Realizar fases de los certificados AV y OAuth en Skype Empresarial Server mediante -Roll in Set-CsCertificate
Resumen: Stage AV and OAuth certificates for Skype Empresarial Server.
Las comunicaciones de audio/vídeo (A/V) son un componente clave de Skype Empresarial Server. Las características como el uso compartido de aplicaciones y las audioconferencias y videoconferencias dependen de los certificados asignados al servicio perimetral de A/V, específicamente el servicio de autenticación A/V.
Importante
Esta nueva característica está diseñada para funcionar para el servicio perimetral de A/V y el certificado OAuthTokenIssuer. Se pueden aprovisionar otros tipos de certificados junto con el servicio perimetral de A/V y el tipo de certificado OAuth, pero no se beneficiarán del comportamiento de coexistencia que tendrá el certificado de servicio perimetral de A/V.
Los cmdlets de PowerShell del Shell de administración de Skype Empresarial Server usados para administrar certificados de Skype Empresarial Server hacen referencia al certificado de servicio perimetral A/V como el tipo de certificado AudioVideoAuthentication y el certificado OAuthServer como typeOAuthTokenIssuer. Para el resto de este tema y para identificar de forma exclusiva los certificados, se hará referencia a ellos mediante el mismo tipo de identificador, AudioVideoAuthentication yOAuthTokenIssuer.
El servicio de autenticación A/V es responsable de emitir tokens que usan los clientes y otros consumidores de A/V. Los tokens se generan a partir de atributos del certificado y, cuando el certificado expira, se produce la pérdida de conexión y es necesario volver a unirse con un nuevo token generado por el nuevo certificado. Una nueva característica de Skype Empresarial Server aliviará este problema: la capacidad de preparar un nuevo certificado antes de que expire el antiguo y permitir que ambos certificados sigan funcionando durante un período de tiempo. Esta característica usa funcionalidad actualizada en el cmdlet de Shell de administración de Set-CsCertificate Skype Empresarial Server. El nuevo parámetro -Roll, con el parámetro existente -EffectiveDate, colocará el nuevo certificado de AudioVideoAuthentication en el almacén de certificados. El certificado AudioVideoAuthentication más antiguo permanecerá todavía para validar con él los tokens emitidos. A partir de la implementación del nuevo certificado AudioVideoAuthentication, se producirá la siguiente serie de eventos:
Propina
Con los cmdlets del Shell de administración de Skype Empresarial Server para administrar certificados, puede solicitar certificados independientes y distintos para cada propósito en el servidor perimetral. El uso del Asistente para certificados en el Asistente para la implementación de Skype Empresarial Server le ayuda a crear certificados, pero suele ser del tipo predeterminado que acopla todos los certificados que se usan para el servidor perimetral en un único certificado. La práctica recomendada si va a usar la característica de certificado móvil es desacoplar el certificado de AudioVideoAuthentication de otros fines de certificado. Puede aprovisionar y crear una fase de un certificado del tipo Predeterminado, pero solo la parte de AudioVideoAuthentication del certificado combinado se beneficiará del ensayo. Un usuario implicado (por ejemplo) en una conversación de mensajería instantánea cuando el certificado expire tendrá que cerrar la sesión y volver a iniciarla para usar el nuevo certificado asociado con el servicio perimetral de acceso. Se producirá un comportamiento similar para un usuario implicado en una conferencia web que use el servicio perimetral de conferencia web. El certificado OAuthTokenIssuer es un tipo específico que se comparte en todos los servidores. El certificado se crea y administra en un solo lugar y el certificado se almacena en el almacén de administración central de todos los demás servidores.
Se necesitan detalles adicionales para comprender por completo las opciones y los requisitos al usar el cmdlet de Set-CsCertificate y usarlo para preconfigurar certificados antes de que expire el certificado actual. El parámetro -Roll es importante, pero básicamente tiene un único propósito. Si lo defines como un parámetro, estás diciendo Set-CsCertificate que va a proporcionar información sobre el certificado que se verá afectado por -Type (por ejemplo AudioVideoAuthentication y OAuthTokenIssuer), cuando el certificado se hará efectivo definido por -EffectiveDate.
-Roll: el parámetro -Roll es obligatorio y tiene dependencias que se deben proporcionar junto con él. Parámetros necesarios para definir por completo qué certificados se verán afectados y cómo se aplicarán:
-EffectiveDate: el parámetro -EffectiveDate define cuándo el nuevo certificado se activará con el certificado actual. El -EffectiveDate puede estar cerca del tiempo de expiración del certificado actual, o puede ser un período de tiempo más largo. Un mínimo recomendado -EffectiveDate para el certificado de AudioVideoAuthentication sería de 8 horas, que es la duración del token predeterminada para los tokens de servicio de SERVIDOR AV emitidos con el certificado de AudioVideoAuthentication.
