Konfigurieren von Zertifikaten für Front-End-Server
Letztes Änderungsdatum des Themas: 2011-10-28
Wichtig: |
---|
Wenn Sie den Zertifikat-Assistenten ausführen, müssen Sie mit einem Konto angemeldet sein, das Mitglied einer Gruppe ist, die über die entsprechenden Berechtigungen für den zu verwendeten Zertifikatvorlagentyp verfügt. Für eine Lync Server -Zertifikatanforderung wird standardmäßig die Webserver-Zertifikatvorlage verwendet. Wenn Sie ein Konto verwenden, das Mitglied der RTCUniversalServerAdmins-Gruppe ist, kann mit dieser Vorlage nur ein Zertifikat angefordert werden, wenn dieser Gruppe die zum Verwenden dieser Vorlage erforderlichen Registrierungsberechtigungen erteilt wurden. |
Zum erfolgreichen Durchführen dieses Verfahrens müssen Sie als Mitglied der Gruppe "RTCUniversalServerAdmins" angemeldet sein, oder an Sie müssen geeignete Berechtigungen delegiert worden sein. Ausführliche Informationen zum Delegieren von Berechtigungen finden Sie unter Delegieren von Setupberechtigungen. In Abhängigkeit von Ihrer Organisation und den Anforderungen zum Anfordern von Zertifikaten sind möglicherweise weitere Gruppenmitgliedschaften erforderlich. Wenden Sie sich an die Gruppe, die Ihre Public Key-Infrastruktur-Zertifizierungsstelle verwaltet.
Hinweis: |
---|
Lync Server 2010 bietet Unterstützung für SHA-256-Zertifikate für Verbindungen von Clients, die neben Lync 2010 Phone Edition die Betriebssysteme Windows Vista, Windows Server 2008, Windows Server 2008 R2 und Windows 7 ausführen. Damit der externe Zugriff über SHA-256 unterstützt wird, wird das externe Zertifikat von einer öffentlichen Zertifizierungsstelle ausgestellt, die SHA-256 verwendet. |
Für jeden Front-End-Server werden bis zu drei Zertifikate benötigt: ein Standardzertifikat, ein internes Webzertifikat und ein externes Webzertifikat. Es ist jedoch möglich, mit geeigneten Einträgen für alternative Antragstellernamen ein einzelnes Standardzertifikat anzufordern und zuzuweisen. Ausführliche Informationen zu den Zertifikatanforderungen finden Sie unter Anforderungen an Zertifikate für interne Server. Verwenden Sie das folgende Verfahren, um die Front-End-Server-Zertifikate anzufordern, zuzuweisen und zu installieren. Wiederholen Sie das Verfahren für jeden Front-End-Server.
Hinweis: |
---|
Im Standardkonfigurationsprozess wird nur ein Zertifikat angefordert. Das empfangene Zertifikat wird anschließend dem Front-End-Server zugewiesen. Das Zertifikat wird den Front-End-Serverrollen und den auf dem Front-End-Server gehosteten Webdiensten zugewiesen. |
Wichtig: |
---|
Im folgenden Verfahren wird beschrieben, wie Sie Zertifikate einer internen Public Key-Infrastruktur konfigurieren, die von Ihrer Organisation bereitgestellt wird. Zertifikatanforderungen werden in diesem Verfahren offline verarbeitet. Ausführliche Informationen zum Beziehen von Zertifikaten von einer öffentlichen Zertifizierungsstelle finden Sie unter Anforderungen an Zertifikate für interne Server in der Planungsdokumentation. Dieses Verfahren beschreibt außerdem, wie während der Einrichtung des Front-End-Servers Zertifikate angefordert, zugewiesen und installiert werden. Wenn Sie Zertifikate im Voraus angefordert haben (siehe Abschnitt Vorabanforderung von Zertifikaten (optional) in der vorliegenden Bereitstellungsdokumentation), oder Sie in Ihrer Organisation keine interne Public Key-Infrastruktur zum Anfordern von Zertifikaten verwenden, müssen Sie dieses Verfahren nach Bedarf anpassen. |
So konfigurieren Sie Zertifikate für einen Front-End-Server
Klicken Sie im Lync Server-Bereitstellungs-Assistent auf Ausführen neben Schritt 3: Zertifikate anfordern, installieren oder zuweisen.
