Request-CsCertificate

Skype for Business Server 2015
 

Дата изменения раздела:2017-03-15

Предоставляет возможность запросить сертификаты для использования с серверными ролями и серверами, на которых выполняется Skype для бизнеса Server 2015. Также предоставляет возможность проверить состояние существующих запросов сертификатов и при необходимости отменить какой-либо запрос (или все запросы). Данный командлет впервые появился в Lync Server 2010.

Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Country <String>] [-DomainName <String>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-State <String>] [-Template <String>] <COMMON PARAMETERS>
Request-CsCertificate -List <SwitchParameter> [-RequestId <Int32>] <COMMON PARAMETERS>
Request-CsCertificate -Retrieve <SwitchParameter> [-RequestId <Int32>] <COMMON PARAMETERS>
Request-CsCertificate -Clear <SwitchParameter> [-RequestId <Int32>] <COMMON PARAMETERS>
COMMON PARAMETERS: [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]

Команда, приведенная в примере 1, создает новый запрос сертификата: выполняется обращение к центру сертификации (ЦС) atl-ca-001.litwareinc.com\myca и запрашивается новый сертификат WebServicesExternal.

Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"

В примере 2 перечисляются все ожидающие запросы сертификатов, созданные с помощью командлета Request-CsCertificate .

Request-CsCertificate -List

В примере 3 параметр Output используется для создания автономного запроса сертификата.

Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer

В примере 4 представлен более подробный (и более реалистичный) способ использования командлета Request-CsCertificate. Запрашивается сертификат для использования с выпуском Skype для бизнеса Server 2015 Standard Edition.

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"

В примере 5 запрашивается пул сертификатов для использования с выпуском Skype для бизнеса Server 2015 Enterprise Edition.

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"

В примере 6 показывается, как запросить сертификат для внутренней роли Пограничный сервера.

Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"

В примере 7 представлена вариация команды из примера 6. В данном случае запрашивается сертификат для внешней роли Пограничный сервера.

Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"

Skype для бизнеса Server 2015 использует сертификаты как средство проверки серверами и ролями серверов своих идентификаторов; например, Пограничный сервер использует сертификаты, чтобы удостовериться, что задействованный компьютер действительно обслуживает переднего плана и наоборот. Чтобы полностью внедрить Skype для бизнеса Server 2015, потребуется иметь соответствующие сертификаты, назначенные соответствующим ролям сервера.

Одним из способов запроса сертификатов для использования с Skype для бизнеса Server 2015 является вызов командлета Request-CsCertificate . Предусмотрена возможность использовать другие стандартные средства Windows для запроса сертификатов для использования с Skype для бизнеса Server 2015, но выполнение командлета Request-CsCertificate дает одно большое преимущество — перед обращением в центр сертификации командлет анализирует топологию вашей сети. На основе этого анализа командлет Request-CsCertificate автоматически запросит сертификат с подходящими полями имени субъекта и альтернативного имени субъекта.

Командлет Request-CsCertificate разработан для запроса сертификатов именно для применения с Skype для бизнеса Server 2015. Он не предназначается для использования в качестве полнофункционального средства управления сертификатами.

Помимо запроса новых сертификатов, данный командлет также может быть использован для просмотра ожидающих запросов при условии, что эти запросы были сделаны с помощью командлета Request-CsCertificate . Командлет Request-CsCertificate также может применяться для удаления ожидающих выполнения запросов сертификатов, созданных с помощью данного командлета.

При попытке получить запросы сертификатов может отображаться сообщение об ошибке, если существуют какие-либо отозванные запросы; в данный момент Request-CsCertificate поддерживает только следующие типы запросов: Issued (Отправленный), Denied (Отклоненный) и Pending (Ожидающий). Если возникнут проблемы из-за отозванного сертификата, используйте команду следующего вида для очистки отозванного запроса (число 224 — это идентификатор RequestID отозванного запроса сертификата):

Request-CsCertificate –Clear –RequestID 224

После этого можно получать запросы сертификатов.

Для локального запуска командлета Request-CsCertificate требуются права локального администратора и права доступа к указанному центру сертификации. Чтобы получить список всех ролей управления доступом на основе ролей (RBAC), которым назначен этот командлет (включая все настраиваемые роли RBAC, созданные вами), выполните следующую команду из командной строки Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}

 

Параметр Обязательный? Тип Описание

Clear

Обязательный?

System.Management.Automation.SwitchParameter

Если задан, то удаляются все ожидающие запросы сертификатов, выполненные с помощью командлета Request-CsCertificate .

List

Обязательный?

System.Management.Automation.SwitchParameter

Если задан, то перечисляются все ожидающие запросы сертификатов, выполненные с помощью командлета Request-CsCertificate .

New

Обязательный?

System.Management.Automation.SwitchParameter

Если задан, то запрашивается операция создания нового запроса сертификата.

Retrieve

Обязательный?

System.Management.Automation.SwitchParameter

Если задан, то запрашиваются все ожидающие запросы сертификатов, выполненные с помощью командлета Request-CsCertificate и выполняется попытка завершить операцию и импортировать запрошенные сертификаты.

Type

Обязательный?

Microsoft.Rtc.Management.Deployment.CertType[]

Тип запрашиваемого сертификата. Типы сертификатов бывают следующими (но не ограничиваются только этими значениями):

AccessEdgeExternal;

AudioVideoAuthentication;

DataEdgeExternal;

По умолчанию

Внешняя

Внутренняя

iPhoneAPNService

iPadAPNService

MPNService

PICWebService (только Skype для бизнеса Online)

ProvisionService (только Skype для бизнеса Online)

WebServicesExternal;

WebServicesInternal;

WsFedTokenTransfer.

Например, данный синтаксис используется для запроса нового сертификата с типом Default: -Type Default.

В одной команде можно указать несколько типов сертификатов, разделяя их запятыми:

-Type Internal,External,Default

AllSipDomain

Необязательный

System.Management.Automation.SwitchParameter

Если задан, то все ваши SIP-домены автоматически добавляются в поле Subject Alternative Name сертификата. Если не задан, то по умолчанию добавляется только основной SIP-домен. Но можно указать дополнительные домены в параметре DomainName.

CA

Необязательный

System.String

Полное доменное имя (FQDN), указывающее на центр сертификации. Например: -CA "atl-ca-001.litwareinc.com\myca". Для получения списка известных центров сертификации введите следующее в командной строке Windows PowerShell и затем нажмите клавишу ВВОД:

certutil

Свойство Config, возвращаемое программой Certutil, указывает расположение центра сертификации.

CaAccount

Необязательный

System.String

Имя учетной записи пользователя, запрашивающего новый сертификат, в формате "имя_домена\имя_пользователя". Например: -CaAccount "litwareinc\kenmyer". Если параметр не задан, то командлет Request-CsCertificate использует при запросе нового сертификата учетные данные выполнившего вход пользователя.

CaPassword

Необязательный

System.String

Пароль для пользователя, запрашивающего новый сертификат (указанного в параметре CaAccount).

City

Необязательный

System.String

Город, где будет развернут сертификат.

ClientEKU

Необязательный

System.Boolean

Задайте данному параметру значение True, если сертификат будет использоваться для проверки подлинности клиента. Данный тип проверки подлинности требуется, если нужно, чтобы пользователи могли обмениваться мгновенными сообщениями с пользователями с учетными записями AOL. EKU-часть имени параметра является сокращением, обозначающим расширенное использование ключа; в поле расширенного использования ключа приводится список случаев допустимого использования сертификата.

ComputerFqdn

Необязательный

Microsoft.Rtc.Management.Deploy.Fqdn

Полное доменное имя (FQDN) компьютера, для которого запрашивается сертификат. Если данный параметр указан, то Request-CsCertificate принудительно подключается к управления для обнаружения указанного компьютера. При запросе сертификата всегда следует использовать имя компьютера, даже при запросе сертификата пула. Командлет Request-CsCertificate автоматически добавит название пула к полю имени субъекта любого сертификата, полученного с помощью данного командлета.

Confirm

Необязательный

System.Management.Automation.SwitchParameter

Запрашивает подтверждение перед выполнением команды.

Country

Необязательный

System.String

Страна или регион, где будет использоваться сертификат.

DomainName

Необязательный

System.String

Список полных доменных имен, разделенных запятыми, которые должны быть добавлены в поле Subject Alternative Name сертификата. Например:

-DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com"

Force

Необязательный

System.Management.Automation.SwitchParameter

Подавляет отображение любых сообщений о некритических ошибках, которые могут возникать при выполнении этой команды.

FriendlyName

Необязательный

System.String

Назначенное пользователем имя, упрощающее идентификацию сертификата.

GlobalCatalog

Необязательный

Microsoft.Rtc.Management.Deploy.Fqdn

Полное доменное имя сервера глобального каталога в домене. Этот параметр не требуется, если командлет Request-CsCertificate выполняется на компьютере с учетной записью в вашем домене.

GlobalSettingsDomainController

Необязательный

Microsoft.Rtc.Management.Deploy.Fqdn

Полное доменное имя (FQDN) контроллера домена, на котором хранятся глобальные настройки. Если глобальные параметры хранятся в контейнере System в Active Directory, то этот параметр должен указывать на корневой контроллер домена. Если глобальные параметры хранятся в контейнере Configuration, то можно использовать любой контроллер домена, а данный параметр можно опустить.

KeyAlg

Необязательный

Microsoft.Rtc.Management.Deployment.X509Certificates.KeyAlgorithmIdentifier

Указывает тип криптографического алгоритма, который будет использоваться для формирования открытого и закрытого ключа нового сертификата. Допустимые значения:

RSA

ECDH_P256

ECDH_P384

ECDH_P521

KeySize

Необязательный

System.Int32

Указывает размер (в битах) закрытого ключа, используемого сертификатом. Ключи большого размера являются более надежными, но для их расшифровки требуется дополнительное время обработки.

Допустимые значения размера ключа: 1024, 2048 и 4096. Например: -KeySize 2048.

Organization

Необязательный

System.String

Имя организации, запрашивающей новый сертификат. Например: -Organization "Litwareinc".

OU

Необязательный

System.String

Подразделение Active Directory компьютера, которому будет назначен новый сертификат.

Output

Необязательный

System.String

Путь к файлу сертификата. Если требуется создать автономный запрос сертификата, используйте параметр Output для указания пути к файлу для запроса; например: -Output C:\Certificates\NewCertificate.pfx. Это создаст файл запроса сертификата, который затем может быть отправлен электронной почтой для обработки центром сертификации.

PrivateKeyExportable

Необязательный

System.Boolean

Задайте данному параметру значение True, если требуется сделать закрытый ключ сертификата экспортируемым. Если закрытый ключ является экспортируемым, то сертификат можно копировать и использовать на нескольких компьютерах.

Report

Необязательный

System.String

Позволяет указывать путь к файлу журнала при запуске командлета. Например: -Отчет "C:\Logs\Certificates.html"

RequestId

Необязательный

System.Int32

Идентификационный номер запроса сертификата. Параметр RequestID позволяет перечислить, получить или очистить отдельный сертификат.

State

Необязательный

System.String

Штат США, где будет развернут сертификат. Например: -State WA.

Template

Необязательный

System.String

Указывает шаблон сертификата, который будет использован при формировании нового сертификата, например: -Template "WebServer". Запрошенный шаблон должен быть установлен в центре сертификации. Обратите внимание, что следует вводить название шаблона, а не его отображаемое имя.

WhatIf

Необязательный

System.Management.Automation.SwitchParameter

Описывает, что произойдет при выполнении команды без реального выполнения команды.

Нет. Командлет Request-CsCertificate не принимает входные данные из конвейера.

Нет. Вместо этого командлет Request-CsCertificate помогает управлять экземплярами объекта Microsoft.Rtc.Management.Deployment.CertificateReference.

 
Показ: