• Artículo

Modificar certificados para movilidad

 

Última modificación del tema: 2011-11-15

Los certificados para la actualización acumulada de Lync Server 2010: noviembre de 2011 para su Grupo de directores, Grupo de servidores front-end y proxy inverso requieren entradas de nombre alternativo de sujeto para admitir conexiones seguras con clientes móviles. Para obtener más información sobre los requisitos de certificados para movilidad, vea Requisitos técnicos para la movilidad.

Actualice los certificados después de instalar el nuevo servicio de movilidad de Microsoft Lync Server 2010 o después de ejecutar el cmdlet Set-CsWebServer para definir puertos para el servicio de movilidad.

El cmdlet Set-CsCertificate valida nombres alternativos de sujeto y devuelve una advertencia si falta un nombre de sujeto alternativo de un nombre de dominio completo (FQDN) del servicio Detección automática interna o externa de Microsoft Lync Server 2010 Si el cmdlet detecta que falta un nombre alternativo de sujeto, debe ejecutar el cmdlet Request-CsCertificate. Para ejecutar este cmdlet localmente, debe ser administrador local y tener derechos para la autoridad de certificación especificada.

importantImportante:
Una excepción es cuando el registro del Sistema de nombres de domino externo (DNS) es un registro A (host). Si el registro DNS externo es un registro A (host) y ejecuta el cmdlet Set-CsCertificate en un Director, el cmdlet no devuelve una advertencia sobre el nombre alternativo de sujeto que falta para el servicio Detección automática externa (lyncdiscover.<dominiosip>).

Para actualizar certificados con nuevos nombres alternativos de sujeto

  1. Inicie sesión en el equipo usando una cuenta con derechos y permisos de administrador

  2. Inicie el Shell de administración de Lync Server: haga clic en Inicio, Todos los programas, Microsoft Lync Server 2010 y después en Shell de administración de Lync Server.

  3. Averigüe qué certificados se han asignado al servidor y para qué tipo de uso. Esta información es necesaria en el paso siguiente para asignar el certificado actualizado. En la línea de comandos, escriba:

    Get-CsCertificate

  4. Compruebe en los resultados del paso anterior si se ha asignado un solo certificado para varios usos o un certificado distinto para cada uso. Mire el parámetro Uso para averiguar cómo se usa un certificado. Compara el parámetro Huella digital de los certificados mostrados para ver si el mismo certificado tiene varios usos.

  5. Actualice el certificado. En la línea de comandos, escriba:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>

    Por ejemplo, si el cmdlet Get-CsCertificate ha mostrado un certificado con uso de Predeterminado, otro con uso de WebServicesInternal y otro con uso de WebServicesExternal, y todos tienen el mismo valor de huella digital, en la línea de comandos, escriba:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

    Importante:

    Si se asigna un certificado distinto para cada uso (el valor de huella digital es diferente para cada certificado), es importante que no ejecute el cmdlet Set-CsCertificate con varios tipos. En este caso, ejecute el cmdlet Set-CsCertificate por separado para cada uso. Por ejemplo:

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

  6. Si falta un nombre alternativo de sujeto del servicio Detección automática, realice lo siguiente:

    • Para un nombre alternativo de sujeto del servicio Detección automática interna, en la línea de comandos, escriba:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose

      Si tiene muchos dominios SIP, no puede usar el nuevo parámetro AllSipDomain. En su lugar, debe usar el parámetro DomainName. Al usar el parámetro DomainName, debe usar un prefijo adecuado para el FQDN del dominio SIP. Por ejemplo:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • Para un nombre alternativo de sujeto del servicio Detección automática externa, en la línea de comandos, escriba:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      Si tiene muchos dominios SIP, no puede usar el nuevo parámetro AllSipDomain. En su lugar, debe usar el parámetro DomainName. Al usar el parámetro DomainName, debe usar un prefijo adecuado para el FQDN del dominio SIP. Por ejemplo:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose