Этапы сертифицирования AV и OAuth в Skype для бизнеса Server 2015 с использованием -Roll in Set-CsCertificate

Skype for Business Server 2015
 

Сводка.  Этапы сертифицирования AV и OAuth в Skype для бизнеса Server 2015.

Обмен данными аудио- и видеоконференций представляет собой ключевой компонент Skype для бизнеса Server 2015. Такие функции, как общий доступ к приложениям, а также аудио- и видеоконференции используют сертификаты, назначенные для службы передачи аудио- и видеоданных, в частности, службы проверки подлинности аудио- и видеоконференций.

importantВажно!
  1. Этот новый компонент предназначен для работы с сертификатом службы передачи аудио- и видеоданных и OAuthTokenIssuer . Наряду с сертификатами службы передачи аудио- и видеоданных и OAuth можно предоставить и другие сертификаты, однако, при использовать все преимущества одновременной работы может только сертификат передачи аудио- и видеоданных.

  2. Командлеты PowerShell Командная консоль Skype для бизнеса Server, используемые для управления сертификатами Skype для бизнеса Server 2015, ссылаются на сертификат службы передачи аудио- и видеоданных как на тип сертификата AudioVideoAuthentication и на сертификат OAuthServer как на тип OAuthTokenIssuer . Далее в тексте этого раздела в целях уникальной идентификации сертификатов для ссылки на них будут указываться те же типы идентификатора ( AudioVideoAuthentication и OAuthTokenIssuer ).

Служба проверки подлинности аудио- и видеоконференций отвечает за выдачу маркеров, используемых клиентами и другими пользователями аудио- и видеоконференций. Маркеры создаются на основе атрибутов сертификата, и по истечении срока действия сертификата, происходит разрыв соединения или отображается запрос на повторное подключение с использованием нового маркера, созданного новым сертификатом. Новый компонент Skype для бизнеса Server 2015 решает эту проблему путем размещения нового сертификата для промежуточного хранения до истечения срока действия старого, что обеспечивает одновременное действие обоих сертификатов в течение определенного времени. Этот компонент использует обновленные функции командлета Set-CsCertificate Командная консоль Skype для бизнеса Server. Новый параметр –Roll вместе с текущим параметром –EffectiveDate помещает новый сертификат AudioVideoAuthentication в хранилище сертификатов. Предыдущий сертификат AudioVideoAuthentication по-прежнему действует для проверки выданных маркеров. С момента размещения нового сертификата AudioVideoAuthentication возникают следующие наборы событий:

tipСовет.
Если для управления сертификатами используются командлеты командной консоли Skype для бизнеса Server, можно запросить отдельные уникально идентифицируемые сертификаты для всех назначений сертификатов на пограничном сервере. С помощью мастера сертификатов в средстве Мастер развертывания Skype для бизнеса Server можно создавать сертификаты, однако, эти сертификаты стандартно принадлежат к типу default , который объединяет все используемые сертификаты, используемые пограничным сервером, в единый сертификат. Если планируется применение компонента последовательных сертификатов, рекомендуется отделить сертификат AudioVideoAuthentication от других назначений сертификата. Можно предоставить и разместить сертификат типа Default для промежуточного хранения, однако, только часть AudioVideoAuthentication объединенного сертификата сможет максимально эффективно использовать преимущества промежуточного хранения. Пользователь, участвующий, например, в обмене мгновенными сообщениями должен по истечении срока действия сертификата выполнить выход и повторный вход в систему, чтобы использовать новый сертификат, связанный с сервером доступа. То же самое происходит с пользователем, который участвует в веб-конференции, используя службу веб-конференций. Сертификат OAuthTokenIssuer представляет собой отдельный тип, общий доступ к которому предоставляется для всех серверов. Создание и управление сертификатом осуществляется в одном расположении, и для всех остальных серверов сертификат хранится в службе управления.

Для полного понимания возможностей и условий использования командлета Set-CsCertificate и использования его для промежуточного хранения сертификатов до истечения срока действия текущего сертификата требуются дополнительные данные. Параметр –Roll имеет критически важное значение, но в целом, выполняет одну-единственную задачу. Если он определен как параметр, этим командлету Set-CsCertificate сообщается, что планируется предоставлять данные затронутого сертификата, определенного параметром –Type (например, AudioVideoAuthentication и OAuthTokenIssuer), когда действие сертификата вступит в силу в соответствии с параметром –EffectiveDate.

-Roll . Параметр –Roll является обязательным и содержит зависимости, которые необходимо предоставлять наряду с этим параметром. Эти параметры являются обязательными для полного определения затронутых сертификатов и способов их применения:

-EffectiveDate . Параметр –EffectiveDate определяет время активации нового сертификата параллельно с текущим сертификатом. Значение параметра –EffectiveDate может быть приближено ко времени истечения срока действия текущего сертификата, или же для параметра можно задать более продолжительный период. Рекомендуемое минимальное значение параметра –EffectiveDate для сертификата AudioVideoAuthentication — 8 часов, то есть, срок действия по умолчанию для маркера службы AV Edge, используемого сертификатом AudioVideoAuthentication.

При размещении сертификатов OAuthTokenIssuer для промежуточного хранения действуют различные требования в отношении времени упреждения, прежде чем действие сертификата вступит в силу. Минимальное время упреждения для сертификата OAuthTokenIssuer составляет 24 часа до истечения срока действия текущего сертификата. Увеличение времени упреждения для совместной работы применяется в связи с тем, что другие роли сервера, зависимые от сертификата OAuthTokenIssuer (например, Exchange Server), для которых предусматривается более продолжительный срок хранения сертификатов, создают данные проверки подлинности и ключа шифрования.

-Thumbprint . Отпечаток представляет собой атрибут сертификата, который является уникальным для данного сертификата. Параметр –Thumbprint используется для идентификации сертификата, затронутого действиями командлета Set-CsCertificate.

-Type . Параметр –Type может принимать один тип использования сертификата или список типов использования сертификата с разделением запятыми. Типами сертификата являются те типы, которые идентифицируют назначение сертификата для командлета и сервера. Например, тип AudioVideoAuthentication используется службой передачи аудио- и видеоданных и службой проверки подлинности аудио- и видеоконференций. Если планируется одновременно размещать для промежуточного хранения и предоставлять сертификаты другого типа, рекомендуется выбрать самое большое минимальное время упреждения для сертификатов. Например, потребуется разместить для промежуточного хранения сертификаты типа AudioVideoAuthentication и OAuthTokenIssuer. Необходимо использовать наибольшее минимальное значение параметра –EffectiveDate из содержащихся в сертификатах (в данном случае это будет сертификат OAuthTokenIssuer, содержащий минимальное значение времени упреждения "24 часа"). Если размещение для промежуточного хранения сертификата AudioVideoAuthentication со значением времени упреждения "24 часа" нежелательно, разместите его для промежуточного хранения отдельно с параметром EffectiveDate, который больше подходит для данной задачи.

  1. Войдите на локальный компьютер как член группы "Администраторы".

  2. Запросите продление сертификата или новый сертификат AudioVideoAuthentication с экспортируемым закрытым ключом для текущего сертификата службы передачи аудио- и видеоданных.

  3. Импортируйте новый сертификат AudioVideoAuthentication в данный пограничный сервер и все остальные пограничные серверы в пуле (при наличии развернутого пула).

  4. Настройте импортированный сертификат с помощью командлета Set-CsCertificate и используйте параметр –Roll вместе с параметром –EffectiveDate. Дата вступления в силу определяется как время истечения срока действия текущего сертификата (14:00:00) за вычетом срока действия маркера (по умолчанию — восемь часов). Таким образом, мы получаем время активации сертификата (–EffectiveDate <string>: "22.07.2015 6:00:00").

    importantВажно!
    Для пограничного пула необходимо наличие всех сертификатов AudioVideoAuthentication, развернутых и предоставленных до даты и времени, определенных параметром –EffectiveDate на первом развернутом сертификате во избежание возможных сбоев обмена данными аудио- и видеоконференций вследствие истечения срока действия старых сертификатов до продления всех клиентских и пользовательских маркеров с помощью нового сертификата.

    Команда Set-CsCertificate с параметрами –Roll и –EffectiveTime:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
    		  <thumb print of new certificate> -Roll -EffectiveDate <date and time
    		  for certificate to become active>
    

    Пример команды Set-CsCertificate:

    Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint
    		  "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2015
    		  6:00:00 AM"
    
    importantВажно!
    Параметр EffectiveDate должен быть отформатирован в соответствии с региональными и языковыми параметрами американского английского.

Визуальная временная шкала эффективна для более полного понимания процедуры, используемой командлетом Set-CsCertificate, параметрами -Roll и -EffectiveDate для размещения новых сертификатов для промежуточного хранения в целях выдачи новых маркеров AudioVideoAuthentication при одновременном использовании существующего сертификата для проверки AudioVideoAuthentication, используемого пользователями.

