Ensayo de certificados AV y OAuth en Lync Server 2013 con -Roll in Set-CsCertificate

  • Artículo

 

Última modificación del tema: 11-2012-2013

Las comunicaciones de audio y vídeo (A/V) son un componente clave de Microsoft Lync Server 2013. Las características como el uso compartido de aplicaciones y las audioconferencias y videoconferencias dependen de los certificados asignados al servicio perimetral de A/V, específicamente el servicio de autenticación A/V.

Importante

  1. Esta nueva característica está diseñada para funcionar para el servicio perimetral de A/V y el certificado OAuthTokenIssuer . Se pueden aprovisionar otros tipos de certificados junto con el servicio perimetral de A/V y el tipo de certificado OAuth, pero no se beneficiarán del comportamiento de coexistencia que tendrá el certificado de servicio perimetral de A/V.

  2. Los cmdlets de PowerShell del Shell de administración de Lync Server que se usan para administrar certificados de Microsoft Lync Server 2013 se refieren al certificado de servicio perimetral A/V como el tipo de certificado AudioVideoAuthentication y el certificado OAuthServer como el tipo OAuthTokenIssuer. Para el resto de este tema y para identificar de forma exclusiva los certificados, se les hará referencia mediante el mismo tipo de identificador, AudioVideoAuthentication y OAuthTokenIssuer.

El servicio de autenticación A/V es responsable de emitir tokens que usan los clientes y otros consumidores de A/V. Los tokens se generan a partir de atributos del certificado y, cuando el certificado expira, se produce la pérdida de conexión y es necesario volver a unirse con un nuevo token generado por el nuevo certificado. Una nueva característica de Lync Server 2013 aliviará este problema: la capacidad de preparar un nuevo certificado antes de que expire el antiguo y permitir que ambos certificados sigan funcionando durante un período de tiempo. Esta característica usa funcionalidad actualizada en el cmdlet Set-CsCertificate Shell de administración de Lync Server. El nuevo parámetro –Roll, con el parámetro existente –EffectiveDate, colocará el nuevo certificado AudioVideoAuthentication en el almacén de certificados. El certificado AudioVideoAuthentication más antiguo permanecerá todavía para validar con él los tokens emitidos. A partir de la implementación del nuevo certificado AudioVideoAuthentication, se producirá la siguiente serie de eventos:

Propina

Con los cmdlets del Shell de administración de Lync Server para administrar certificados, puede solicitar certificados independientes y distintos para cada propósito en el servidor perimetral. El uso del Asistente para certificados en el Asistente para la implementación de Lync Server le ayuda a crear certificados, pero normalmente es del tipo predeterminado que acopla todos los certificados que se usan para el servidor perimetral en un único certificado. La práctica recomendada si va a usar la característica de certificado móvil es desacoplar el certificado de AudioVideoAuthentication de otros fines de certificado. Puede aprovisionar y crear una fase de un certificado del tipo Predeterminado, pero solo la parte de AudioVideoAuthentication del certificado combinado se beneficiará del ensayo. Un usuario implicado (por ejemplo) en una conversación de mensajería instantánea cuando expire el certificado tendrá que cerrar la sesión y volver a iniciarla para usar el nuevo certificado asociado con el servicio perimetral de acceso. Se producirá un comportamiento similar para un usuario implicado en una conferencia web que use el servicio perimetral de conferencia web. El certificado OAuthTokenIssuer es un tipo específico que se comparte en todos los servidores. El certificado se crea y administra en un solo lugar y el certificado se almacena en el almacén de administración central de todos los demás servidores.

Se necesitan detalles adicionales para comprender por completo las opciones y los requisitos al usar el cmdlet de Set-CsCertificate y usarlo para preconfigurar certificados antes de que expire el certificado actual. El parámetro –Roll es importante, pero básicamente tiene un único propósito. Si lo defines como un parámetro, estás diciendo a Set-CsCertificate que va a proporcionar información sobre el certificado que se verá afectado por –Type (por ejemplo AudioVideoAuthentication y OAuthTokenIssuer), cuando el certificado se hará efectivo definido por –EffectiveDate.

-Rodillo: El parámetro –Roll es obligatorio y tiene dependencias que se deben proporcionar junto con él. Parámetros necesarios para definir por completo qué certificados se verán afectados y cómo se aplicarán:

-EffectiveDate: El parámetro –EffectiveDate define cuándo el nuevo certificado se vuelve co-activo con el certificado actual. El –EffectiveDate puede estar próximo al tiempo de expiración del certificado actual, o puede ser un período de tiempo más largo. Un mínimo recomendado :EffectiveDate para el certificado de AudioVideoAuthentication sería de 8 horas, que es la duración del token predeterminada para los tokens de servicio de SERVIDOR AV emitidos con el certificado de AudioVideoAuthentication.

Al preparar certificados OAuthTokenIssuer, hay diferentes requisitos para el plazo antes de que el certificado pueda ser efectivo. El tiempo mínimo que el certificado OAuthTokenIssuer debe tener para su plazo es de 24 horas antes de la fecha de expiración del certificado actual. El plazo ampliado para la coexistencia se debe a otros roles de servidor que dependen del certificado OAuthTokenIssuer (Exchange Server, por ejemplo) que tiene un tiempo de retención más largo para la autenticación creada por certificado y los materiales de clave de cifrado.

-Huella digital: La huella digital es un atributo del certificado que es único para ese certificado. El parámetro –Thumbprint se usa para identificar el certificado que se verá afectado por las acciones del cmdlet de Set-CsCertificate.

-Tipo: El parámetro –Type puede aceptar un único tipo de uso de certificado o una lista de tipos de uso de certificado separados por comas. Los tipos de certificado son los que identifican al cmdlet y al servidor cuál es el propósito del certificado. Por ejemplo, el tipo AudioVideoAuthentication está disponible para el servicio perimetral A/V y el servicio de autenticación AV. Si decide preparar y aprovisionar certificados de otro tipo al mismo tiempo, debe tener en cuenta el plazo mínimo efectivo necesario para los certificados. Por ejemplo, necesita realizar la fase de certificados de tipo AudioVideoAuthentication y OAuthTokenIssuer. El valor mínimo –EffectiveDate debe ser el mayor de los dos certificados, en este caso el OAuthTokenIssuer, que tiene un plazo mínimo de 24 horas. Si no desea preparar el certificado de AudioVideoAuthentication con un plazo de 24 horas, escenificarlo por separado con una Fecha Efectiva que sea más adecuada para sus requisitos.

Para actualizar o renovar un certificado de servicio perimetral de A/V con los parámetros –Roll y -EffectiveDate

  1. Inicie sesión en el equipo local como miembro del grupo Administradores.

  2. Solicite una renovación o un nuevo certificado de AudioVideoAuthentication con clave privada exportable para el certificado existente en el servicio perimetral A/V.

  3. Importe el nuevo certificado de AudioVideoAuthentication al servidor perimetral y al resto del servidor perimetral del grupo (si tiene un grupo implementado).

  4. Configure el certificado importado con el cmdlet Set-CsCertificate y use el parámetro –Roll con el parámetro –EffectiveDate. La fecha de entrada en vigor debe definirse como la hora de expiración del certificado actual (14:00:00 o 2:00:00 p.m.) menos la duración del token (de forma predeterminada, ocho horas). Esto nos proporciona una hora en la que el certificado debe establecerse como activo y es la cadena> –EffectiveDate<: "22/7/2012 6:00:00 AM".

    Importante

    Para un grupo de servidores perimetrales, debe tener todos los certificados de AudioVideoAuthentication implementados y aprovisionados según la fecha y hora definidas por el parámetro –EffectiveDate del primer certificado implementado para evitar posibles interrupciones en las comunicaciones A/V debido a la expiración del certificado anterior antes de que se hayan renovado todos los tokens de cliente y consumidor con el nuevo certificado.

    El comando Set-CsCertificate con el parámetro –Roll y –EffectiveTime:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint <thumb print of new certificate> -Roll -EffectiveDate <date and time for certificate to become active>

    Un ejemplo Set-CsCertificate comando:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2012 6:00:00 AM"

    Importante

    Debe tener formato EffectiveDate para que coincida con la configuración de idioma y la región del servidor. En el ejemplo se usa la configuración de región e idioma inglés de Ee. UU.

Para comprender aún más el proceso que Set-CsCertificate, -Roll y –EffectiveDate usan para crear un nuevo certificado para emitir nuevos tokens de AudioVideoAuthentication mientras se usa un certificado existente para validar la autenticación de AudioVideo que usan los consumidores, una escala de tiempo visual es un medio eficaz de comprender el proceso.

En el siguiente ejemplo, el administrador determina que el certificado de servicio perimetral A/V vence a las 2:00:00 p.m. del 22/07/2012. Solicita y recibe un nuevo certificado y lo importa a cada servidor perimetral de su grupo. A las 2 de la mañana del 22/07/2012, comienza a ejecutar Get-CsCertificate con -Roll, -Huella digital igual a la cadena de huella digital del nuevo certificado y -EffectiveTime establecido en 07/22/2012 6:00:00 AM. Ejecuta este comando en cada servidor perimetral.

Con los parámetros Roll y EffectiveDate.

Cuando se alcance la hora efectiva (22/7/2012 6:00:00 a.m.), todos los tokens nuevos se emiten por el nuevo certificado. Al validar tokens, los tokens se validarán primero con el nuevo certificado. Si se produce un error en la validación, se intenta el certificado antiguo. El proceso de probar el nuevo certificado y volver al certificado antiguo continuará hasta la fecha de expiración del certificado antiguo. Una vez que el certificado antiguo haya expirado (22/7/2012, 2:00:00 p.m.), los tokens solo se validarán mediante el nuevo certificado. El certificado antiguo se puede quitar de forma segura mediante el cmdlet Remove-CsCertificate con el parámetro –Previous.

Remove-CsCertificate -Type AudioVideoAuthentication -Previous

Para actualizar o renovar un certificado OAuthTokenIssuer con un parámetro –Roll y -EffectiveDate

  1. Inicie sesión en el equipo local como miembro del grupo Administradores.

  2. Solicite una renovación o un nuevo certificado OAuthTokenIssuer con clave privada exportable para el certificado existente en el servicio perimetral A/V.

  3. Importe el nuevo certificado de OAuthTokenIssuer a un servidor front-end del grupo (si tiene implementado un grupo). El certificado de OAuthTokenIssuer se replica globalmente y solo debe actualizarse y renovarse en cualquier servidor de la implementación. El servidor front-end se usa como ejemplo.

  4. Configure el certificado importado con el cmdlet Set-CsCertificate y use el parámetro –Roll con el parámetro –EffectiveDate. La fecha de entrada en vigor debe definirse como la hora de expiración del certificado actual (14:00:00 o 2:00:00 p.m.) menos un mínimo de 24 horas.

    El comando Set-CsCertificate con el parámetro –Roll y –EffectiveTime:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumb print of new certificate> -Roll -EffectiveDate <date and time for certificate to become active>

    Un ejemplo Set-CsCertificate comando:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2012 1:00:00 PM"

    Importante

    Debe tener formato EffectiveDate para que coincida con la configuración de idioma y la región del servidor. En el ejemplo se usa la configuración de región e idioma inglés de Ee. UU.

Cuando se alcanza la hora efectiva (21/7/2012 1:00:00 a.m.), todos los tokens nuevos son emitidos por el nuevo certificado. Al validar tokens, los tokens se validarán primero con el nuevo certificado. Si se produce un error en la validación, se intenta el certificado antiguo. El proceso de probar el nuevo certificado y volver al certificado antiguo continuará hasta la fecha de expiración del certificado antiguo. Una vez que el certificado antiguo haya expirado (22/7/2012, 2:00:00 p.m.), los tokens solo se validarán mediante el nuevo certificado. El certificado antiguo se puede quitar de forma segura mediante el cmdlet Remove-CsCertificate con el parámetro –Previous.

Remove-CsCertificate -Type OAuthTokenIssuer -Previous