Назначение сертификата проверки подлинности между серверами системе Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2015-08-17

Краткое содержание. Назначение сертификата проверки подлинности между серверами для Skype для бизнеса Server 2015.

Для того чтобы определить, назначен ли серверу Skype для бизнеса Server 2015 сертификат проверки подлинности между серверами, выполните следующую команду в командной консоли Skype для бизнеса Server:

Get-CsCertificate -Type OAuthTokenIssuer

Если сведения о сертификате не возвращаются, для проверки подлинности между серверами необходимо сначала назначить сертификат издателя маркеров. В общем случае сертификатом OAuthTokenIssuer может служить любой сертификат Skype для бизнеса Server 2015, например, сертификат Skype для бизнеса Server 2015 по умолчанию. (Сертификатом OAUthTokenIssuer может быть также любой сертификат веб-сервера, для которого поле Subject содержит имя домена SIP.) Сертификат для проверки подлинности между серверами должен соответствовать двум основным требованиям: 1) на всех серверах переднего плана в качестве сертификата OAuthTokenIssuer должен быть задан один и тот же сертификат; 2) длина сертификата должна быть не менее 2048 битов.

При отсутствии сертификата, позволяющего проверять подлинность между серверами, можно получить новый сертификат, импортировать его и затем применять для проверки подлинности между серверами. После запроса и получения нового сертификата можно войти на любой из серверов Серверы переднего плана и с помощью команды Windows PowerShell, аналогичной приведенной ниже, импортировать и назначить этот сертификат:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

В предыдущей команде параметр Path представляет полный путь к файлу сертификата, а параметр Password – пароль, назначенный сертификату. Эту процедуру следует выполнить только один раз: после этого в службе репликации Skype для бизнеса Server автоматически создается набор запланированных задач по расшифровке и развертыванию сертификата на всех серверах переднего плана.

Можно также задать в качестве сертификата проверки подлинности между серверами существующий сертификат. (Как указано выше, сертификатом проверки подлинности между серверами может служить сертификат по умолчанию.) Следующие две команды Windows PowerShell позволяют извлечь значение свойства Thumbprint сертификата по умолчанию, а затем применить это значение для задания сертификата по умолчанию в качестве сертификата проверки подлинности между серверами:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

При выполнении предыдущей команды извлеченный сертификат задается в качестве глобального сертификата проверки подлинности между серверами; это значит, что сертификат реплицируется на все серверы Серверы переднего плана и применяется на этих серверах. Эту команду также следует выполнить только один раз и только на одном из серверов Серверы переднего плана. Хотя на всех серверах Серверы переднего плана должен применяться один и тот же сертификат, не следует настраивать сертификат OAuthTokenIssuer на каждом сервере переднего плана. После однократного задания сертификата он автоматически копируется на каждый сервер средствами сервера репликации Skype для бизнеса Server 2015.

При выполнении командлета Set-CsCertificate указанный сертификат сразу задается в качестве текущего сертификата OAuthTokenIssuer. (В Skype для бизнеса Server 2015 хранятся две копии сертификата: текущий сертификат и прежний сертификат.) Если требуется сразу применить новый сертификат в качестве сертификата OAuthTokenIssuer, необходимо выполнить командлет Set-CsCertificate.

Можно также воспользоваться командлетом Set-CsCertificate, чтобы "накатить" новый сертификат. "Накат" означает, что новый сертификат станет текущим сертификатом OAuthTokenIssuer в некоторый определенный момент времени. Например, следующая команда извлекает сертификат по умолчанию и затем делает так, что он становится текущим сертификатом OAuthTokenIssuer 1 июля 2015 г.:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

1 июля 2015 г. новый сертификат будет установлен в качестве текущего сертификата OAuthTokenIssuer, а "старый" сертификат OAuthTokenIssuer станет прежним сертификатом.

Если выполнение командлетов Windows PowerShell нежелательно, можно экспортировать сертификат с одного из серверов переднего плана и затем импортировать его на все остальные серверы Серверы переднего плана в консоли сертификатов MMC. При этом вместе с сертификатом необходимо экспортировать закрытый ключ.

CautionВнимание!
В этом случае процедуру необходимо выполнить на каждом сервере переднего плана. При таком экспорте и импорте сертификатов в Skype для бизнеса Server 2015 не выполняется их репликация на каждый сервер переднего плана.

После импорта сертификата на все серверы переднего плана его можно назначить с помощью мастера развертывания Skype для бизнеса Server, не пользуясь командлетами Windows PowerShell. Для назначения сертификата с помощью мастера развертывания выполните следующие действия на компьютере, где установлен мастер развертывания.

  1. Нажмите кнопку "Пуск" и щелкните "Все программы", Skype для бизнеса Server 2015 , затем Мастер развертывания Skype для бизнеса Server .

  2. В мастере развертывания выберите Установить или обновить систему Skype для бизнеса Server .

  3. На странице Skype для бизнеса Server 2015 нажмите кнопку Выполнить под заголовком Шаг 3. Запросить, установить или назначить сертификаты . (Примечание. Если ранее на данном компьютере устанавливались сертификаты, название кнопки Выполнить изменено на Перезапуск .)

  4. В мастере сертификатов выберите сертификат OAuthTokenIssuer , затем нажмите кнопку Назначить .

  5. В мастере назначения сертификатов на странице Назначение сертификатов нажмите кнопку Далее .

  6. На странице Хранилище сертификатов выберите сертификат для применения при проверке подлинности между серверами, затем нажмите кнопку Далее .

  7. На странице "Сводка по назначениям сертификатов" нажмите кнопку Далее .

  8. На странице "Выполнение команд" нажмите кнопку Готово .

  9. Закройте мастер сертификатов и мастер развертывания.

 
Показ: