Share via

  • Artigo

Modificando certificados para mobilidade

 

Tópico modificado em: 2011-11-15

Os certificados para a atualização cumulativa do Lync Server 2010: novembro de 2011 Pool de diretores, Pool de Front-Ends e proxy reverso exigem entradas adicionais de nome alternativo da entidade para oferecer suporte a conexões seguras com clientes móveis. Para obter detalhes sobre os requisitos de certificado para mobilidade, consulte Requisitos técnicos para mobilidade.

Atualize os certificados depois de instalar o novo Microsoft Lync Server 2010 Mobility Service ou depois de executar o cmdlet CsWebServer Set para definir as portas do Mobility Service.

O cmdlet Set-CsCertificate valida os nomes alternativos da entidade e retorna um aviso quando um nome alternativo da entidade do FQDN (nome de domínio totalmente qualificado) do serviço Descoberta Automática Microsoft Lync Server 2010 interno ou do FQDN do serviço Descoberta Automática externo está ausente. Se o cmdlet descobrir que há um nome alternativo da entidade ausente, você precisará executar o cmdlet Request-CsCertificate. Para executar esse cmdlet localmente, você deve ser um administrador local e ter direitos para a autoridade de certificação especificada.

importantImportante:
Uma exceção é quando o registro DNS (Sistema de Nomes de Domínio) é um registro A (host). Quando o regisro DNS externo é um registro A (host) e você executa o cmdlet Set-CsCertificate em uma Diretor, o cmdlet não retorna um aviso sobre um nome alternativo da entidade ausente para o serviço Descoberta Automática externo (lyncdiscover.<sipdomain>).

Para atualizar certificados com novos nomes alternativos da entidade

  1. Faça logon no computador usando uma conta que tenha permissões e direitos de administrador local.

  2. Inicie o Shell de Gerenciamento do Lync Server: clique em Iniciar, em Todos os Programas, em Microsoft Lync Server 2010 e em Shell de Gerenciamento do Lync Server.

  3. Descubra quais certificados foram atribuídos ao servidor e para qual tipo de uso. Você precisará dessas informações na próxima etapa para atribuir o certificado atualizado. Na linha de comando, digite:

    Get-CsCertificate

  4. Examine o resultado da etapa anterior para ver se um único certificado foi atribuído a vários usos ou se um certificado diferente foi atribuído para cada uso. Examine o parâmetro Use para descobrir como um certificado é usado. Compare o parâmetro Thumbprint dos certificados exibidos para ver se o mesmo certificado tem vários usos.

  5. Atualize o certificado. Na linha de comando, digite:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>

    Por exemplo, se o cmdlet Get-CsCertificate exibiu um certificado com Use de Default, outro com um Use de WebServicesInternal e outro com um Use de WebServicesExternal, e todos eles tinham o mesmo valor de Thumbprint, digite na linha de comando:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>

    Importante:

    Quando é atribuído um certificado separado para cada uso (valor de Thumbprint é diferente para cada certificado), é importante que você não execute o cmdlet Set-CsCertificate com vários tipos. Nesse caso, execute o cmdlet Set-CsCertificate separadamente para cada uso. Por exemplo:

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>

  6. Se um nome alternativo de entidade do serviço Descoberta Automática estiver ausente, faça o seguinte:

    • Para obter um nome alternativo da entidade de Descoberta Automática interno, digite na linha de comando:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose

      Se você possui vários domínios SIP, não é possível usar o novo parâmetro AllSipDomain. Ao invés, você deve usar o parâmetro DomainName. Quando utilizar o parâmetro DomainName, você deve usar um prefixo adequado para o FQDN de domínio SIP. Por exemplo:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose

    • Para obter um nome alternativo da entidade de Descoberta Automática externo, digite na linha de comando:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose

      Se você possui vários domínios SIP, não é possível usar o novo parâmetro AllSipDomain. Ao invés, você deve usar o parâmetro DomainName. Quando utilizar o parâmetro DomainName, você deve usar um prefixo adequado para o FQDN de domínio SIP. Por exemplo:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose