Realizar copia intermedia de certificados AV y OAuth en Skype Empresarial Server 2015 usando -Roll en Set-CsCertificate

Skype for Business Server 2015
 

Última modificación del tema:2016-04-01

Resumen: fase certificados de OAuth y audio y vídeo para Skype Empresarial Server 2015.

Las comunicaciones de audio y vídeo (A/V) son un componente clave de Skype Empresarial Server 2015. Características como el uso compartido de aplicaciones y la conferencia de vídeo y audio dependen de los certificados asignados al Servicio perimetral A/V, específicamente al servicio de autenticación A/V.

importantImportante:
  1. Esta nueva característica está diseñada para trabajar para el Servicio perimetral A/V y el certificado OAuthTokenIssuer . Pueden proporcionarse otros tipos de certificado junto con el tipo de certificado OAuth y el Servicio perimetral A/V, pero no se beneficiarán del mismo comportamiento de coexistencia que el certificado del Servicio perimetral A/V.

  2. Los cmdlets de PowerShell de Shell de administración de Skype Empresarial Server usados para administrar los certificados de Skype Empresarial Server 2015 hacen referencia al certificado Servicio perimetral A/V como tipo de certificado AudioVideoAuthentication y al certificado OAuthServer como tipo OAuthTokenIssuer . Para el resto de este tema y para identificar de forma exclusiva los certificados, se les hará referencia mediante el mismo tipo de identificador, AudioVideoAuthentication y OAuthTokenIssuer .

El servicio de autenticación A/V es responsable de emitir tokens que usan los clientes y otros consumidores de A/V. Los tokens se generan a partir de atributos del certificado y, cuando el certificado expira, se produce la pérdida de conexión y es necesario volver a unirse con un nuevo token generado por el nuevo certificado. Una nueva característica de Skype Empresarial Server 2015 aliviará este problema: la capacidad de crear un nuevo certificado antes de que el anterior expire y permitir que ambos certificados continúen funcionando durante un período de tiempo. Esta característica usa funcionalidad actualizada del cmdlet Set-CsCertificate de Shell de administración de Skype Empresarial Server. El nuevo parámetro –Roll, con el parámetro existente –EffectiveDate, colocará el nuevo certificado AudioVideoAuthentication en el almacén de certificados. El certificado AudioVideoAuthentication más antiguo permanecerá todavía para validar con él los tokens emitidos. A partir de la implementación del nuevo certificado AudioVideoAuthentication, se producirá la siguiente serie de eventos:

tipSugerencia:
Con los cmdlets de Shell de administración de Skype Empresarial Server para administrar certificados, puede solicitar certificados independientes y distintos para cada propósito en el Servidor perimetral. El uso del Asistente para certificados del Asistente para la implementación de Skype Empresarial Server le ayuda a crear certificados, pero normalmente es del tipo predeterminado que vincula todos los usos de certificado para el Servidor perimetral en un certificado único. La práctica recomendada si va a usar la característica de certificado en secuencia es desvincular el certificado AudioVideoAuthentication de los demás fines de certificado. Puede aprovisionar y crear un acopia intermedia de un certificado del tipo predeterminado, pero solo la parte de AudioVideoAuthentication del certificado combinado se beneficiará de ello. Un usuario que participa, por ejemplo, en una conversación de mensajería instantánea cuando el certificado expira tendrá que cerrar la sesión y volver a iniciarla para usar el nuevo certificado asociado al fServidor perimetral de acceso. Algo parecido ocurrirá para un usuario que participe en una conferencia web mediante el Servicio perimetral de conferencia web. El certificado OAuthTokenIssuer es un tipo específico que se comparte en todos los servidores. El certificado se debe crear y administrar en un lugar y se almacena en el Almacén de administración central para todos los demás servidores.

Se necesitan detalles adicionales para comprender por completo las opciones y los requisitos al usar el cmdlet Set-CsCertificate y al usarlo para realizar una copia intermedia de los certificados antes de la expiración del certificado actual. El parámetro –Roll es importante, pero, fundamentalmente, tiene un solo propósito. Si lo define como parámetro, está indicando a Set-CsCertificate que proporcionará información acerca del certificado que se verá afectado definido por –Type (por ejemplo, AudioVideoAuthentication y OAuthTokenIssuer), cuando el certificado se hará efectivo definido por –EffectiveDate.

-Roll: el parámetro –Roll es obligatorio y tiene dependencias que se deben suministrar con él. Parámetros obligatorios para definir por completo qué certificados se verán afectados y cómo se aplicarán:

-EffectiveDate: el parámetro –EffectiveDate define cuándo el nuevo certificado se hará coactivo con el certificado actual. El –EffectiveDate puede estar cercano al tiempo de expiración del certificado actual, o bien puede ser un período de tiempo mayor. Un –EffectiveDate mínimo recomendado para el certificado AudioVideoAuthentication sería de 8 horas, que es la vigencia de token predeterminada para los tokens de servicio perimetral AV emitidos con el certificado AudioVideoAuthentication.

Al organizar certificados OAuthTokenIssuer, hay diferentes requisitos para el plazo antes de que el certificado se haga efectivo. El tiempo mínimo que el certificado OAuthTokenIssuer debe tener para su plazo es de 24 horas antes del tiempo de expiración del certificado actual. El plazo extendido para la coexistencia es debido a otros roles de servidor que son independientes del certificado OAuthTokenIssuer (Exchange Server, por ejemplo) que tiene un tiempo de retención superior para los materiales clave de cifrado y autenticación creada de certificado.

-Thumbprint: la huella digital es un atributo del certificado que es único para dicho certificado. El parámetro –Thumbprint se usa para identificar el certificado que se verá afectado por las acciones del cmdlet Set-CsCertificate.

-Type: el parámetro –Type puede aceptar un tipo de uso de certificado único o una lista separada por comas de tipos de uso de certificado. Los tipos de certificados son aquellos que identifican al cmdlet y al servidor cuál es el propósito del certificado. Por ejemplo, el tipo AudioVideoAuthentication es para que lo use el Servicio perimetral A/V y el servicio de autenticación AV. Si decide organizar y aprovisionar certificados de un tipo diferente al mismo tiempo, debe tener en cuenta el mayor plazo efectivo mínimo para los certificados. Por ejemplo, tiene que organizar certificados de tipo AudioVideoAuthentication y OAuthTokenIssuer. Su –EffectiveDate mínima debe ser la mayor de los dos certificados, en este caso el OAuthTokenIssuer, que tiene un plazo mínimo de 24 horas. Si no desea organizar el certificado AudioVideoAuthentication con un plazo de 24 horas, organícelo por separado con una EffectiveDate que se adapte más a sus requisitos.

  1. Inicie sesión en el equipo local como miembro del grupo Administradores.

  2. Solicite una renovación o un nuevo certificado AudioVideoAuthentication con clave privada exportable para el certificado existente en el Servicio perimetral A/V.

  3. Importe el nuevo certificado AudioVideoAuthentication en el Servidor perimetral y todos los demás Servidor perimetral del grupo de servidores (si tiene un grupo de servidores implementado).

  4. Configure el certificado importado con el cmdlet Set-CsCertificate y use el parámetro –Roll con el parámetro –EffectiveDate. La fecha efectiva se debe definir como la hora de expiración del certificado actual (14:00:00 o 2:00:00 PM) menos la vigencia de token (de manera predeterminada, ocho horas). Esto nos proporciona una hora que el certificado debe establecerse en activo y es la –EffectiveDate <cadena>: “22/07/2015 6:00:00 AM”.

    importantImportante:
    Para un Grupo de servidores perimetrales, debe tener todos los certificados de AudioVideoAuthentication implementados y aprovisionados por la fecha y la hora definidos por el parámetro –EffectiveDate del primer certificado implementado para evitar una posible interrupción de comunicaciones A/V si el certificado más antiguo expira antes de que todos los tokens de cliente y consumidor se hayan renovado mediante el nuevo certificado.

    El comando Set-CsCertificate con el parámetro –Roll y –EffectiveTime:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
    		  <thumb print of new certificate> -Roll -EffectiveDate <date and time
    		  for certificate to become active>
    

    Un comando Set-CsCertificate de ejemplo:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
    		  "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2015
    		  6:00:00 AM"
    
    importantImportante:
    El valor de EffectiveDate debe tener el formato que coincida con la configuración regional y de idioma de su servidor. En el ejemplo se usa la configuración regional y de idioma inglés (EE. UU.)

Para comprender mejor el proceso que Set-CsCertificate, -Roll y –EffectiveDate usan para organizar un nuevo certificado para emitir nuevos tokens AudioVideoAuthentication a la vez que usan un certificado existente para validar los tokens AudioVideoAuthentication que usan los consumidores, resulta de gran ayuda usar una escala de tiempo visual.

En el siguiente ejemplo, el administrador determina que el certificado del Servicio perimetral A/V expirará a las 14:00:00 de día 22/07/2015. Solicita y recibe un nuevo certificado y lo importa a cada Servidor perimetral de este grupo. A las 2 AM del día 22/07/2015, comienza a ejecutar Get-CsCertificate con –Roll, -Thumbprint igual a la cadena de huella digital del nuevo certificado y –EffectiveTime establecido en 22/07/2015 6:00:00. Ejecuta este comando en cada Servidor perimetral.

Usar los parámetros Roll y EffectiveDate.

 

Llamada Fase

1

Inicio: 7/22/2015 12:00:00

El certificado AudioVideoAuthentication actual expirará a las 14:00:00 del día 22/7/2015. Esto está determinado por la marca de tiempo de expiración del certificado. Se debe planear la sustitución de certificado para que se produzca una superposición de 8 horas (vigencia de token predeterminada) antes de que el certificado actual alcance la hora de expiración. En este ejemplo, se usa la hora de inicio 2:00:00 para que el administrador tenga tiempo suficiente para colocar y suministrar los nuevos certificados antes de las 6:00:00, que es la hora efectiva.

2

7/22/2015 2:00:00 - 7/22/2015 5:59:59

Configurar los certificados en los servidores perimetrales con las 6:00:00 como hora efectiva (en este ejemplo, se usan 4 horas de antelación, pero este valor puede ser más largo) con Set-CsCertificate -Type <certificado tipo de uso> -Thumprint <;huella digital del nuevo certificado> -Roll -EffectiveDate <cadena de fecha y hora de la hora efectiva para el nuevo certificado>;

3

7/22/2015 6:00 - 7/22/2015 14:00

Para validar tokens, primero se prueba el nuevo certificado y, si no valida el token, se prueba el certificado antiguo. Este proceso se usa para todos los tokens durante el período de 8 horas de superposición (vigencia predeterminada del token).

4

Final: 7/22/2015 14:00:01

El certificado antiguo ha expirado y se ha pasado a usar el nuevo certificado. El certificado antiguo se puede quitar con seguridad con Remove-CsCertificate -Type <tipo de uso de certificado> Previous

Cuando se alcanza la hora efectiva (22/07/2015 6:00:00), todos los nuevos tokens se emiten por el nuevo certificado. Cuando se validan los tokens, estos se validarán primero con el nuevo certificado. Si se produce un error en la validación, se prueba el antiguo certificado. El proceso de probar el nuevo y recurrir al antiguo certificado continuará hasta la hora de expiración del antiguo certificado. Una vez que el antiguo certificado ha expirado (22/07/2015 14:00:00), los tokens solo los validará el nuevo certificado. El antiguo certificado se puede quitar de manera segura mediante el cmdlet Remove-CsCertificate con el parámetro –Previous.

Remove-CsCertificate -Type AudioVideoAuthentication -Previous

  1. Inicie sesión en el equipo local como miembro del grupo Administradores.

  2. Solicite una renovación o un nuevo certificado OAuthTokenIssuer con clave privada exportable para el certificado existente en el Servidor front-end.

  3. Importe el nuevo certificado OAuthTokenIssuer a un Servidor front-end en su grupo (si tiene un grupo de servidores implementado). El certificado OAuthTokenIssuer se replica globalmente y solo se tiene que actualizar y renovar en cualquier servidor de su implementación. El Servidor front-end se usa como ejemplo.

  4. Configure el certificado importado con el cmdlet Set-CsCertificate y use el parámetro –Roll con el parámetro –EffectiveDate. La fecha de vigencia se debe definir como la hora de expiración de certificado actual (14:00:00 o 2:00:00 PM) menos un mínimo de 24 horas.

    El comando Set-CsCertificate con el parámetro –Roll y –EffectiveTime:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumb
    		  print of new certificate> -Roll -EffectiveDate <date and time for
    		  certificate to become active> -identity Global 
    

    Un comando Set-CsCertificate de ejemplo:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint
    		  "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2015
    		  1:00:00 PM" 
    
    importantImportante:
    El valor de EffectiveDate debe tener el formato que coincida con la configuración regional y de idioma del servidor. El ejemplo usa la configuración regional y de idioma inglés (EE. UU.)

Cuando se alcanza la hora efectiva (21/07/2015 01:00:00), el nuevo certificado emite todos los tokens nuevos. Al validar los tokens, estos se validarán primero con el nuevo certificado. Si se produce un error en la validación, se prueba el antiguo certificado. El proceso de probar el certificado nuevo y recurrir al antiguo continuará hasta la hora de expiración del certificado antiguo. Una vez que el certificado antiguo haya expirado (22/07/2015 14:00:00), los tokens solo los validará el nuevo certificado. El certificado antiguo se puede quitar de manera segura mediante el cmdlet Remove-CsCertificate con el parámetro –Previous.

Remove-CsCertificate -Type OAuthTokenIssuer -Previous 
 
Mostrar: