wird. Ein neues Feature in Lync Server 2013 wird dieses Problem beheben– die Möglichkeit, ein neues Zertifikat vor ablaufendem alten Zertifikat zu inszenieren und beide Zertifikate für einen bestimmten Zeitraum weiterhin funktionsfähig zu lassen. Dieses Feature verwendet aktualisierte Funktionen im cmdlet Set-CsCertificate Lync Server-Verwaltungsshell. Der neue Parameter "–Roll" mit dem vorhandenen Parameter "–EffectiveDate" platziert das neue AudioVideoAuthentication-Zertifikat im Zertifikatspeicher. Das ältere AudioVideoAuthentication-Zertifikat verbleibt weiterhin, damit ausgestellte Token überprüft werden. Beginnend mit dem Einfügen des neuen AudioVideoAuthentication-Zertifikats tritt die folgende Ereignisreihe auf:

Tipp

Mithilfe der Cmdlets der Lync Server-Verwaltungsshell zum Verwalten von Zertifikaten können Sie separate und unterschiedliche Zertifikate für jeden Zweck auf dem Edgeserver anfordern. Die Verwendung des Zertifikat-Assistenten im Lync Server-Bereitstellungs-Assistenten unterstützt Sie beim Erstellen von Zertifikaten, weist jedoch in der Regel den Standardtyp auf, der alle Zertifikatverwendungen für den Edgeserver mit einem einzelnen Zertifikat verbindet. Die empfohlene Vorgehensweise bei Verwendung der Funktion für rollende Zertifikate besteht darin, das AudioVideoAuthentication-Zertifikat von den anderen Zertifikatzwecken zu lösen. Sie können ein Zertifikat vom Typ „Standard“ bereitstellen, doch nur der AudioVideoAuthentication-Teil des kombinierten Zertifikats profitiert von dem Staging. Ein Benutzer, der an einer Chatunterhaltung beteiligt ist, wenn das Zertifikat abläuft, muss sich abmelden und wieder anmelden, um das neue Zertifikat zu verwenden, das dem Access Edge-Dienst zugeordnet ist. Ähnliches Verhalten tritt für einen Benutzer auf, der mithilfe des Webkonferenz-Edgediensts an einer Webkonferenz beteiligt ist. Das OAuthTokenIssuer-Zertifikat ist ein bestimmter Typ, der auf allen Servern freigegeben ist. Sie erstellen und verwalten das Zertifikat an einem Zentralen Ort, und das Zertifikat wird im zentralen Verwaltungsspeicher für alle anderen Server gespeichert.

Zusätzliche Informationen werden benötigt, um die Optionen und Anforderungen bei der Verwendung des Set-CsCertificate-Cmdlets zum Bereitstellen von Zertifikaten vor dem Ablauf des aktuellen Zertifikats nachvollziehen zu können. Der Parameter „–Roll“ ist wichtig, dient jedoch nur einem Zweck. Wenn Sie ihn als Parameter festlegen, informieren Sie damit „Set-CsCertificate“, dass Sie Informationen zum betroffenen durch „–Type“ definierten Zertifikat (z. B. AudioVideoAuthentication und OAuthTokenIssuer) bereitstellen werden, wenn es am durch „–EffectiveDate“ definierten Zeitpunkt gültig wird.

-Rollen: Der Parameter "–Roll" ist erforderlich und weist Abhängigkeiten auf, die zusammen mit dem Parameter bereitgestellt werden müssen. Parameter, die zum Festlegen der betroffenen Zertifikate und ihrer Anwendungsweise erforderlich sind:

-EffectiveDate: Der Parameter –EffectiveDate definiert, wann das neue Zertifikat mit dem aktuellen Zertifikat gemeinsam aktiv wird. Das "–EffectiveDate" kann sich in der Nähe der Ablaufzeit des aktuellen Zertifikats befinden oder einen längeren Zeitraum haben. Ein empfohlenes Minimum –EffectiveDate für das AudioVideoAuthentication-Zertifikat beträgt 8 Stunden. Dies ist die Standardtokenlebensdauer für AV Edge-Diensttoken, die mithilfe des AudioVideoAuthentication-Zertifikats ausgestellt wurden.

Für das Bereitstellen der OAuthTokenIssuer-Zertifikate liegen verschiedene Anforderungen für die Vorlaufzeit vor, bevor das Zertifikat wirksam werden kann. Der Mindestwert des OAuthTokenIssuer-Zertifikats für die Vorlaufzeit sollte 24 Stunden vor der Ablaufzeit des aktuellen Zertifikats betragen. Die erweiterte Vorlaufzeit für die Koexistenz ist durch andere Serverrollen begründet, die von dem OAuthTokenIssuer-Zertifikat (beispielsweise Exchange Server) abhängen, das eine längere Aufbewahrungszeit für durch Zertifikate erstellte Authentifizierungs- und Verschlüsselungsschlüsselelemente besitzt.

-Fingerabdruck: Der Fingerabdruck ist ein Attribut auf dem Zertifikat, das für dieses Zertifikat eindeutig ist. Mit dem Parameter „–Thumbprint“ wird das Zertifikat ermittelt, das von den Aktionen des Cmdlets „Set-CsCertificate“ betroffen ist.

-Typ: Der Parameter "–Type" kann einen einzelnen Zertifikatverwendungstyp oder eine durch Kommas getrennte Liste von Zertifikatverwendungstypen akzeptieren. Die Zertifikattypen geben für das Cmdlet und den Server an, worin der Zweck des Zertifikats besteht. Beispielsweise ist der Typ "AudioVideoAuthentication" für die Verwendung durch den A/V-Edgedienst und den AV-Authentifizierungsdienst vorgesehen. Wenn Sie verschiedene Zertifikattypen zum gleichen Zeitpunkt bereitstellen möchten, müssen Sie die längste effektive Mindestvorlaufzeit für die Zertifikate berücksichtigen. Sie müssen beispielsweise Zertifikate vom Typ „AudioVideoAuthentication“ und vom Typ „OAuthTokenIssuer“ bereitstellen. Als Mindestwert muss für „-EffectiveDate“ der höhere Wert der beiden Zertifikate festgelegt werden, in diesem Fall der Wert des Zertifikats „OAuthTokenIssuer“, dessen Mindestvorlaufzeit 24 Stunden beträgt. Wenn Sie das Zertifikat „AudioVideoAuthentication“ nicht mit einer Vorlaufzeit von 24 Stunden bereitstellen möchten, stellen Sie es separat mit einem Ihren Anforderungen entsprechenden Wert für „EffectiveDate“ bereit.

So aktualisieren oder erneuern Sie ein A/V-Edgedienstzertifikat mit den Parametern –Roll und -EffectiveDate

  1. Melden Sie sich auf dem lokalen Computer als Mitglied der Gruppe "Administratoren" an.

  2. Fordern Sie eine Verlängerung oder ein neues AudioVideoAuthentication-Zertifikat mit exportierbarem privatem Schlüssel für das vorhandene Zertifikat im A/V-Edgedienst an.

  3. Importieren Sie das neue AudioVideoAuthentication-Zertifikat auf den Edgeserver und alle anderen Edgeserver in Ihrem Pool (wenn Sie einen Pool bereitgestellt haben).

  4. Konfigurieren Sie das importierte Zertifikat mit dem Cmdlet „Set-CsCertificate“ und verwenden Sie den Parameter „–Roll“ mit dem Parameter „–EffectiveDate“. Das Gültigkeitsdatum sollte als Ablaufzeit des aktuellen Zertifikats (14:00:00 Uhr) minus Tokenlebensdauer (standardmäßig acht Stunden) festgelegt werden. Dies gibt uns eine Zeit, zu der das Zertifikat auf aktiv festgelegt werden muss, und ist die Zeichenfolge> "–EffectiveDate<": "22.07.2012 6:00:00 Uhr".

    Wichtig

    Für einen Edgepool müssen alle AudioVideoAuthentication-Zertifikate bereitgestellt und nach dem Datum und der Uhrzeit bereitgestellt werden, die durch den Parameter "–EffectiveDate" des ersten bereitgestellten Zertifikats definiert sind, um mögliche Unterbrechungen der A/V-Kommunikation aufgrund des ablaufenden älteren Zertifikats zu vermeiden, bevor alle Client- und Consumertoken mithilfe des neuen Zertifikats erneuert wurden.

    Der Befehl „Set-CsCertificate“ mit den Parametern „–Roll“ und „–EffectiveTime“:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint <thumb print of new certificate> -Roll -EffectiveDate <date and time for certificate to become active>

    Ein Set-CsCertificate-Beispielbefehl:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2012 6:00:00 AM"

    Wichtig

    Das Gültigkeitsdatum muss so formatiert werden, dass es den Regions- und Spracheinstellungen Ihres Servers entspricht. Im Beispiel werden die englischen (USA) Regions- und Spracheinstellungen verwendet.

Mit einer optischen Zeitachse können Sie den Vorgang besser verstehen, der von „Set-CsCertificate“, „-Roll“ und „–EffectiveDate“ zum Bereitstellen eines neuen Zertifikats für die Ausstellung neuer AudioVideoAuthentication-Token verwendet wird, während weiterhin mit einem vorhandenen Zertifikat das von Benutzern verwendete AudioVideoAuthentication-Zertifikat validiert wird.

Im folgenden Beispiel ermittelt der Administrator, dass das A/V Edge-Dienstzertifikat am 22.07.2012 um 14:00:00 Uhr abläuft. Er fordert ein neues Zertifikat an und erhält es und importiert es auf jeden Edgeserver in seinem Pool. Um 02:00 Uhr am 22.07.2012 beginnt er mit der Ausführung Get-CsCertificate mit "–Roll", "-Thumbprint" gleich der Fingerabdruckzeichenfolge des neuen Zertifikats und "–EffectiveTime" auf den 22.07.2012 um 06:00:00 Uhr festgelegt. Er führt diesen Befehl auf jedem Edgeserver aus.

Verwenden der Parameter

Wenn die Effektive Zeit erreicht ist (22.07.2012 6:00:00 Uhr), werden alle neuen Token vom neuen Zertifikat ausgestellt. Bei der Validierung von Token werden die Token zunächst anhand des neuen Zertifikats überprüft. Schlägt die Überprüfung fehl, wird das alte Zertifikat verwendet. Die Vorgehensweise, erst das neue und anschließend das alte Zertifikat zu verwenden, wird bis zur Ablaufzeit des alten Zertifikats fortgesetzt. Sobald das alte Zertifikat abgelaufen ist (22.07.2012, 14:00:00 Uhr), werden Token nur vom neuen Zertifikat überprüft. Das alte Zertifikat kann mithilfe des Cmdlets „Remove-CsCertificate“ mit dem Parameter „–Previous“ sicher entfernt werden.

Remove-CsCertificate -Type AudioVideoAuthentication -Previous

So aktualisieren oder erneuern Sie ein OAuthTokenIssuer-Zertifikat mit den Parametern –Roll und -EffectiveDate

  1. Melden Sie sich auf dem lokalen Computer als Mitglied der Gruppe "Administratoren" an.

  2. Fordern Sie eine Verlängerung oder ein neues OAuthTokenIssuer-Zertifikat mit exportierbarem privatem Schlüssel für das vorhandene Zertifikat im A/V-Edgedienst an.

  3. Importieren Sie das neue OAuthTokenIssuer-Zertifikat auf einen Front-End-Server in Ihrem Pool (wenn Sie einen Pool bereitgestellt haben). Das OAuthTokenIssuer-Zertifikat wird global repliziert und muss auf den Servern in Ihrer Bereitstellung aktualisiert und erneuert werden. Der Front-End-Server wird als Beispiel verwendet.

  4. Konfigurieren Sie das importierte Zertifikat mit dem Cmdlet „Set-CsCertificate“ und verwenden Sie den Parameter „–Roll“ mit dem Parameter „–EffectiveDate“. Das Gültigkeitsdatum sollte als Ablaufzeit des aktuellen Zertifikats (14:00:00 Uhr) minus mindestens 24 Stunden festgelegt werden.

    Der Befehl „Set-CsCertificate“ mit den Parametern „–Roll“ und „–EffectiveTime“:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumb print of new certificate> -Roll -EffectiveDate <date and time for certificate to become active>

    Ein Set-CsCertificate-Beispielbefehl:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2012 1:00:00 PM"

    Wichtig

    Das Gültigkeitsdatum muss so formatiert werden, dass es den Regions- und Spracheinstellungen Ihres Servers entspricht. Im Beispiel werden die englischen (USA) Regions- und Spracheinstellungen verwendet.

Wenn die Effektive Zeit erreicht ist (21.07.2012 01:00:00 Uhr), werden alle neuen Token vom neuen Zertifikat ausgestellt. Bei der Validierung von Token werden die Token zunächst anhand des neuen Zertifikats überprüft. Schlägt die Überprüfung fehl, wird das alte Zertifikat verwendet. Die Vorgehensweise, erst das neue und anschließend das alte Zertifikat zu verwenden, wird bis zur Ablaufzeit des alten Zertifikats fortgesetzt. Sobald das alte Zertifikat abgelaufen ist (22.07.2012, 14:00:00 Uhr), werden Token nur vom neuen Zertifikat überprüft. Das alte Zertifikat kann mithilfe des Cmdlets „Remove-CsCertificate“ mit dem Parameter „–Previous“ sicher entfernt werden.

Remove-CsCertificate -Type OAuthTokenIssuer -Previous