Klicken Sie auf der Seite Zertifikat-Assistent auf Anfordern.
Klicken Sie auf der Seite Zertifikatanforderung auf Weiter.
Sie können auf der Seite Verzögerte oder sofortige Anforderungen die Standardoption Anforderung unmittelbar an eine Onlinezertifizierungsstelle senden akzeptieren, indem Sie auf Weiter klicken. Die interne Zertifizierungsstelle mit automatischer Onlineregistrierung muss bei Auswahl dieser Option verfügbar sein. Wenn Sie die Option zur verzögerten Anforderung auswählen, werden Sie aufgefordert, einen Namen und einen Speicherort zur Speicherung der Zertifikatanforderungsdatei anzugeben. Die Zertifikatanforderung muss entweder von einer Zertifizierungsstelle in Ihrer Organisation oder von einer öffentlichen Zertifizierungsstelle bereitgestellt und verarbeitet werden. Sie müssen anschließend die Zertifikatantwort importieren und sie der entsprechenden Zertifikatrolle zuweisen.
Aktivieren Sie auf der Seite Zertifizierungsstelle auswählen die Option Wählen Sie eine Zertifizierungsstelle aus der Liste mit den in Ihrer Umgebung erkannten Stellen aus, und wählen Sie aus der Liste eine (durch Registrierung in den Active Directory-Domänendienste (AD DS)) bekannte Zertifizierungsstelle aus der Liste aus. Alternativ können Sie die Option Wählen Sie eine andere Zertifizierungsstelle aus auswählen, den Namen einer anderen Zertifizierungsstelle in das Feld eingeben und auf Weiter klicken.
Auf der Seite Zertifizierungsstellenkonto werden Sie zur Angabe von Anmeldeinformationen zum Anfordern und Verarbeiten der Zertifikatanforderung bei der Zertifizierungsstelle aufgefordert. Sie müssen vorab festlegen, ob ein Benutzername und Kennwort zum Anfordern eines Zertifikats erforderlich ist. Der Zertifizierungsstellenadministrator verfügt über die benötigten Informationen und kann Ihnen ggf. bei diesem Schritt helfen. Wenn Sie alternative Anmeldeinformationen angeben müssen, aktivieren Sie das Kontrollkästchen, geben einen Benutzernamen und ein Kennwort in die Textfelder ein und klicken dann auf Weiter.
Klicken Sie auf der Seite Alternative Zertifikatvorlage angeben auf Weiter, um die standardmäßige Webservervorlage zu verwenden.
Hinweis: Falls Ihre Organisation eine Vorlage zur Nutzung als Alternative für die Standardvorlage für die Webserver-Zertifizierungsstelle erstellt hat, aktivieren Sie das Kontrollkästchen, und geben Sie den Namen der alternativen Vorlage ein. Sie müssen den vom Zertifizierungsstellenadministrator angegebenen Vorlagennamen eingeben. Geben Sie auf der Seite Namens- und Sicherheitseinstellungen einen Wert für Anzeigename ein, anhand dessen das Zertifikat und sein Zweck bestimmt werden. Falls leer gelassen, wird ein Name automatisch generiert. Geben Sie in Bitlänge die Bitlänge des Schlüssels ein, oder übernehmen Sie den Standardwert von 2048 Bits. Durch Auswahl der Option Privaten Schlüssel des Zertifikats als "Exportierbar" markieren können Sie bei Bedarf das Zertifikat und den privaten Schlüssel in andere Systeme verschieben oder kopieren. Klicken Sie anschließend auf Weiter.
Hinweis: Lync Server 2010 stellt minimale Anforderungen an einen exportierbaren privaten Schlüssel. Eine solche Stelle befindet sich auf den Edgeservern in einem Pool, in dem der Mediarelay-Authentifizierungsdienst Kopien des Zertifikats anstelle einzelner Zertifikate für jede Instanz im Pool verwendet. Geben Sie auf der Seite Organisationsinformationen optional Informationen zu Ihrer Organisation an, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Geografische Informationen optional geografische Informationen an, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Antragstellername/Alternative Antragstellernamen die alternativen Antragstellernamen, die hinzugefügt werden, und klicken Sie dann auf Weiter.
Aktivieren Sie auf der Seite SIP-Domäneneinstellung die Option SIP-Domäne, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Zusätzliche alternative Antragstellernamen konfigurieren zusätzlich erforderliche alternative Antragstellernamen an, und klicken Sie auf Weiter.
Überprüfen Sie auf der Seite Zusammenfassung über Zertifikatsanforderungen die Informationen in der Zusammenfassung. Wenn alle Informationen richtig angegeben sind, klicken Sie auf Weiter. Wenn Sie eine Einstellung korrigieren oder ändern müssen, klicken Sie auf Zurück, um zur entsprechenden Seite zu gelangen und die Korrektur oder Änderung durchzuführen.
Klicken Sie auf der Seite Befehle ausführen auf Weiter.
Überprüfen Sie auf der Seite Status der Onlinezertifikatanforderung die angezeigten Informationen. Das Zertifikat sollte ausgegeben und in den lokalen Zertifikatspeicher installiert worden sein. Falls das Zertifikat laut Bericht ausgegeben und installiert wurde, jedoch ungültig ist, vergewissern Sie sich, dass das Zertifikat der Stammzertifizierungsstelle im Speicher der vertrauenswürdigen Stammzertifizierungsstellen installiert wurde. Informationen zum Anfordern des Zertifikats einer vertrauenswürdigen Stammzertifizierungsstelle finden Sie in der Dokumentation der Zertifizierungsstelle. Klicken Sie auf Zertifikatdetails anzeigen, wenn Sie das angeforderte Zertifikat anzeigen möchten. Das Kontrollkästchen Dieses Zertifikat für Lync Server-Zertifikatzwecke zuweisen ist standardmäßig aktiviert. Wenn Sie das Zertifikat manuell zuweisen möchten, deaktivieren Sie das Kontrollkästchen, und klicken Sie dann auf Fertig stellen.
Wenn das Kontrollkästchen Dieses Zertifikat für Lync Server-Zertifikatzwecke zuweisen auf der vorherigen Seite deaktiviert wurde, wird die Seite Zertifikatzuweisung angezeigt. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Zertifikatspeicher das von Ihnen angeforderte Zertifikat aus. Klicken Sie auf Zertifikatdetails anzeigen, wenn Sie das Zertifikat anzeigen möchten, und klicken Sie zum Fortfahren auf Weiter.
Hinweis: Wenn auf der Seite Status der Onlinezertifikatanforderung ein Problem mit dem Zertifikat gemeldet wird (wenn das Zertifikat beispielsweise als ungültig angezeigt wird), kann das Anzeigen des tatsächlichen Zertifikats bei der Lösung des Problems helfen. Zwei häufige Ursachen dafür, dass ein Zertifikat als ungültig angezeigt wird, sind das zuvor erwähnte fehlende Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle und ein fehlender privater Schlüssel, der dem Zertifikat zugeordnet ist. Informationen zur Lösung dieser beiden Probleme finden Sie in der Dokumentation der Zertifizierungsstelle. Überprüfen Sie anhand der Informationen auf der Seite Zusammenfassung der Zertifikatzuweisung, dass es sich um das zuzuweisende Zertifikat handelt, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Befehle ausführen die Befehlsausgabe. Klicken Sie auf Protokoll anzeigen, um zu überprüfen, ob bei der Zuweisung Fehler oder Warnungen ausgegeben wurden. Klicken Sie nach der Überprüfung auf Fertig stellen.
Stellen Sie sicher, dass der Status des Zertifikats auf der Seite Zertifizierungs-Assistent als Zugewiesen angegeben ist, und klicken Sie dann auf Schließen.