指派伺服器對伺服器驗證憑證給商務用 Skype Server

  • 發行項

總結:為商務用 Skype Server指派伺服器對伺服器驗證憑證。

若要判斷伺服器對伺服器驗證憑證是否已指派給商務用 Skype Server,請從商務用 Skype Server管理命令介面執行下列命令:

Get-CsCertificate -Type OAuthTokenIssuer

如果未傳回憑證資訊,您必須先指派權杖發行者憑證,才能使用伺服器對伺服器驗證。 一般而言,任何商務用 Skype Server憑證都可以做為您的 OAuthTokenIssuer 憑證使用;例如,您的商務用 Skype Server預設憑證也可以做為 OAuthTokenIssuer 憑證。 (OAUthTokenIssuer 憑證也可以是任何 Web 服務器憑證,其中包含主旨欄位中的 SIP 網功能變數名稱稱。) 伺服器對伺服器驗證所用憑證的主要兩個需求如下:同一個憑證必須設定為所有前端伺服器上的 OAuthTokenIssuer 憑證 1 個) ;而且,2) 憑證必須至少為 2048 位。

如果您沒有可用於伺服器對伺服器驗證的憑證,您可以取得新的憑證、匯入新憑證,然後使用該憑證進行伺服器對伺服器驗證。 在您要求並取得新憑證之後,您可以登入任何一個前端伺服器,並使用類似此憑證的Windows PowerShell命令匯入及指派該憑證:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

在上述命令中,Path 參數代表憑證檔案的完整路徑,而密碼參數代表指派給憑證的密碼。 這個程式應該只執行一次:商務用 Skype Server複寫服務會自動建立一組排程的工作,並將憑證解密並部署到所有前端伺服器。

或者,您可以使用現有的憑證做為伺服器對伺服器驗證憑證。 (如所述,預設憑證可以做為伺服器對伺服器驗證憑證。) 下列一組Windows PowerShell命令會擷取預設憑證的 Thumbprint 屬性值,然後使用該值將預設憑證設為伺服器對伺服器驗證憑證:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

在上述命令中,擷取的憑證設為全域伺服器對伺服器驗證憑證;這表示憑證將會複製到您所有的 Front End Server 並加以使用。 同樣地,此命令應該只會在其中一個前端伺服器上執行一次。 雖然所有前端伺服器都必須使用相同的憑證,但您不應在每個 Front End Server 上設定 OAuthTokenIssuer 憑證。 請改為設定憑證一次,然後讓商務用 Skype Server複寫伺服器負責將該憑證複製到每個伺服器。

Set-CsCertificate Cmdlet 會取得有問題的憑證,並立即將該憑證設定為目前的 OAuthTokenIssuer 憑證。 (商務用 Skype Server保留兩個憑證類型的複本:目前的憑證和先前的憑證。) 如果您需要新憑證立即開始做為 OAuthTokenIssuer 憑證,那麼您應該使用Set-CsCertificate Cmdlet。

您也可以使用Set-CsCertificate Cmdlet 來「卷起」新的憑證。 「捲動」憑證只是表示您在指定的時間點設定新憑證,以成為目前的 OAuthTokenIssuer 憑證。 例如,此命令會擷取預設憑證,然後將該憑證設定為截至 2015 年 7 月 1 日的目前 OAuthTokenIssuer 憑證:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

新憑證將于 2015 年 7 月 1 日設定為目前的 OAuthTokenIssuer 憑證,而「舊」OAuthTokenIssuer 憑證將設為上一個憑證。

如果您不想使用 Windows PowerShell也可以使用憑證 MMC 主機從一個前端伺服器匯出憑證,然後在所有其他前端伺服器上匯入相同的憑證。 如果您這麼做,請務必連同憑證本身一起匯出私密金鑰。

謹慎

在此情況下,必須在每個前端伺服器上執行程式。 以這種方式匯出及匯入憑證時,商務用 Skype Server不會將該憑證複製到每個 Front End Server。

將憑證匯入到所有前端伺服器之後,該憑證就可以使用商務用 Skype Server部署精靈來指派,而不是Windows PowerShell。 若要使用部署精靈指派憑證,請在已安裝部署精靈的電腦上完成下列步驟:

  1. 依序按一下 [開始]、[所有程式]、[商務用 Skype Server],然後按一下[商務用 Skype Server部署精靈]

  2. 在 [部署精靈] 中,按一下 [安裝或更新商務用 Skype Server系統]

  3. 在 [商務用 Skype Server] 頁面上,按一下[步驟 3:要求]、[安裝] 或 [指派憑證] 標題底下的 [執行] 按鈕。 (注意:如果您已經在這台電腦上安裝憑證,則 [ 執行 ] 按鈕會標示為 [ 再次執行]。)

  4. 在 [憑證精靈] 中,選取 OAuthTokenIssuer 憑證 ,然後按一下 [ 指派]

  5. 在 [憑證指派] 精靈的 [ 憑證指派 ] 頁面上,按一下 [ 下一步]

  6. 在 [ 憑證存放區 ] 頁面上,選取要用於伺服器對伺服器驗證的憑證,然後按 [ 下一步]

  7. 在 [憑證作業摘要] 頁面上,按一下 [ 下一步]

  8. 在 [執行命令] 頁面上,按一下 [ 完成]

  9. 關閉憑證精靈和部署精靈。