Asignar un certificado de autenticación de servidor a servidor a Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2015-08-17

Resumen: asigne un certificado de autenticación de servidor a servidor de Skype Empresarial Server 2015.

Para determinar si ya se ha asignado a Skype Empresarial Server 2015 un certificado de autenticación de servidor a servidor, ejecute el comando siguiente desde Shell de administración de Skype Empresarial Server:

Get-CsCertificate -Type OAuthTokenIssuer

Si no recibe información del certificado, necesita asignar un certificado del emisor de token para poder usar la autenticación de servidor a servidor. Como norma general, se puede usar cualquier certificado de Skype Empresarial Server 2015 como certificado OAuthTokenIssuer (por ejemplo, el certificado predeterminado de Skype Empresarial Server 2015 también se puede usar como certificado OAuthTokenIssuer). Asimismo, el certificado OAuthTokenIssuer puede ser cualquier certificado de servidor web que incluya el nombre del dominio SIP en el campo Asunto. Los dos requisitos principales del certificado que se use para la autenticación de servidor a servidor son: 1) como certificado OAuthTokenIssuer, necesita configurarse el mismo certificado en todos los servidores front-end; 2) el certificado necesita tener al menos 2048 bits.

Si no dispone de un certificado que pueda usarse para la autenticación de servidor a servidor, puede obtener uno nuevo, importarlo y usarlo para este tipo de autenticación. Una vez haya solicitado y obtenido el nuevo certificado, podrá iniciar sesión en cualquiera de los Servidores front-end y usar un comando de Windows PowerShell similar a este para importar y asignar el certificado:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

En el comando anterior, el parámetro Path representa la ruta de acceso completa al archivo de certificado, y el parámetro Password representa la contraseña que se asignó al certificado. Este procedimiento necesita ejecutarse una sola vez: el servicio de replicación de Skype Empresarial Server creará automáticamente un conjunto de tareas programadas que descifrarán e implementarán el certificado en todos los servidores front-end.

También puede usar un certificado actual como certificado de autenticación de servidor a servidor. Como se ha mencionado, el certificado predeterminado se puede usar como certificado de autenticación de servidor a servidor. Los dos comandos siguientes de Windows PowerShell recuperan el valor de la propiedad Thumbprint del certificado predeterminado. Use este valor para que el certificado predeterminado sea el certificado de autenticación de servidor a servidor:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

En el comando anterior, el certificado recuperado está configurado para funcionar con certificado de autenticación de servidor a servidor global. Esto significa que el certificado se replicará en todos los Servidores front-end y que se usará en ellos. Recuerde que este comando solo tiene que ejecutarse una vez en los Servidores front-end. Aunque todos los Servidores front-end necesitan usar el mismo certificado, no tiene que configurar el certificado OAuthTokenIssuer en cada Servidor front-end. Configure el certificado una vez y deje que el servidor de replicación de Skype Empresarial Server 2015 se ocupe de copiarlo en cada uno de los servidores.

El cmdlet Set-CsCertificate toma el certificado en cuestión e inmediatamente configura dicho certificado para que actúe como el certificado OAuthTokenIssuer actual. Skype Empresarial Server 2015 conserva dos copias de un tipo de certificado: el certificado actual y el anterior. Si necesita que el nuevo certificado empiece a actuar de forma inmediata como certificado OAuthTokenIssuer, necesita usar el cmdlet Set-CsCertificate.

También puede usar el cmdlet Set-CsCertificate para la "sucesión" de un nuevo certificado. "Sucesión" significa simplemente que se configura un nuevo certificado para que pase a ser el certificado OAuthTokenIssuer actual en un momento determinado. Por ejemplo, este comando recupera el certificado predeterminado y lo configura para que sea el certificado OAuthTokenIssuer actual a partir del miércoles, 01 de julio de 2015:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

El miércoles, 01 de julio de 2015, el nuevo certificado se configurará como el certificado OAuthTokenIssuer actual, y el "antiguo" certificado OAuthTokenIssuer se configurará como el certificado anterior.

Si no quiere usar Windows PowerShell, puede usar la consola MMC de certificados para exportar un certificado del Servidor front-end e importarlo a todos los Servidores front-end. Si lo hace así, no olvide exportar la clave privada junto con el propio certificado.

CautionPrecaución:
En tal caso, el procedimiento necesita hacerse en cada Servidor front-end. Si los certificados se exportan e importan de este modo, Skype Empresarial Server 2015 no los replicará en cada Servidor front-end.

Una vez que el certificado se haya importado en todos los servidores front-end, se podrá asignar con el Asistente para la implementación de Skype Empresarial Server, en lugar de con Windows PowerShell. Para asignar un certificado con el Asistente para la implementación, siga estos pasos en un equipo donde este asistente esté instalado:

  1. Haga clic en Inicio, Todos los programas, haga clic en Skype Empresarial Server 2015 y después haga clic en Asistente para la implementación de Skype Empresarial Server .

  2. En el Asistente para la implementación, haga clic en Instalar o actualizar el sistema de Skype Empresarial Server .

  3. En la página Skype Empresarial Server 2015, haga clic en el botón Ejecutar bajo el encabezado Paso 3: Solicitar, instalar o asignar certificados . Nota: si ya ha instalado certificados en este equipo, en lugar del botón Ejecutar , aparecerá Ejecutar de nuevo .

  4. En el Asistente para certificados, seleccione el certificado OAuthTokenIssuer y haga clic en Asignar .

  5. En la página Asignación de certificado del Asistente para certificados, haga clic en Siguiente .

  6. En la página Almacén de certificados , seleccione el certificado que desea usar para la autenticación de servidor a servidor y haga clic en Siguiente .

  7. En la página Resumen de asignación de certificados, haga clic en Siguiente .

  8. En la página Ejecutar comandos, haga clic en Finalizar .

  9. Cierre el Asistente para certificados y el Asistente para la implementación.

 
Mostrar: