Zuweisen eines Server-zu-Server-Authentifizierungszertifikats zu Skype for Business Server

  • Artikel

Zusammenfassung: Weisen Sie ein Server-zu-Server-Authentifizierungszertifikat für Skype for Business Server zu.

Um festzustellen, ob Skype for Business Server bereits ein Server-zu-Server-Authentifizierungszertifikat zugewiesen wurde, führen Sie den folgenden Befehl in der Skype for Business Server-Verwaltungsshell aus:

Get-CsCertificate -Type OAuthTokenIssuer

Wenn keine Zertifikatinformationen zurückgegeben werden, müssen Sie ein Tokenausstellerzertifikat zuweisen, bevor Sie die Server-zu-Server-Authentifizierung verwenden können. Allgemein gilt, dass jedes Skype for Business Server Zertifikat als OAuthTokenIssuer-Zertifikat verwendet werden kann. Ihr Skype for Business Server Standardzertifikat kann beispielsweise auch als OAuthTokenIssuer-Zertifikat verwendet werden. (Das OAUthTokenIssuer-Zertifikat kann auch ein beliebiges Webserverzertifikat sein, das den Namen Ihrer SIP-Domäne im Feld Betreff enthält.) Die beiden primären Anforderungen für das Zertifikat, das für die Server-zu-Server-Authentifizierung verwendet wird, sind die folgenden: 1)dasselbe Zertifikat muss als OAuthTokenIssuer-Zertifikat auf allen Ihren Front-End-Servern konfiguriert werden; und 2) das Zertifikat muss mindestens 2048 Bits haben.

Wenn Sie über kein Zertifikat verfügen, das für die Server-zu-Server-Authentifizierung verwendet werden kann, können Sie ein neues Zertifikat beziehen, das neue Zertifikat importieren und anschließend für die Server-zu-Server-Authentifizierung verwenden. Nachdem Sie das neue Zertifikat angefordert und abgerufen haben, können Sie sich bei einem Ihrer Front-End-Server anmelden und einen Windows PowerShell Befehl verwenden, der dem folgenden ähnelt, um dieses Zertifikat zu importieren und zuzuweisen:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

Im vorherigen Befehl stellt der Path-Parameter den vollständigen Pfad zur Zertifikatdatei dar, und der Parameter Password stellt das Kennwort dar, das dem Zertifikat zugewiesen wurde. Dieses Verfahren sollte nur einmal ausgeführt werden: Der Skype for Business Server Replikationsdienst erstellt dann automatisch eine Reihe geplanter Aufgaben, die das Zertifikat entschlüsseln und auf allen Front-End-Servern bereitstellen.

Alternativ können Sie ein vorhandenes Zertifikat als Server-zu-Server-Authentifizierungszertifikat verwenden. (Wie bereits erwähnt, kann das Standardzertifikat als Server-zu-Server-Authentifizierungszertifikat verwendet werden.) Das folgende Paar von Windows PowerShell Befehlen ruft den Wert der Fingerabdruckeigenschaft des Standardzertifikats ab und verwendet diesen Wert dann, um das Standardzertifikat zum Server-zu-Server-Authentifizierungszertifikat zu machen:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

Im vorherigen Befehl ist das abgerufene Zertifikat so konfiguriert, dass es als globales Server-zu-Server-Authentifizierungszertifikat fungiert. Das bedeutet, dass das Zertifikat auf alle Ihre Front-End-Server repliziert und von diesen verwendet wird. Auch hier sollte dieser Befehl nur einmal und nur auf einem Ihrer Front-End-Server ausgeführt werden. Obwohl alle Front-End-Server dasselbe Zertifikat verwenden müssen, sollten Sie das OAuthTokenIssuer-Zertifikat nicht auf jedem Front-End-Server konfigurieren. Konfigurieren Sie das Zertifikat stattdessen einmal, und überlassen Sie dem Skype for Business Server Replikationsserver das Kopieren dieses Zertifikats auf jeden Server.