В следующем примере администратор определяет, что срок действия сертификата службы передачи аудио- и видеоданных истекает в 14:00:00 22/07/2015. Он запрашивает и получает новый сертификат и импортирует его в каждый пограничный сервер в своем пуле. В 2:00 07/22/2012 он начинает запуск командлета Get-CsCertificate, где значения параметров –Roll, -Thumbprint равны значениям строки отпечатка нового сертификата, а значение времени в параметре –EffectiveTime установлено как "07/22/2012 6:00:00 утра". Он запускает эту команду на каждом пограничном сервере.

Использование параметров Roll и EffectiveDate.

 

Выноска Этап

1

Начало: 22/7/2015 12:00:00

Срок действия текущего сертификата AudioVideoAuthentication истекает в 14:00:00 22/7/2015. Это определяется меткой времени в сертификате. Запланируйте замену и переключение своего сертификата с учетом 8-часового перекрытия (срок действия маркера по умолчанию) до истечения срока действия существующего сертификата. Использованное в этом примере время опережения (02:00:00) предоставляет администратору достаточно времени для размещения и выделения новых сертификатов до наступления фактического времени 06:00:00.

2

22/7/2015 02:00:00 - 22/7/2015 05:59:59

Задайте сертификаты на пограничных серверах с фактическим временем 06:00:00 (в этом примере время опережения — 4 часа, но его можно увеличить) с помощью командлета Set-CsCertificate -Type <тип использования сертификата> -Thumbprint <отпечаток нового сертификата> -Roll -EffectiveDate <строка с временем вступления в силу нового сертификата>.

3

22/7/2015 06:00 - 22/7/2015 14:00

При проверке маркеров сначала применяется новый сертификат. Если маркер не удается проверить с помощью нового сертификата, используется старый сертификат. Этот процесс применяется ко всем маркерам в течение 8 часов (срок действия маркера по умолчанию) периода перекрытия.

4

Окончание: 7/22/2015 2:00:01 PM

Истекает срок действия старого сертификата и начинает действовать новый сертификат. Старый сертификат можно удалить с помощью командлета Remove-CsCertificate -Type <тип использования сертификата> -Previous

По достижении заданного времени (22/7/2015 6:00:00 утра) все новые маркеры выпускаются новым сертификатом. Сначала выполняется проверка маркеров новым сертификатом. Если проверка не пройдена, маркеры проверяются старым сертификатом. Процедура проверки новым сертификатом и возврат к старому продолжается до тех пор, пока не истечет срок действия старого сертификата. По истечении срока действия старого сертификата (22/7/2015 14:00:00) маркеры будут проверяться только новым сертификатом. Старый сертификат можно удалить с помощью командлета Remove-CsCertificate с параметром –Previous.

Remove-CsCertificate -Type AudioVideoAuthentication -Previous

  1. Войдите на локальный компьютер как член группы "Администраторы".

  2. Запросите продление сертификата или новый сертификат OAuthTokenIssuer с экспортируемым закрытым ключом для текущего сертификата службы переднего плана.

  3. Импортируйте новый сертификат OAuthTokenIssuer в сервер переднего плана в своем пуле (при наличии развернутого пула). Сертификат OAuthTokenIssuer реплицируется глобально, после чего требуется только его обновление и продление на всех серверах в текущей среде. В качестве примера используется сервер переднего плана.

  4. Настройте импортированный сертификат с помощью командлета Set-CsCertificate и используйте параметр –Roll вместе с параметром –EffectiveDate. Дата вступления в силу определяется как время истечения срока действия текущего сертификата (14:00:00 или 2:00:00 дня) за вычетом не менее 24 часов.

    Команда Set-CsCertificate с параметрами –Roll и –EffectiveTime:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumb
    		  print of new certificate> -Roll -EffectiveDate <date and time for
    		  certificate to become active> -identity Global 
    

    Пример команды Set-CsCertificate:

    Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint
    		  "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2015
    		  1:00:00 PM" 
    
    importantВажно!
    Параметр EffectiveDate должен быть отформатирован в соответствии с региональными и языковыми параметрами американского английского.

По достижении заданного времени (22/7/2015 1:00:00 утра) все новые маркеры выпускаются новым сертификатом. Сначала выполняется проверка маркеров новым сертификатом. Если проверка не пройдена, маркеры проверяются старым сертификатом. Процедура проверки новым сертификатом и возврат к старому продолжается до тех пор, пока не истечет срок действия старого сертификата. По истечении срока действия старого сертификата (22/7/2015 14:00:00) маркеры будут проверяться только новым сертификатом. Старый сертификат можно удалить с помощью командлета Remove-CsCertificate с параметром –Previous.

Remove-CsCertificate -Type OAuthTokenIssuer -Previous 
 
Показ: