• Articolo

Acquisizione dei certificati per Group Chat Server

 

Ultima modifica dell'argomento: 2012-03-06

Per poter installare Microsoft Lync Server 2010, Group Chat, è necessario disporre di un certificato rilasciato dalla stessa Autorità di certificazione (CA) utilizzata dai server Microsoft Lync Server 2010 interni per ogni server che esegue il servizio di ricerca, il servizio canali, il servizio Web e il servizio di conformità. Ottenere i certificati necessari prima di avviare Lync Server 2010, Group Chat, soprattutto se si utilizza una CA esterna.

Per informazioni sulla configurazione del certificato IIS del servizio Web, vedere Configurazione del certificato IIS del servizio Web per Group Chat Server.

È possibile utilizzare le procedure incluse in questo argomento per ottenere un certificato tramite una CA globale (enterprise) interna e Servizi certificati di Windows.

Per scaricare il percorso di certificazione della CA

  1. Con la CA radice dell'organizzazione offline e il server della CA subordinata (emittente) online, eseguire l'accesso a Group Chat Server facendo clic sul pulsante Start, scegliendo Esegui, digitando http://<nome del server della CA emittente>/certsrv e quindi facendo clic su OK.

  2. Nella casella Selezionare un'attività fare clic su Scarica un certificato CA, la catena di certificati o un CRL.

  3. In Scarica un certificato CA,la catena di certificati oun CRL fare clic su Esegui download catena di certificati CA.

  4. Nella finestra di dialogo Download del file fare clic su Salva.

  5. Salvare il file con estensione p7b in un'unità del server. Quando il file viene aperto, la catena conterrà i due certificati seguenti:

    • Certificato <nome della CA radice globale (enterprise)>

    • Certificato <nome della CA subordinata globale (enterprise)>

Per installare il percorso di certificazione della CA

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e quindi fare clic su OK.

  2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.

  3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in fare clic su Aggiungi.

  4. Nell'elenco Snap-in autonomi disponibili fare clic su Certificati e quindi su Aggiungi.

  5. Fare clic su Account del computer e quindi su Avanti.

  6. Nella finestra di dialogo Selezione computer fare clic su Computer locale (il computer su cui è in esecuzione questa console) e quindi su Fine.

  7. Fare clic su Chiudi e quindi su OK.

  8. Nell'albero della console dello snap-in Certificati espandere Certificati (computer locale).

  9. Espandere Autorità di certificazione radice attendibili.

  10. Fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e quindi Importa.

  11. Nell'Importazione guidata fare clic su Avanti.

  12. Fare clic su Sfoglia, passare alla cartella in cui è stata salvata la catena di certificati, fare clic sul file con estensione p7b e quindi su Apri.

  13. Fare clic su Avanti.

  14. Accettare il valore predefinito Mettere tutti i certificati nel seguente archivio e verificare che la voce Autorità di certificazione radice attendibili sia presente nell'archivio certificati.

  15. Fare clic su Avanti.

  16. Fare clic su Fine.

Per richiedere un certificato

  1. Aprire un Web browser, digitare http://<nome del server della CA emittente>/certsrv e quindi premere INVIO.

  2. Fare clic su Richiedi un certificato.

  3. Fare clic su Richiesta avanzata di certificati.

  4. Fare clic su Creare e inviare una richiesta a questa CA.

  5. In Modello di certificato selezionare il modello server Web.

    importantImportante:
    Quando si richiede un certificato tramite un sito Web, il certificato viene installato nel percorso predefinito, ovvero Utente corrente\Personale\Certificati. È necessario importare il certificato in Computer locale\Personale. È per questo motivo che il certificato deve essere esportato e quindi importato in Computer locale\Personale\Certificati. Potrebbe essere necessario creare una copia del modello di certificato del server Web che consenta l'utilizzo di una chiave privata esportabile. Nella richiesta del certificato utilizzare tale modello server Web che consente di esportare la chiave privata. Per un esempio, vedere la procedura successiva, "Per creare un certificato con una chiave privata esportabile".

  6. In Dati di identificazione per modello non in linea digitare il nome di dominio completo (FQDN) del server in Nome.

  7. In Opzioni chiave fare clic su Microsoft RSA Channel Cryptographic Provider in CSP.

  8. Selezionare la casella di controllo Archivia certificato nell'archivio certificati del computer locale.

  9. Fare clic su Invia.

  10. Nella finestra di dialogo Potenziale violazione dello script fare clic su .

Per creare un certificato con una chiave privata esportabile

  1. Utilizzare il file certreq.inf e il comando Certutil per creare un certificato con una chiave privata esportabile. Ad esempio, creare innanzitutto un file request.inf:

    [NewRequest]
Subject = "CN=server.contoso.com" 
Exportable = TRUE
KeyLength = 1024 
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC

  2. Eseguire i comandi Certutil seguenti:

    certreq -new request.inf certnew.req
certreq -submit -attrib "CertificateTemplate:Webserver" certnew.req certnew.cer
certreq -retrieve <RequestID> certnew.cer
certreq -accept certnew.cer

Per installare il certificato nel computer

  1. Fare clic su Installa questo certificato.

  2. Nella finestra di dialogo Potenziale violazione dello script fare clic su .

Per approvare manualmente una richiesta di emissione del certificato dopo che la richiesta è stata effettuata

  1. Eseguire l'accesso come membri del gruppo Domain Admins al server della CA subordinata globale (enterprise).

  2. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e quindi premere INVIO.

  3. Scegliere Aggiungi/Rimuovi snap-in dal menu File.

  4. Fare clic su Aggiungi.

  5. In Aggiungi snap-in autonomo fare clic su Autorità di certificazione e quindi su Aggiungi.

  6. In Autorità di certificazione fare clic su Computer locale (il computer su cui è in esecuzione questa console).

  7. Fare clic su Fine.

  8. Fare clic su Chiudi e quindi su OK.

  9. In Microsoft Management Console (MMC) espandere Autorità di certificazione e quindi espandere il server di certificazione emittente.

  10. Fare clic su Richiesta in sospeso.

  11. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sulla richiesta identificata dal relativo ID, scegliere Tutte le attività e quindi Emetti.

  12. Nel server da cui è stato richiesto il certificato fare clic sul pulsante Start e quindi scegliere Esegui.

  13. Digitare http://<nome del server della CA emittente>/certsrv e quindi fare clic su OK.

  14. Nella casella Selezionare un'operazione fare clic su Visualizza lo stato di una richiesta di certificato in sospeso.

  15. In Visualizza lo stato di una richiesta di certificato in sospeso fare clic sulla richiesta.

  16. Fare clic su Installa questo certificato.

    Verificare che la catena di certificati CA che garantisce l'attendibilità per i certificati emessi dalla CA sia stata installata nel percorso seguente: Radice console/Certificati (computer locale)/Autorità di certificazione radice attendibili/Certificati. La catena contiene il certificato CA radice.