Configurare i certificati per Front End Server
Ultima modifica dell'argomento: 2011-10-28
.gif "important") Importante: |
|---|
| Quando si esegue la Configurazione guidata certificati, verificare di aver effettuato l'accesso con un account membro di un gruppo che dispone delle autorizzazioni appropriate per il tipo di modello di certificato da utilizzare. Per impostazione predefinita, per una richiesta di certificato Lync Server viene utilizzato il modello di certificato WebServer. Se per la richiesta di certificato con questo modello si utilizza un account membro del gruppo RTCUniversalServerAdmins, verificare che al gruppo siano assegnate le autorizzazioni di registrazione necessarie per l'utilizzo del modello. |
Per eseguire questa procedura, è necessario accedere come utente membro del gruppo RTCUniversalServerAdmins o disporre della delega delle autorizzazioni appropriate. Per informazioni dettagliate sulla delega delle autorizzazioni, vedere Delegare autorizzazioni di installazione. A seconda dell'organizzazione e dei requisiti per la richiesta dei certificati, potrebbe essere necessaria l'appartenenza ad altri gruppi. Consultare il gruppo che gestisce l'Autorità di certificazione (CA) dell'infrastruttura a chiave pubblica (PKI).
Nota
Lync Server 2010 include il supporto dei certificati SHA-256 per le connessioni dei client che eseguono i sistemi operativi Windows Vista, Windows Server 2008, Windows Server 2008 R2 e Windows 7, oltre a Lync 2010 Phone Edition. Per supportare l'accesso esterno mediante SHA-256, il certificato esterno viene emesso da una CA pubblica che utilizza SHA-256.
Ogni server Front End richiede fino a tre certificati: un certificato predefinito, un certificato Web interno e un certificato Web esterno. È tuttavia possibile assegnare un singolo certificato predefinito con voci appropriate del nome alternativo del soggetto. Per informazioni dettagliate sui requisiti dei certificati, vedere Requisiti dei certificati per i server interni. Eseguire la procedura seguente per richiedere, assegnare e installare i certificati del server Front End. Ripetere la procedura per ogni server Front End.
Nota
Nel processo di configurazione predefinito viene richiesto un unico certificato, che viene ricevuto e quindi assegnato al Front End Server. Il certificato verrà assegnato ai ruoli del Front End Server e anche ai servizi Web ospitati nel Front End Server.
| Importante: |
|---|
| Nella procedura seguente viene illustrato come configurare i certificati di un'infrastruttura a chiave pubblica interna distribuita dall'organizzazione e con l'elaborazione delle richieste offline. Per informazioni su come ottenere i certificati da una CA pubblica, vedere Requisiti dei certificati per i server interni nella documentazione relativa alla pianificazione. In questa procedura viene inoltre descritto come richiedere, assegnare e installare i certificati durante l'impostazione del server Front End. Se i certificati sono stati richiesti in anticipo, come descritto nella sezione Richiedere certificati in anticipo (facoltativo) di questa documentazione relativa alla distribuzione, oppure se non è stata distribuita un'infrastruttura a chiave pubblica interna nell'organizzazione per ottenere i certificati, è necessario modificare la procedura di conseguenza. |
Per configurare i certificati per un Front End Server
Nella Distribuzione guidata di Lync Server fare clic su Esegui accanto a Passaggio 3: Richiesta, installazione o assegnazione dei certificati.
.jpg "Passaggio 3: Richiesta, installazione o assegnazione dei certificati")
Nella pagina Configurazione guidata certificati fare clic su Richiedi.
.jpg "Configurazione guidata certificati: Selezione certificati")
Nella pagina Richiesta di certificato fare clic su Avanti.
Nella pagina Richieste immediate o ritardate è possibile accettare l'opzione predefinita Invia immediatamente la richiesta a un'autorità di certificazione online facendo clic su Avanti. Se si seleziona questa opzione, deve essere disponibile la CA interna con registrazione automatica online. Se si sceglie l'opzione di ritardare la richiesta, sarà necessario specificare un nome e un percorso in cui salvare il file di richiesta di certificato. La richiesta di certificato deve essere presentata ed elaborata da una CA all'interno dell'organizzazione o da una CA pubblica. Sarà quindi necessario importare il certificato di risposta e assegnarlo al ruolo appropriato.
.jpg "Finestra di dialogo Richieste immediate o ritardate")
Nella pagina Scegli Autorità di certificazione (CA) selezionare l'opzione Seleziona una CA dall'elenco rilevato nell'ambiente e quindi scegliere una CA nota (tramite registrazione in Servizi di dominio Active Directory) nell'elenco. In alternativa, selezionare l'opzione Specifica un'altra autorità di certificazione, immettere il nome di un'altra CA e quindi fare clic su Avanti.
.jpg "Finestra di dialogo Scegli Autorità di certificazione (CA)")
Nella pagina Account autorità di certificazione viene richiesto di immettere le credenziali per richiedere ed elaborare la richiesta di certificato per la CA. Stabilire se è necessario specificare un nome utente e una password per richiedere un certificato in anticipo. L'amministratore della CA dispone delle informazioni necessarie per poter assistere l'utente in questo passaggio. Se è necessario fornire credenziali alternative, selezionare la casella di controllo, specificare il nome utente e la password nelle caselle di testo, quindi fare clic su Avanti.