Das cmdlet Set-CsCertificate verwendet das betreffende Zertifikat und konfiguriert dieses Zertifikat sofort so, dass es als aktuelles OAuthTokenIssuer-Zertifikat fungiert. (Skype for Business Server behält zwei Kopien eines Zertifikattyps bei: das aktuelle Zertifikat und das vorherige Zertifikat.) Wenn sie das neue Zertifikat sofort als OAuthTokenIssuer-Zertifikat verwenden möchten, sollten Sie das Cmdlet Set-CsCertificate verwenden.

Sie können auch das Cmdlet Set-CsCertificate verwenden, um ein neues Zertifikat zu "rollieren". "Rollieren" eines Zertifikats bedeutet einfach, dass Sie ein neues Zertifikat so konfigurieren, dass es zu einem bestimmten Zeitpunkt das aktuelle OAuthTokenIssuer-Zertifikat wird. Mit diesem Befehl wird beispielsweise das Standardzertifikat abgerufen und anschließend konfiguriert, dass es ab dem 1. Juli 2015 als aktuelles OAuthTokenIssuer-Zertifikat übernommen wird:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

Am 1. Juli 2015 wird das neue Zertifikat als aktuelles OAuthTokenIssuer-Zertifikat konfiguriert, und das "alte" OAuthTokenIssuer-Zertifikat wird als vorheriges Zertifikat konfiguriert.

Wenn Sie nicht Windows PowerShell können Sie auch die MMC-Konsole Zertifikate verwenden, um ein Zertifikat von einem Front-End-Server zu exportieren und dann dasselbe Zertifikat auf alle anderen Front-End-Server zu importieren. Dabei müssen Sie unbedingt den privaten Schlüssel zusammen mit dem Zertifikat selbst exportieren.

Vorsicht

In diesem Fall muss die Prozedur auf jedem Front-End-Server ausgeführt werden. Beim Exportieren und Importieren von Zertifikaten auf diese Weise repliziert Skype for Business Server dieses Zertifikat nicht auf jeden Front-End-Server.

Nachdem das Zertifikat auf alle Front-End-Server importiert wurde, kann dieses Zertifikat mithilfe des Skype for Business Server-Bereitstellungs-Assistenten anstelle von Windows PowerShell zugewiesen werden. Führen Sie zum Zuweisen eines Zertifikats mithilfe des Bereitstellungs-Assistenten die folgenden Schritte auf einem Computer aus, auf dem der Bereitstellungs-Assistent installiert wurde:

  1. Klicken Sie auf Start, alle Programme, klicken Sie auf Skype for Business Server, und klicken Sie dann auf Skype for Business Server Bereitstellungs-Assistent.

  2. Klicken Sie im Bereitstellungs-Assistenten auf Skype for Business Server System installieren oder aktualisieren.

  3. Klicken Sie auf der Seite Skype for Business Server unter der Überschrift Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikaten auf die Schaltfläche Ausführen. (Hinweis: Falls Sie auf diesem Computer bereits Zertifikate installiert haben, heißt die Schaltfläche nicht Ausführen, sondern Erneut ausführen.)

  4. Wählen Sie im Zertifikat-Assistenten das Zertifikat OAuthTokenIssuer aus und klicken Sie auf Zuweisen.

  5. Klicken Sie im Zertifikatzuweisungs-Assistenten auf der Seite Zertifikatzuweisung auf Weiter.

  6. Wählen Sie auf der Seite Zertifikatspeicher das Zertifikat aus, das für die Server-zu-Server-Authentifizierung verwendet werden soll und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite für die Zusammenfassung der Zertifikatzuweisung auf Weiter.

  8. Klicken Sie auf der Seite „Befehle ausführen“ auf Fertigstellen.

  9. Schließen Sie den Zertifikat-Assistenten und den Bereitstellungs-Assistenten.