Konfigurieren von Zertifikaten für die AutoErmittlung in Lync Server 2013

  • Artikel

 

Letzte Änderung: 12.12.2012

Die Zertifikate für Ihren Directorpool, den Front-End-Pool und den Reverseproxy erfordern zusätzliche Einträge für alternative Antragstellernamen, um sichere Verbindungen mit Lync-Clients zu unterstützen.

Hinweis

Sie können das Cmdlet "Get-CsCertificate " verwenden, um Informationen zu den derzeit zugewiesenen Zertifikaten anzuzeigen. Die Standardansicht schneidet jedoch die Eigenschaften des Zertifikats ab und zeigt nicht alle Werte in der SubjectAlternativeNames-Eigenschaft an. Sie können die Cmdlets "Get-CsCertificate ", "Request-CsCertificate" und " Set-CsCertificate " verwenden, um einige Informationen anzuzeigen und Zertifikate anzufordern und zuzuweisen. Es ist jedoch nicht die beste Methode, wenn Sie sich über die Eigenschaften der alternativen Antragstellernamen (SAN) für das aktuelle Zertifikat nicht sicher sind. Um das Zertifikat und alle Eigenschaftsmember anzuzeigen, wird empfohlen, das Zertifikat-Snap-In in der Microsoft Management Console (MMC) oder den Lync Server-Bereitstellungs-Assistenten zu verwenden. Im Lync Server-Bereitstellungs-Assistenten können Sie den Zertifikat-Assistenten verwenden, um die Zertifikateigenschaften anzuzeigen. Die Verfahren zum Anzeigen, Anfordern und Zuweisen eines Zertifikats mithilfe der Lync Server-Verwaltungsshell und der Microsoft Management Console (MMC) sind in den folgenden Verfahren beschrieben. Informationen zur Verwendung des Lync Server-Bereitstellungs-Assistenten finden Sie hier, wenn Sie den optionalen Director- oder Directorpool bereitgestellt haben: Konfigurieren von Zertifikaten für den Director in Lync Server 2013. Details zum Front-End-Server oder Front-End-Pool finden Sie hier: Konfigurieren von Zertifikaten für Server in Lync Server 2013.
Die ersten Schritte in diesem Verfahren sind Vorbereitungsschritte, um Sie darüber zu orientieren, welche Rolle die aktuellen Zertifikate spielen. Standardmäßig verfügen die Zertifikate nicht über eine lyncdiscover.< sipdomain> oder lyncdiscoverinternal.< Interner Domänennameneintrag> , es sei denn, Sie haben Mobility Services zuvor installiert oder Ihre Zertifikate im Voraus vorbereitet. In diesem Verfahren werden der BEISPIEL-SIP-Domänenname "contoso.com" und der interne Beispieldomänenname "contoso.net" verwendet.
Die Standardzertifikatkonfiguration für Lync Server 2013 und Lync Server 2010 besteht darin, ein einzelnes Zertifikat (mit dem Namen "Default") mit den Zwecken "Default" (für alle Zwecke außer für die Webdienste), "WebServicesExternal" und "WebServicesInternal" zu verwenden. Eine optionale Konfiguration besteht darin, für jeden Zweck separate Zertifikate zu verwenden. Zertifikate können mithilfe der Lync Server-Verwaltungsshell und Windows PowerShell-Cmdlets oder mithilfe des Zertifikat-Assistenten im Lync Server-Bereitstellungs-Assistenten verwaltet werden.

So aktualisieren Sie Zertifikate mit neuen alternativen Antragstellernamen mithilfe der Lync Server-Verwaltungsshell

  1. Melden Sie sich mit einem Konto mit lokalen Administratorrechten und -berechtigungen am Computer an.

  2. Starten Sie die Lync Server-Verwaltungsshell: Klicken Sie auf "Start", dann auf "Alle Programme", dann auf "Microsoft Lync Server 2013" und dann auf "Lync Server-Verwaltungsshell".

