Impostare i certificati per l'interfaccia perimetrale esterna
Ultima modifica dell'argomento: 2012-10-17
.gif "important") Importante: |
|---|
| Quando si esegue la Configurazione guidata certificati, verificare di aver effettuato l'accesso con un account membro di un gruppo che dispone delle autorizzazioni appropriate per il tipo di modello di certificato da utilizzare. Per impostazione predefinita, per una richiesta di certificato di Lync Server viene utilizzato il modello di certificato Web Server. Se per la richiesta di certificato con questo modello si utilizza un account membro del gruppo RTCUniversalServerAdmins, verificare che al gruppo siano assegnate le autorizzazioni di registrazione necessarie per l'utilizzo del modello. |
Per ogni server perimetrale è necessario un certificato pubblico nell'interfaccia tra la rete perimetrale e Internet e il nome alternativo soggetto del certificato deve contenere i nomi esterni dei nomi di dominio completi (FQDN) del servizio Access Edge e del servizio Web Conferencing Edge.
Per informazioni dettagliate su questo e altri requisiti per i certificati, vedere Requisiti dei certificati per l'accesso utente esterno.
Per un elenco delle autorità di certificazione (CA) pubbliche che forniscono i certificati conformi a requisiti specifici dei certificati per comunicazioni unificate e che hanno collaborato con Microsoft per garantirne il funzionamento con la Configurazione guidata certificati di Lync Server, vedere l'articolo 929395 della Microsoft Knowledge Base "Partner per certificati per comunicazioni unificate" all'indirizzo https://support.microsoft.com/kb/929395/it-it.
Configurazione dei certificati nelle interfacce esterne
Per configurare un certificato sull'interfaccia perimetrale esterna di un sito, utilizzare le procedure in questa sezione per eseguire le operazioni seguenti:
Creare la richiesta di certificato per l'interfaccia esterna del server perimetrale.
Inviare la richiesta alla CA pubblica.
Importare il certificato per l'interfaccia esterna di ogni server perimetrale.
Assegnare il certificato per l'interfaccia esterna di ogni server perimetrale.
Se la distribuzione include più server perimetrali, esportare il certificato insieme alla relativa chiave privata, quindi copiarlo negli altri server perimetrali. Per ogni server perimetrale, quindi, importarlo e assegnarlo come descritto in precedenza. Ripetere questa procedura per ogni Edge Server.
È possibile richiedere certificati pubblici direttamente a un'autorità di certificazione (CA) pubblica, ad esempio dal sito Web di una CA pubblica. Le procedure in questa sezione utilizzano la Configurazione guidata certificati per la maggior parte delle attività correlate ai certificati. Se si sceglie di richiedere un certificato direttamente a una CA pubblica, sarà necessario modificare ogni procedura nel modo appropriato per richiedere, trasferire e importare il certificato, nonché importare la catena di certificati.
Quando si richiede un certificato a una CA esterna, le credenziali fornite devono disporre dei diritti necessari per richiedere un certificato a tale CA. Per ogni CA esistono criteri di sicurezza che definiscono le credenziali, ovvero i nomi di utenti e gruppi specifici, cui è consentito richiedere, emettere, gestire o leggere certificati.
Se si decide di utilizzare la console MMC (Microsoft Management Console) Certificati per importare la catena di certificati e il certificato, è necessario importarli nell'archivio certificarti per il computer. Se li si importa nell'archivio certificati dell'utente o del servizio, il certificato non sarà disponibile per l'assegnazione nella Configurazione guidata certificati di Lync Server.
Per creare la richiesta di certificato per l'interfaccia esterna del server perimetrale
Nel server perimetrale, nella Distribuzione guidata fare clic su Riesegui accanto a Passaggio 3: Richiesta, installazione o assegnazione dei certificati.
Nota
Se l'organizzazione desidera supportare la connettività di messaggistica istantanea pubblica con AOL, non è possibile utilizzare la Distribuzione guidata di Lync Server per richiedere il certificato. Eseguire invece i passaggi della procedura "Per creare una richiesta di certificato per l'interfaccia esterna del server perimetrale per il supporto della connettività di messaggistica istantanea pubblica con AOL" più avanti in questo argomento.
Se sono presenti più server perimetrali in una stessa posizione in un pool, è possibile eseguire la Configurazione guidata certificati di Lync Server in uno qualsiasi dei server perimetrali.Nella pagina Attività certificato disponibili fare clic su Crea un nuovo certificato.
Nella pagina Richiesta di certificato fare clic su Certificato perimetro esterno.
Nella pagina Richiesta posticipata o immediata selezionare la casella di controllo Prepara la richiesta per l'invio posticipato.
Nella pagina File richiesta di certificato digitare il percorso completo e il nome del file in cui si desidera salvare la richiesta, ad esempio c:\cert_perimetro_esterno.cer.
Nella pagina Specifica modello di certificato alternativo, per utilizzare un modello diverso dal modello Web Server predefinito selezionare la casella di controllo Utilizza modello di certificato alternativo per l'autorità di certificazione selezionata.