Al preparar certificados OAuthTokenIssuer, hay diferentes requisitos para el plazo antes de que el certificado pueda ser efectivo. El tiempo mínimo que el certificado OAuthTokenIssuer debe tener para su plazo es de 24 horas antes de la fecha de expiración del certificado actual. El plazo ampliado para la coexistencia se debe a otros roles de servidor que dependen del certificado OAuthTokenIssuer (Exchange Server, por ejemplo) que tiene un tiempo de retención más largo para la autenticación creada por certificado y los materiales de clave de cifrado.
-Huella digital: la huella digital es un atributo del certificado que es único para ese certificado. El parámetro -Thumbprint se usa para identificar el certificado que se verá afectado por las acciones del cmdlet de Set-CsCertificate.
-Type: el parámetro -Type puede aceptar un único tipo de uso de certificado o una lista de tipos de uso de certificados separados por comas. Los tipos de certificado son los que identifican al cmdlet y al servidor cuál es el propósito del certificado. Por ejemplo, el tipo AudioVideoAuthentication está disponible para el servicio perimetral A/V y el servicio de autenticación AV. Si decide preparar y aprovisionar certificados de otro tipo al mismo tiempo, debe tener en cuenta el plazo mínimo efectivo necesario para los certificados. Por ejemplo, necesita realizar la fase de certificados de tipo AudioVideoAuthentication y OAuthTokenIssuer. El valor mínimo -EffectiveDate debe ser el mayor de los dos certificados, en este caso el OAuthTokenIssuer, que tiene un plazo mínimo de 24 horas. Si no desea preparar el certificado de AudioVideoAuthentication con un plazo de 24 horas, escenificarlo por separado con una Fecha Efectiva que sea más adecuada para sus requisitos.
Para actualizar o renovar un certificado de servicio perimetral de A/V con los parámetros -Roll y -EffectiveDate
Inicie sesión en el equipo local como miembro del grupo Administradores.
Solicite una renovación o un nuevo certificado de AudioVideoAuthentication con clave privada exportable para el certificado existente en el servicio perimetral A/V.
Importe el nuevo certificado de AudioVideoAuthentication al servidor perimetral y al resto del servidor perimetral del grupo (si tiene un grupo implementado).
Configure el certificado importado con el cmdlet Set-CsCertificate y use el parámetro -Roll con el parámetro -EffectiveDate. La fecha de entrada en vigor debe definirse como la hora de expiración del certificado actual (14:00:00 o 2:00:00 p.m.) menos la duración del token (de forma predeterminada, ocho horas). Esto nos proporciona una hora en la que el certificado debe establecerse como activo y es la cadena> -EffectiveDate<: "22/7/2015 6:00:00 AM".
Importante
Para un grupo de servidores perimetrales, debe tener todos los certificados de AudioVideoAuthentication implementados y aprovisionados por la fecha y hora definidas por el parámetro -EffectiveDate del primer certificado implementado para evitar posibles interrupciones en las comunicaciones A/V debido a la expiración del certificado anterior antes de que todos los tokens de cliente y consumidor se hayan renovado con el nuevo certificado.
Comando Set-CsCertificate con el parámetro -Roll y -EffectiveTime:
Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint <thumb print of new certificate> -Roll -EffectiveDate <date and time for certificate to become active>Un ejemplo Set-CsCertificate comando:
Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2015 6:00:00 AM"Importante
Debe tener formato EffectiveDate para que coincida con la configuración de idioma y la región del servidor. En el ejemplo se usa la configuración de región e idioma inglés de Ee. UU.
Para comprender aún más el proceso que Set-CsCertificate, -Roll y -EffectiveDate utilizan para crear un nuevo certificado para emitir nuevos tokens de AudioVideoAuthentication mientras se usa un certificado existente para validar audiovideoauthentication que están en uso por los consumidores, una escala de tiempo visual es un medio eficaz de comprender el proceso. En el ejemplo siguiente, el administrador determina que el certificado de servicio perimetral A/V vence a las 2:00:00 p.m. del 22/07/2015. Solicita y recibe un nuevo certificado e lo importa a cada servidor perimetral de su grupo. A las 2 de la mañana del 22/07/2015, comienza a ejecutar Get-CsCertificate con -Roll, -Huella digital igual a la cadena de huella digital del nuevo certificado y -EffectiveTime establecido en 07/22/2015 6:00:00 AM. Ejecuta este comando en cada servidor perimetral.
| Globo | Etapa |
|---|---|
| 1 | Inicio: 22/7/2015 12:00:00 El certificado de AudioVideoAuthentication actual vence a las 2:00:00 p.m. el 22/7/2015. Esto lo determina la marca de tiempo de expiración del certificado. Planee la sustitución del certificado y la sustitución para tener en cuenta una superposición de 8 horas (duración predeterminada del token) antes de que el certificado existente llegue al tiempo de expiración. El plazo de las 2:00:00 a.m. se usa en este ejemplo para permitir al administrador un tiempo adecuado para colocar y aprovisionar los nuevos certificados antes de la hora efectiva de las 6:00:00 a.m. |
| 2 | 22/7/2015 2:00:00 AM - 22/7/2015 5:59:59 AM Establecer certificados en servidores perimetrales con una hora de vigencia de 6:00:00 AM (el plazo de 4 horas es para este ejemplo, pero puede ser más largo) con Set-CsCertificate tipo> de uso de certificado -<Huella digital <del nuevo certificado> -Roll -EffectiveDate <cadena datetime de la hora efectiva para el nuevo certificado> |
| 3 | 22/7/2015 6:00 AM - 22/7/2015 2:00 PM Para validar tokens, el nuevo certificado se prueba primero y, si el nuevo certificado no puede validar el token, se prueba el certificado antiguo. Este proceso se usa para todos los tokens durante el período de superposición de 8 horas (duración predeterminada del token). |
| 4 | Final: 22/7/2015 2:00:01 p.m. El certificado antiguo ha expirado y el nuevo certificado ha tomado el control. El certificado antiguo se puede quitar de forma segura con Remove-CsCertificate tipo <> de uso de certificado -Anterior |
Cuando se alcance la hora efectiva (22/7/2015 6:00:00 a.m.), todos los tokens nuevos se emiten por el nuevo certificado. Al validar tokens, los tokens se validarán primero con el nuevo certificado. Si se produce un error en la validación, se intenta el certificado antiguo. El proceso de probar el nuevo certificado y volver al certificado antiguo continuará hasta la fecha de expiración del certificado antiguo. Una vez que el certificado antiguo haya expirado (22/7/2015 2:00:00 p.m.), los tokens solo se validarán mediante el nuevo certificado. El certificado antiguo se puede quitar de forma segura mediante el cmdlet Remove-CsCertificate con el parámetro -Previous.
Remove-CsCertificate -Type AudioVideoAuthentication -Previous
Para actualizar o renovar un certificado OAuthTokenIssuer con un parámetro -Roll y -EffectiveDate
Inicie sesión en el equipo local como miembro del grupo Administradores.
Solicite una renovación o un nuevo certificado OAuthTokenIssuer con clave privada exportable para el certificado existente en el servidor front-end.
Importe el nuevo certificado de OAuthTokenIssuer a un servidor front-end del grupo (si tiene implementado un grupo). El certificado de OAuthTokenIssuer se replica globalmente y solo debe actualizarse y renovarse en cualquier servidor de la implementación. El servidor front-end se usa como ejemplo.
Configure el certificado importado con el cmdlet Set-CsCertificate y use el parámetro -Roll con el parámetro -EffectiveDate. La fecha de entrada en vigor debe definirse como la hora de expiración del certificado actual (14:00:00 o 2:00:00 p.m.) menos un mínimo de 24 horas.
Comando Set-CsCertificate con el parámetro -Roll y -EffectiveTime:
Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumbprint of new certificate> -Roll -EffectiveDate <date and time for certificate to become active> -identity Global
Un ejemplo Set-CsCertificate comando:
Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2015 1:00:00 PM"
Importante
Debe tener formato EffectiveDate para que coincida con la configuración de idioma y la región del servidor. En el ejemplo se usa la configuración de región e idioma inglés de Ee. UU.
Cuando se alcanza la hora efectiva (21/7/2015 1:00:00 a.m.), todos los tokens nuevos son emitidos por el nuevo certificado. Al validar tokens, los tokens se validarán primero con el nuevo certificado. Si se produce un error en la validación, se intenta el certificado antiguo. El proceso de probar el nuevo certificado y volver al certificado antiguo continuará hasta la fecha de expiración del certificado antiguo. Una vez que el certificado antiguo haya expirado (22/7/2015 2:00:00 p.m.), los tokens solo se validarán mediante el nuevo certificado. El certificado antiguo se puede quitar de forma segura mediante el cmdlet Remove-CsCertificate con el parámetro -Previous.
Remove-CsCertificate -Type OAuthTokenIssuer -Previous