  3. Erfahren Sie, welche Zertifikate dem Server zugewiesen wurden und für welche Art von Verwendung. Sie benötigen diese Informationen im nächsten Schritt, um das aktualisierte Zertifikat zuzuweisen. Geben Sie in der Befehlszeile Folgendes ein:

    Get-CsCertificate

  4. Sehen Sie sich in der Ausgabe des vorherigen Schritts an, ob ein einzelnes Zertifikat für mehrere Verwendungen zugewiesen ist oder ob für jede Verwendung ein anderes Zertifikat zugewiesen wird. Sehen Sie sich den Parameter "Use" an, um herauszufinden, wie ein Zertifikat verwendet wird. Vergleichen Sie den Thumbprint-Parameter für die angezeigten Zertifikate, um festzustellen, ob das gleiche Zertifikat mehrere Verwendungen aufweist.

  5. Aktualisieren Sie das Zertifikat. Geben Sie in der Befehlszeile Folgendes ein:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>

    Wenn das Cmdlet "Get-CsCertificate " z. B. ein Zertifikat mit "Standardverwendung", ein anderes mit verwendung von "WebServicesInternal" und ein anderes mit "WebServicesExternal" angezeigt hat und alle über denselben Thumbprint-Wert verfügen, geben Sie an der Befehlszeile Folgendes ein:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

    Wichtig:

    Wenn für jede Verwendung ein separates Zertifikat zugewiesen wird (der Fingerabdruckwert ist für jedes Zertifikat unterschiedlich), ist es wichtig, dass Sie das Cmdlet Set-CsCertificate nicht mit mehreren Typen ausführen. Führen Sie in diesem Fall das Cmdlet Set-CsCertificate für jede Verwendung separat aus. Zum Beispiel: 

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

  6. Klicken Sie zum Anzeigen des Zertifikats auf "Start", und klicken Sie auf "Ausführen...". Geben Sie MMC ein, um die Microsoft Management Console zu öffnen.

  7. Wählen Sie im MMC-Menü "Datei", dann "Snap-In hinzufügen/entfernen" und dann "Zertifikate" aus. Klicken Sie auf Hinzufügen. Wenn Sie dazu aufgefordert werden, wählen Sie "Computerkonto" aus, und klicken Sie dann auf "Weiter".

  8. Wenn sich das Zertifikat auf diesem Computer befindet, wählen Sie "Lokaler Computer" aus. Wenn sich das Zertifikat auf einem anderen Computer befindet, wählen Sie "Anderer Computer" aus, geben Sie den vollqualifizierten Domänennamen des Computers ein, oder klicken Sie auf " Durchsuchen in " Geben Sie den auszuwählenden Objektnamen ein, und geben Sie den Namen des Computers ein. Klicken Sie auf "Namen überprüfen". Wenn der Name des Computers aufgelöst wird, wird er unterstrichen. Klicken Sie auf "OK" und dann auf "Fertig stellen". Klicken Sie auf "OK ", um die Auswahl zu übernehmen und das Dialogfeld "Snap-Ins hinzufügen oder entfernen " zu schließen.

    Wichtig

    Wenn das Zertifikat nicht in der Konsole angezeigt wird, stellen Sie sicher, dass Sie "Benutzer" oder "Dienst" nicht ausgewählt haben. Sie müssen "Computer" auswählen, andernfalls können Sie das Probper-Zertifikat nicht finden.

  9. Um die Eigenschaften des Zertifikats anzuzeigen, erweitern Sie Zertifikate, erweitern Sie "Persönlich", und wählen Sie "Zertifikate" aus. Wählen Sie das anzuzeigende Zertifikat aus, klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie "Öffnen" aus.

  10. Wählen Sie in der Ansicht "Zertifikat " die Option "Details" aus. Von hier aus können Sie den Namen des Zertifikatsantragstellers auswählen, indem Sie "Betreff " auswählen, und der zugewiesene Antragstellername und die zugehörigen Eigenschaften werden angezeigt.

  11. Um die zugewiesenen alternativen Antragstellernamen anzuzeigen, wählen Sie "Alternativer Antragstellername" aus. Alle zugewiesenen alternativen Antragstellernamen werden angezeigt. Die alternativen Antragstellernamen, die in der Eigenschaft gefunden werden, sind standardmäßig vom Typ DNS-Name . Es sollten die folgenden Member angezeigt werden (die alle vollqualifizierte Domänennamen sein sollten, wie sie in DNS-Hosteinträgen (A oder, wenn IPv6 AAAA) dargestellt werden:

    • Poolname für diesen Pool oder der Name des einzelnen Servers, wenn es sich nicht um einen Pool handelt

    • Servername, dem das Zertifikat zugewiesen ist

    • Einfache URL-Einträge, in der Regel Besprechung und Einwahl

    • Interne Webdienste und externe Webdienstenamen (z. B. webpool01.contoso.net, webpool01.contoso.com), basierend auf Auswahlmöglichkeiten im Topologie-Generator und überlaste Webdienstauswahl.

    • Falls bereits zugewiesen, wird die lyncdiscover.if already assigned, the lyncdiscover.< sipdomain> und lyncdiscoverinternal.< sipdomain-Einträge> .

    Das letzte Element ist das, was Sie am meisten interessieren – wenn es einen lyncdiscover- und lyncdiscoverinternal SAN-Eintrag gibt.

    Sobald Sie über diese Informationen verfügen, können Sie die Zertifikatansicht und die MMC schließen.

  12. Wenn ein AutoErmittlungsdienst, d. h. lyncdiscover.> Domänenname> und lyncdiscoverinternal.< Domänenname> (basierend darauf, ob es sich um ein externes oder internes Zertifikat handelt) Alternativer Antragstellername fehlt, und Sie verwenden ein einzelnes Standardzertifikat für die Typen "Default", "WebServicesInternal" und "WebServiceExternal":

    • Geben Sie an der Eingabeaufforderung der Lync Server-Verwaltungsshell Folgendes ein:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den Parameter "DomainName" verwenden. Wenn Sie den Parameter "DomainName" verwenden, müssen Sie den FQDN für die Einträge "lyncdiscoverinternal" und "lyncdiscover" definieren. Zum Beispiel: 

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • Geben Sie Folgendes ein, um das Zertifikat zuzuweisen:

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

      Dabei ist "Fingerabdruck" der Fingerabdruck, der für das neu ausgestellte Zertifikat angezeigt wird.

  13. Führen Sie bei fehlenden alternativen Namen des AutoErmittlungsthemas bei Verwendung separater Zertifikate für Default, WebServicesInternal und WebServicesExternal die folgenden Schritte aus:

    • Geben Sie an der Eingabeaufforderung der Lync Server-Verwaltungsshell Folgendes ein:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den Parameter "DomainName" verwenden. Wenn Sie den Parameter "DomainName" verwenden, müssen Sie ein entsprechendes Präfix für den SIP-Domänen-FQDN verwenden. Zum Beispiel: 

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • Geben Sie für einen fehlenden alternativen Namen des betreffs für die externe AutoErmittlung an der Befehlszeile Folgendes ein:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      Wenn Sie über viele SIP-Domänen verfügen, können Sie den neuen AllSipDomain-Parameter nicht verwenden. Stattdessen müssen Sie den Parameter "DomainName" verwenden. Wenn Sie den Parameter "DomainName" verwenden, müssen Sie ein entsprechendes Präfix für den SIP-Domänen-FQDN verwenden. Zum Beispiel: 

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose

    • Geben Sie Folgendes ein, um die einzelnen Zertifikattypen zuzuweisen:

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

      Dabei ist "Fingerabdruck" der Fingerabdruck, der für die neu ausgestellten Einzelzertifikate angezeigt wird.