.jpg "Finestra di dialogo Account autorità di certificazione")
Nella pagina Specifica modello di certificato alternativo fare clic su Avanti per utilizzare il modello Server Web predefinito.
Nota
Se l'organizzazione ha creato un modello da utilizzare come alternativa al modello Server Web predefinito della CA, selezionare la casella di controllo, quindi immettere il nome del modello alternativo. È necessario specificare il nome del modello come definito dall'amministratore della CA.
.jpg "Finestra di dialogo Specifica modello di certificato alternativo")
Nella pagina Impostazioni nome e sicurezza specificare un valore in Nome descrittivo per consentire di identificare il certificato e lo scopo. Se questo campo viene lasciato vuoto, verrà generato automaticamente un nome. Impostare il valore Lunghezza in bit della chiave o accettare il valore predefinito di 2048 bit. Selezionare l'opzione Contrassegna come esportabile la chiave di certificato privata se è necessario spostare o copiare la chiave privata in altri sistemi, quindi fare clic su Avanti.
Nota
Lync Server 2010 prevede requisiti minimi per una chiave privata esportabile. La chiave viene esportata nei server perimetrali di un pool, dove il servizio di autenticazione del Media Relay utilizza copie del certificato anziché i singoli certificati per ogni istanza del pool.
.jpg "Pagina Impostazioni nome e sicurezza")
Nella pagina Informazioni sull'organizzazione immettere facoltativamente le informazioni sull'organizzazione e quindi fare clic su Avanti.
Nella pagina Dati geografici specificare facoltativamente i dati geografici e quindi fare clic su Avanti.
Nella pagina Nome soggetto / Nomi soggetto alternativi verificare i nomi soggetto alternativi che verranno aggiunti e quindi fare clic su Avanti.
.jpg "Pagina Nome soggetto / Nomi soggetto alternativi")
Nella pagina Impostazione del dominio SIP selezionare la casella di controllo Dominio SIP e quindi fare clic su Avanti.
.jpg "Finestra di dialogo Impostazione del dominio SIP su nomi soggetto alternativi (SAN)")
Nella pagina Configura nomi soggetto alternativi aggiuntivi aggiungere eventuali nomi soggetto alternativi aggiuntivi necessari, inclusi quelli potranno essere richiesti in futuro per i domini SIP aggiuntivi, quindi fare clic su Avanti.
.jpg "Configura nomi soggetto alternativi aggiuntivi")
Nella pagina Riepilogo richiesta certificato esaminare le informazioni. Se sono corrette, fare clic su Avanti. Se è necessario correggere o modificare un'impostazione, fare clic su Indietro fino alla pagina appropriata.
.jpg "Pagina Riepilogo richiesta certificato")
Nella pagina Esecuzione comandi in corso fare clic su Avanti.
.jpg "Pagina Esecuzione comandi in corso")
Nella pagina On the Stato richiesta di certificato online esaminare le informazioni restituite. Verificare che il certificato sia stato emesso e installato nell'archivio certificati locale. Se viene segnalato che il certificato è stato emesso e installato, ma non è valido, assicurarsi che il certificato radice della CA sia stato installato nell'archivio di CA radice attendibili del server. Per informazioni su come recuperare un certificato di CA radice attendibile, consultare la documentazione sulla CA. Se è necessario visualizzare il certificato recuperato, fare clic su Visualizza dettagli certificato. Per impostazione predefinita, la casella di controllo Assegnare il certificato restituito agli utilizzi di Lync Server sul server. Se si desidera assegnare manualmente il certificato, deselezionare la casella di controllo e quindi fare clic su Fine.
.jpg "Finestra di dialogo Stato richiesta di certificato online")
Se nella pagina precedente è stata deselezionata la casella di controllo Assegnare il certificato restituito agli utilizzi di Lync Server sul server, verrà visualizzata la pagina Assegnazione certificato. Fare clic su Avanti.
.jpg "Finestra di dialogo Assegnazione certificato")
Nella pagina Archivio certificati selezionare il certificato richiesto. Se si desidera visualizzarlo, fare clic su Visualizza dettagli certificato e quindi su Avanti per continuare.
Nota
Se nella pagina Stato richiesta di certificato online viene segnalato un problema con il certificato, ad esempio che non è valido, la visualizzazione del certificato effettivo può consentire di risolverlo. In particolare, il certificato può non essere valido perché non è stato emesso da una CA radice attendibile, come accennato in precedenza, oppure perché non è associato a una chiave privata. Per risolvere questi due problemi, consultare la documentazione della CA.
.jpg "Pagina Stato richiesta di certificato online")
Nella pagina Riepilogo assegnazione certificato esaminare le informazioni visualizzate per assicurarsi che si tratta del certificato da assegnare, quindi fare clic su Avanti.
.jpg "Pagina Riepilogo assegnazione certificato")
Nella pagina Esecuzione comandi in corso esaminare l'output del comando. Fare clic su Visualizza registro se si desidera rivedere il processo di assegnazione oppure se è stato generato un messaggio di errore o di avviso. Al termine, fare clic su Fine.
.jpg "Pagina Esecuzione comandi in corso")
Nella pagina Configurazione guidata certificati verificare che lo Stato dei certificato sia "Assegnato" e quindi fare clic su Chiudi.
.jpg "Pagina Configurazione guidata certificati")