Назначение сертификата проверки подлинности между серверами Microsoft Lync Server 2013

Последнее изменение раздела: 2013-10-24

Чтобы определить, назначен ли сертификат проверки подлинности между серверами Microsoft Lync Server 2013, выполните следующую команду из командной консоли Lync Server 2013:

Get-CsCertificate -Type OAuthTokenIssuer

Если сведения о сертификате не возвращаются, для проверки подлинности между серверами необходимо сначала назначить сертификат издателя маркеров. Как правило, в качестве сертификата OAuthTokenIssuer можно использовать любой сертификат Lync Server 2013. Например, сертификат Lync Server 2013 по умолчанию также можно использовать в качестве сертификата OAuthTokenIssuer. (Сертификат OAUthTokenIssuer также может быть любым сертификатом веб-сервера, который содержит имя вашего домена SIP в поле Subject.) Основные два требования для сертификата, используемого для проверки подлинности между серверами: 1) один и тот же сертификат должен быть настроен как сертификат OAuthTokenIssuer на всех серверах переднего плана. и 2) сертификат должен содержать не менее 2048 бит.

При отсутствии сертификата, позволяющего проверять подлинность между серверами, можно получить новый сертификат, импортировать его и затем применять для проверки подлинности между серверами. После запроса и получения нового сертификата можно войти на любой из серверов переднего плана и использовать команду Windows PowerShell, аналогичную приведенной ниже, для импорта и назначения этого сертификата:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

В предыдущей команде параметр Path представляет полный путь к файлу сертификата, а параметр Password – пароль, назначенный сертификату. Эта процедура должна выполняться только один раз: служба репликации Lync Server автоматически создаст набор запланированных задач, которые расшифровывают и развертывают сертификат на всех серверах переднего плана.

Можно также задать в качестве сертификата проверки подлинности между серверами существующий сертификат. (Как уже отмечалось, сертификат по умолчанию можно использовать в качестве сертификата проверки подлинности между серверами.) Следующие команды Windows PowerShell извлекать значение свойства отпечатка сертификата по умолчанию, а затем использовать это значение, чтобы сделать сертификат по умолчанию сертификатом проверки подлинности между серверами:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

В предыдущей команде полученный сертификат настроен на функцию глобального сертификата проверки подлинности между серверами. это означает, что сертификат будет реплицирован и использован всеми серверами переднего плана. Опять же, эта команда должна выполняться только один раз и только на одном из серверов переднего плана. Хотя все серверы переднего плана должны использовать один и тот же сертификат, не следует настраивать сертификат OAuthTokenIssuer на каждом сервере переднего плана. Вместо этого настройте сертификат один раз, а затем разрешите серверу репликации Lync Server копировать этот сертификат на каждый сервер.

Командлет Set-CsCertificate принимает указанный сертификат и немедленно настраивает этот сертификат в качестве текущего сертификата OAuthTokenIssuer. (Lync Server 2013 хранит две копии типа сертификата: текущий сертификат и предыдущий сертификат.) Если вам нужно, чтобы новый сертификат сразу же приступить к работе в качестве сертификата OAuthTokenIssuer, следует использовать Set-CsCertificate командлета.

Можно также воспользоваться командлетом Set-CsCertificate, чтобы "накатить" новый сертификат. "Накат" означает, что новый сертификат станет текущим сертификатом OAuthTokenIssuer в некоторый определенный момент времени. Например, эта команда извлекает сертификат по умолчанию, а затем настраивает этот сертификат для получения в качестве текущего сертификата OAuthTokenIssuer с 1 июля 2012 г.:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2012" -Roll

1 июля 2012 г. новый сертификат будет настроен как текущий сертификат OAuthTokenIssuer, а "старый" сертификат OAuthTokenIssuer — как предыдущий сертификат.

Если вы не хотите использовать Windows PowerShell можно также использовать консоль MMC "Сертификаты" для экспорта сертификата с одного интерфейсного сервера, а затем импортировать этот же сертификат на все остальные серверы переднего плана. При этом вместе с сертификатом необходимо экспортировать закрытый ключ.

После импорта сертификата на все серверы переднего плана его можно назначить с помощью мастера развертывания Lync Server вместо Windows PowerShell. Для назначения сертификата с помощью мастера развертывания выполните следующие действия на компьютере, где установлен мастер развертывания.

1. Щелкните "Пуск", выберите "Все программы", "Microsoft Lync Server 2013" и "Мастер развертывания Lync Server".

2. В мастере развертывания щелкните "Установить" или "Обновить систему Lync Server".

3. На странице Microsoft Lync Server 2013 нажмите кнопку "Выполнить " под заголовком "Шаг 3. Запрос, установка или назначение сертификатов". (Примечание. Если вы уже установили сертификаты на этом компьютере, кнопка "Выполнить" будет помечена как "Выполнить снова".)

4. В мастере сертификатов выберите сертификат OAuthTokenIssuer, затем нажмите кнопку Назначить.

5. В мастере назначения сертификатов на странице Назначение сертификатов нажмите кнопку Далее.

6. На странице Хранилище сертификатов выберите сертификат для применения при проверке подлинности между серверами, затем нажмите кнопку Далее.

7. На странице "Сводка по назначениям сертификатов" нажмите кнопку Далее.

8. На странице "Выполнение команд" нажмите кнопку Готово.

9. Закройте мастер сертификатов и мастер развертывания.