Nella pagina Impostazioni nome e protezione eseguire le operazioni seguenti:
In Nome descrittivo digitare un nome visualizzato per il certificato.
In Lunghezza bit specificare la lunghezza in bit (di solito, l'impostazione predefinita 2048).
Verificare che la casella di controllo Contrassegna come esportabile la chiave di certificato privata sia selezionata.
Nella pagina Informazioni sull'organizzazione digitare il nome per l'organizzazione e l'unità organizzativa, ad esempio una divisione o un reparto.
Nella pagina Dati geografici specificare le informazioni sulla località.
Nella pagina Nome soggetto / Nomi soggetto alternativi verranno visualizzate le informazioni compilate automaticamente dalla procedura guidata. Se sono necessari ulteriori nomi alternativi soggetto, specificarli nei prossimi due passaggi.
Nella pagina Impostazione del dominio SIP su nomi soggetto alternativi (SAN) selezionare la casella di controllo del dominio per aggiungere una voce sip.<dominiosip> all'elenco dei nomi alternativi soggetto.
Nella pagina Configura nomi soggetto alternativi aggiuntivi specificare eventuali ulteriori nomi alternativi soggetto necessari.
Nella pagina Riepilogo richiesta esaminare le informazioni sul certificato da utilizzare per generare la richiesta.
Al termine dell'esecuzione dei comandi, eseguire le operazioni seguenti:
Per visualizzare il registro per la richiesta del certificato, fare clic su Visualizza registro.
Per completare la richiesta del certificato, fare clic su Avanti.
Nella pagina File richiesta di certificato eseguire le operazioni seguenti:
Per visualizzare il file di richiesta di firma del certificato (CSR) generato, fare clic su Visualizza.
Per chiudere la procedura guidata, fare clic su Fine.
Copiare il file di output in un percorso da cui possa essere inoltrato alla CA pubblica.
Per creare una richiesta di certificato per l'interfaccia esterna del server perimetrale per il supporto della connettività di messaggistica istantanea pubblica con AOL
Quando il modello richiesto è disponibile per la CA, utilizzare il cmdlet Windows PowerShell seguente dal server perimetrale per richiedere il certificato:
Request-CsCertificate -New -Type AccessEdgeExternal -Output C:\ <certfilename.txt or certfilename.csr> -ClientEku $true -Template <template name>Il nome predefinito del certificato del modello disponibile in Lync Server 2010 è Web Server. Specificare solo <nome modello> se è necessario utilizzare un modello diverso da quello predefinito.
Nota
Se l'organizzazione desidera supportare la messaggistica istantanea pubblica con AOL, è necessario utilizzare Windows PowerShell anziché la Configurazione guidata certificato per richiedere il certificato da assegnare al perimetro esterno per il servizio Access Edge. Il motivo è che il modello Web Server di Lync Server 2010 utilizzato dalla Configurazione guidata certificato per richiedere un certificato non supporta la configurazione dell'utilizzo chiavi avanzato (EKU) client. Prima di utilizzare Windows PowerShell per creare il certificato, l'amministratore della CA deve creare e distribuire un nuovo modello che supporta l'EKU client
Per inviare una richiesta a un'autorità di certificazione pubblica
Aprire il file di output.
Copiare e incollare il contenuto della richiesta di firma del certificato (CSR).
Se richiesto, specificare le impostazioni seguenti:
Microsoft come piattaforma server.
IIS come versione.
Server Web come tipo di utilizzo.
PKCS7 come formato della risposta.
Dopo la verifica delle informazioni da parte della CA pubblica, si riceverà un messaggio di posta elettronica contenente il testo richiesto per il certificato.
Copiare il testo dal messaggio di posta elettronica e salvarne il contenuto in un file di testo (con estensione txt) nel computer locale.
Per importare il certificato per l'interfaccia esterna del server perimetrale
Accedere come membro del gruppo Administrators al server perimetrale in cui è stata creata la richiesta di certificato.
Nella pagina Distribuisci Edge Server della Distribuzione guidata fare clic su Riesegui accanto a Passaggio 3: Richiesta, installazione o assegnazione dei certificati.
Nella pagina Attività certificato disponibili fare clic su Importa un certificato da un file con estensione p7b, pfx o cer.
Nella pagina Importa certificato fare clic su Sfoglia per individuare e selezionare il certificato richiesto per l'interfaccia esterna del server perimetrale, In alternativa, è possibile digitare il percorso completo e il nome di file. Se il certificato contiene una chiave privata, selezionare Il file di certificato contiene una chiave di certificato privata e digitare la password per la chiave privata. Fare clic su Avanti.
Nella pagina Riepilogo importazione certificato verificare le informazioni di riepilogo e quindi fare clic su Avanti.
In Esecuzione comandi in corso controllare i risultati dell'impostazione, fare clic su Visualizza registro per ulteriori informazioni eventualmente necessarie e quindi fare clic su Fine per completare l'importazione del certificato.
Se si sta configurando un pool di server perimetrali, esportare il certificato con la relativa chiave privata come descritto nella procedura "Per esportare il certificato con la chiave privata per i server perimetrali in un pool" di seguito in questo argomento. Copiare il file del certificato esportato negli altri server perimetrali e importarlo nell'archivio del computer in ogni server perimetrale.
Per esportare il certificato con la chiave privata per i server perimetrali in un pool
Accedere come membro del gruppo Administrators allo stesso server perimetrale in cui è stato importato il certificato.
Fare clic sul pulsante Start, scegliere Esegui e quindi digitare MMC.
Nella console MMC scegliere Aggiungi/Rimuovi snap-in dal menu File.
In Aggiungi o rimuovi snap-in fare clic su Certificati e quindi su Aggiungi.
Nella finestra di dialogo Certificati selezionare Account computer, fare clic su Avanti, selezionare Computer locale (il computer su cui è in esecuzione questa console) in Selezione computer, fare clic su Fine e quindi fare clic su OK per completare la configurazione della console MMC.
Fare doppio clic su Certificati (computer locale) per espandere gli archivi di certificati, fare doppio clic su Personale e quindi doppio clic su Certificati.
Importante:Se l'archivio dei certificati personali per il computer locale non contiene alcun certificato, non esiste una chiave privata associata al certificato importato. Controllare la richiesta e i passaggi di importazione. Se il problema persiste, contattare l'amministratore o il provider dell'autorità di certificazione. Nell'archivio dei certificati personali per il computer localefare clic con il pulsante destro del mouse sul certificato da esportare, scegliere Tutte le attività e quindi fare clic su Esporta.
Nell'Esportazione guidata certificati fare clic su Avanti, selezionare Sì, esporta la chiave privata e quindi fare clic su Avanti.
Nota
Se l'opzione Sì, esporta la chiave privata non è disponibile, la chiave privata associata al certificato non è stata contrassegnata per l'esportazione. Sarà necessario richiedere di nuovo il certificato, assicurandosi che il certificato sia contrassegnato per consentire l'esportazione della chiave privata prima di poter continuare con l'esportazione. Contattare l'amministratore o il provider dell'autorità di certificazione.
Nella finestra di dialogo Formato file di esportazione selezionare Scambio di informazioni personali - PKCS #12 (*.PFX) e quindi selezionare le opzioni seguenti:
Se possibile, includi tutti i certificati nel percorso certificazione
Esporta tutte le proprietà estese
.gif "warning")
Avviso:Quando si esporta il certificato da un server perimetrale, non selezionare Elimina la chiave privata se l'esportazione ha esito positivo. Se si seleziona questa opzione sarà necessario importare il certificato e la chiave privata in questo server perimetrale.
Fare clic su Avanti.
Digitare una password per la chiave privata, digitarla di nuovo per confermare e quindi fare clic su Avanti.
Digitare un percorso e il nome di file per il certificato esportato, utilizzando l'estensione di file pfx. Il percorso deve essere accessibile per tutti i server perimetrali nel pool o essere disponibile per il trasferimento con un supporto rimovibile, come un'unità flash USB. Fare clic su Avanti.
Controllare le informazioni di riepilogo in Completamento dell'Esportazione guidata certificati e quindi fare clic su Fine.
Nella finestra di dialogo di completamento dell'esportazione fare clic su OK.
Importare il file del certificato esportato negli altri server perimetrali seguendo i passaggi descritti nella procedura “Per importare il certificato per l'interfaccia esterna del server perimetrale” più indietro in questo argomento.
Per assegnare il certificato per l'interfaccia esterna del server perimetrale
In ogni server perimetrale, nella Distribuzione guidata fare clic su Esegui accanto a Passaggio 3: Richiesta, installazione o assegnazione dei certificati.
Nella pagina Attività certificato disponibili fare clic su Assegna un certificato esistente.
Nella pagina Assegnazione certificato fare clic su Certificato perimetro esterno e selezionare la casella di controllo Utilizzi avanzati certificato.
Nella pagina Utilizzi avanzati certificato selezionare tutte le caselle di controllo per assegnare il certificato a tutti i tipi di utilizzo.
Nella pagina Archivio certificati selezionare il certificato pubblico richiesto e importato per l'interfaccia esterna del server perimetrale.
Nota
Se il certificato richiesto e importato non è incluso nell'elenco, uno dei metodi per risolvere il problema consiste nel verificare che il nome soggetto e i nomi alternativi soggetto del certificato soddisfino tutti i requisiti per il certificato. Se il certificato e la catena di certificati sono stati importanti manualmente anziché tramite le procedure precedenti, è necessario verificare che il certificato si trovi nell'archivio corretto, ovvero l'archivio del computer e non quello dell'utente o del servizio.
Nella pagina Riepilogo assegnazione certificato controllare le impostazioni e quindi fare clic su Avanti per assegnare i certificati.
Nella pagina finale della procedura guidata fare clic su Fine.
Dopo aver assegnato il certificato del server perimetrale interno mediante questa procedura, aprire lo snap-in Certificati in ogni server, espandere Certificati (computer locale), espandere Personale, fare clic su Certificati e quindi verificare che il certificato sia presente nel riquadro dei dettagli.
Se la distribuzione include più server perimetrali, ripetere la procedura per ogni server perimetrale.