Share via

  • 發行項

取得群組交談伺服器的憑證

 

上次修改主題的時間: 2012-03-06

若要安裝 Microsoft Lync Server 2010 Group Chat,針對執行查詢服務、通道服務、Web 服務,以及規範服務的每部伺服器,都需要有 Microsoft Lync Server 2010 內部伺服器所使用之相同憑證授權單位 (CA) 所核發的憑證。在您開始執行 Lync Server 2010 Group Chat (尤其當您使用外部 CA 時) 之前,請先取得需要的憑證。

如需設定 Web 服務 IIS 憑證相關資訊,請參閱設定群組交談伺服器的 Web 服務 IIS 憑證

您可以使用本主題中的程序,使用內部企業 CA 與 Windows 憑證服務取得憑證。

若要下載 CA 憑證路徑

  1. 當組織根 CA 離線而次級 (發行的) CA 伺服器在線上時,以下列方式登入 Group Chat 伺服器:依序按一下 [開始][執行],輸入 http://<發行 CA 伺服器的名稱>/certsrv,然後按一下 [確定]

  2. [選取工作] 方塊中,按一下 [下載 CA 憑證憑證鏈結CRL]

  3. [下載 CA 憑證憑證鏈結CRL] 中,按一下 [下載 CA 憑證鏈結]

  4. [檔案下載] 對話方塊中,按一下 [儲存]

  5. 將 .p7b 檔案儲存在伺服器的磁碟機上。如果您開啟這個 .p7b 檔案,該鏈結會包含以下這兩個憑證:

    • <企業根 CA 名稱> 憑證

    • <企業次級 CA 名稱> 憑證

若要安裝 CA 憑證路徑

  1. 依次按一下 [開始][執行],輸入 mmc,然後按一下 [確定]

  2. [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]

  3. [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]

  4. [可用的獨立嵌入式管理單元] 清單中,按一下 [憑證],然後按一下 [新增]

  5. 按一下 [電腦帳戶],然後按 [下一步]

  6. [選取電腦] 對話方塊中,按一下 [本機電腦] (也就是此主控台所執行的電腦),然後按一下 [完成]

  7. 按一下 [關閉],然後按一下 [確定]

  8. 在 [憑證] 嵌入式管理單元的主控台樹狀目錄中,展開 [憑證 (本機電腦)]

  9. 展開 [受信任的根憑證授權單位]

  10. 用滑鼠右鍵按一下 [憑證],指向 [所有工作],然後按一下 [匯入]

  11. 在 [匯入精靈] 中按 [下一步]

  12. 按一下 [瀏覽] 找到之前儲存憑證鏈結的位置,按一下 p7b 檔案,然後按一下 [開啟]

  13. [下一步]

  14. 接受預設值 [將所有憑證放入以下的存放區],並確認 [受信任的根憑證授權單位] 出現在憑證存放區之下。

  15. [下一步]

  16. 按一下 [完成]

若要要求憑證

  1. 開啟網頁瀏覽器,輸入 http://<您的發行 CA 伺服器的名稱>/certsrv,然後按 ENTER。

  2. 按一下 [要求憑證]

  3. 按一下 [進階憑證要求]

  4. 按一下 [建立並送出要求至此 CA]

  5. [憑證範本] 中,選取 Web 伺服器範本。

    important重要事項:
    透過網站要求憑證時,該憑證會安裝在預設位置:Current User\Personal\Certificates。您需要將憑證匯入下列位置:Local Computer\Personal。為此,您必須匯出憑證,然後再匯入 Local Computer\Personal\Certificates。您可能需要建立一份允許可匯出私密金鑰的 Web 伺服器憑證範本的副本。在憑證要求中,請使用這個允許匯出私密金鑰的 Web 伺服器範本。如需範例,請參閱下列程序<建立內含可匯出私密金鑰的憑證>。

  6. [識別離線範本的資訊][名稱] 中,輸入伺服器的完整網域名稱 (FQDN)。

  7. [金鑰選項][CSP] 中,按一下 [Microsoft RSA Channel Cryptographic Provider]

  8. 選取 [將憑證存放在本機電腦] 核取方塊。

  9. 按一下 [送出]

  10. [隱藏性指令碼執行違規] 對話方塊中,按一下 [是]

建立內含可匯出私密金鑰的憑證

  1. 使用 certreq.inf 檔案和 Certutil 命令,建立內含可匯出私密金鑰的憑證。例如,先建立 request.inf 檔案:

    [NewRequest]
Subject = "CN=server.contoso.com" 
Exportable = TRUE
KeyLength = 1024 
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC

  2. 發出下列 Certutil 命令:

    certreq -new request.inf certnew.req
certreq -submit - attrib "CertificateTemplate:Webserver" certnew.req certnew.cer
certreq -retrieve <RequestID> certnew.cer
certreq -accept certnew.cer

若要安裝憑證到電腦上

  1. 按一下 [安裝此憑證]

  2. [隱藏性指令碼執行違規] 對話方塊中,按一下 [是]

若要在要求提出後以手動方式核准憑證核發要求

  1. 以 Domain Admins 群組成員的身分,登入企業次級 CA 伺服器。

  2. 按一下 [開始],按一下 [執行],輸入 mmc,然後按 ENTER 鍵。

  3. [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]

  4. 按一下 [新增]

  5. [新增獨立嵌入式管理單元] 中,按一下 [憑證授權單位],然後按一下 [新增]

  6. [憑證授權單位] 中,按一下 [本機電腦 (執行這個主控台的電腦)]

  7. 按一下 [完成]

  8. 按一下 [關閉],然後按一下 [確定]

  9. 在 Microsoft Management Console (MMC) 中,展開 [憑證授權單位],然後展開您的核發憑證伺服器。

  10. 按一下 [擱置的要求]

  11. 在詳細資料窗格中,以滑鼠右鍵按一下以其要求 ID 識別的要求,指向 [所有工作],然後按一下 [發行]

  12. 在要求憑證的伺服器上,按一下 [開始],然後按一下 [執行]

  13. 輸入 http://<您的發行 CA 伺服器名稱>/certsrv,然後按一下 [確定]

  14. [選取工作] 方塊中,按一下 [檢視擱置中的憑證要求狀態]

  15. [檢視擱置中的憑證要求狀態] 中,按一下您的要求。

  16. 按一下 [安裝此憑證]

    請確認已在下列位置安裝 CA 的憑證鏈結,此鏈結會為 CA 發行的憑證授與信任:console root/certificates (local computer)/trusted root certificate authorities/certificates。此鏈結包含根 CA 憑證。