Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR:
Abonnementedition 2015 2019
Zusammenfassung: Bereitstellen von AV- und OAuth-Zertifikaten für Skype for Business Server.
Die A/V-Kommunikation (Audio/Video) ist eine wichtige Komponente der Skype for Business Server. Features wie Anwendungsfreigabe sowie Audio- und Videokonferenzen basieren auf den Zertifikaten, die dem A/V-Microsoft Edge-Dienst zugewiesen sind, insbesondere dem A/V-Authentifizierungsdienst.
Wichtig
Dieses neue Feature ist für den A/V-Edgedienst und das OAuthTokenIssuer-Zertifikat konzipiert. Andere Zertifikattypen können zusammen mit dem A/V-Microsoft Edge-Dienst und dem OAuth-Zertifikattyp bereitgestellt werden, profitieren jedoch nicht von dem Koexistenzverhalten, das das A/V-Microsoft Edge-Dienstzertifikat verwendet.
Die PowerShell-Cmdlets der Skype for Business Server Verwaltungsshell, die zum Verwalten Skype for Business Server Zertifikate verwendet werden, beziehen sich auf das A/V Edge-Dienstzertifikat als Den Zertifikattyp AudioVideoAuthentication und das OAuthServer-Zertifikat als typeOAuthTokenIssuer. Im weiteren Verlauf dieses Artikels und zur eindeutigen Identifizierung der Zertifikate wird auf sie mit demselben Bezeichnertyp verwiesen: AudioVideoAuthentication undOAuthTokenIssuer.
Der A/V-Authentifizierungsdienst ist für die Ausgabe von Token verantwortlich, die von Clients und anderen A/V-Consumern verwendet werden. Die Token werden aus Attributen des Zertifikats generiert, und wenn das Zertifikat abläuft, führt dies zu einem Verlust der Verbindung und der Anforderung, erneut mit einem neuen Token teilzu treten, das vom neuen Zertifikat generiert wird. Dieses Problem wird durch ein neues Feature in Skype for Business Server behoben: Die Möglichkeit, ein neues Zertifikat vor Ablauf des alten Zertifikats zu stagen und beide Zertifikate für die Zeit weiter funktionsfähig zu machen. Dieses Feature verwendet aktualisierte Funktionen im Cmdlet Set-CsCertificate Skype for Business Server Management Shell. Der neue Parameter -Roll mit dem vorhandenen Parameter -EffectiveDate platziert das neue AudioVideoAuthentication-Zertifikat im Zertifikatspeicher. Das ältere AudioVideoAuthentication-Zertifikat bleibt erhalten, damit ausgestellte Token überprüft werden können. Beginnend mit dem Einfügen des neuen AudioVideoAuthentication-Zertifikats treten die folgenden Ereignisse auf:
Tipp
Mithilfe der Skype for Business Server-Verwaltungsshell-Cmdlets zum Verwalten von Zertifikaten können Sie separate und unterschiedliche Zertifikate für jeden Zweck auf dem Microsoft Edge-Server anfordern. Die Verwendung des Zertifikat-Assistenten im Skype for Business Server-Bereitstellungs-Assistenten unterstützt Sie beim Erstellen von Zertifikaten, ist jedoch in der Regel vom Standardtyp, der alle für den Edgeserver verwendeten Zertifikate auf ein einzelnes Zertifikat koppelt. Wenn Sie das Feature für parallele Zertifikate verwenden möchten, empfiehlt es sich, das AudioVideoAuthentication-Zertifikat von den anderen Zertifikatszwecken zu entkoppeln. Sie können ein Zertifikat vom Typ „Standard“ bereitstellen, doch nur der AudioVideoAuthentication-Teil des kombinierten Zertifikats profitiert von dem Staging. Ein Benutzer, der (z. B.) an einer Chatunterhaltung beteiligt ist, wenn das Zertifikat abläuft, muss sich abmelden und wieder anmelden, um das neue Zertifikat zu verwenden, das dem Access Edge-Dienst zugeordnet ist. Ein ähnliches Verhalten tritt für einen Benutzer auf, der an einer Webkonferenz mit dem Webkonferenz-Edgedienst beteiligt ist. Das OAuthTokenIssuer-Zertifikat ist ein bestimmter Typ, der auf allen Servern freigegeben ist. Sie erstellen und verwalten das Zertifikat an einem Ort, und das Zertifikat wird im zentralen Verwaltungsspeicher für alle anderen Server gespeichert.
Weitere Details sind erforderlich, um Ihre Optionen und Anforderungen vollständig zu verstehen, wenn Sie das Cmdlet Set-CsCertificate verwenden und es zum Bereitstellen von Zertifikaten vor ablaufen des aktuellen Zertifikats verwenden. Der -Roll-Parameter ist wichtig, aber ein einziger Zweck. Wenn Sie ihn als Parameter definieren, informieren Sie Set-CsCertificate, dass Sie Informationen zu dem von -Type definierten Zertifikat bereitstellen (z. B. AudioVideoAuthentication und OAuthTokenIssuer), wenn das Zertifikat wirksam wird, definiert durch -EffectiveDate.
-Roll: Der Parameter -Roll ist erforderlich und weist Abhängigkeiten auf, die zusammen mit dem Parameter angegeben werden müssen. Erforderliche Parameter, um vollständig zu definieren, welche Zertifikate betroffen sind und wie sie angewendet werden:
-EffectiveDate: Der Parameter -EffectiveDate definiert, wann das neue Zertifikat mit dem aktuellen Zertifikat koaktiv wird. Das -EffectiveDate kann nahe an der Ablaufzeit des aktuellen Zertifikats liegen, oder es kann ein längerer Zeitraum sein. Ein empfohlener Mindestwert für "-EffectiveDate" für das AudioVideoAuthentication-Zertifikat beträgt 8 Stunden. Dies ist die Standardtokenlebensdauer für Av Microsoft Edge-Diensttoken, die mit dem AudioVideoAuthentication-Zertifikat ausgestellt werden.
Für das Bereitstellen der OAuthTokenIssuer-Zertifikate liegen verschiedene Anforderungen für die Vorlaufzeit vor, bevor das Zertifikat wirksam werden kann. Der Mindestwert des OAuthTokenIssuer-Zertifikats für die Vorlaufzeit sollte 24 Stunden vor der Ablaufzeit des aktuellen Zertifikats betragen. Die erweiterte Vorlaufzeit für die Koexistenz ist durch andere Serverrollen begründet, die von dem OAuthTokenIssuer-Zertifikat (beispielsweise Exchange Server) abhängen, das eine längere Aufbewahrungszeit für durch Zertifikate erstellte Authentifizierungs- und Verschlüsselungsschlüsselelemente besitzt.
-Thumbprint: Beim Fingerabdruck handelt es sich um ein für dieses Zertifikat eindeutiges Attribut. Der Parameter -Thumbprint wird verwendet, um das Zertifikat zu identifizieren, das von den Aktionen des cmdlets Set-CsCertificate betroffen ist.
-Type: Der Parameter -Type kann einen einzelnen Zertifikatverwendungstyp oder eine durch Trennzeichen getrennte Liste von Zertifikatverwendungstypen akzeptieren. Die Zertifikattypen geben für das Cmdlet und den Server an, worin der Zweck des Zertifikats besteht. Geben Sie beispielsweise AudioVideoAuthentication für die Verwendung durch den A/V-Edgedienst und den AV-Authentifizierungsdienst ein. Wenn Sie verschiedene Zertifikattypen zum gleichen Zeitpunkt bereitstellen möchten, müssen Sie die längste effektive Mindestvorlaufzeit für die Zertifikate berücksichtigen. Sie müssen beispielsweise Zertifikate vom Typ „AudioVideoAuthentication“ und vom Typ „OAuthTokenIssuer“ bereitstellen. Ihr Minimum -EffectiveDate muss das größere der beiden Zertifikate sein, in diesem Fall das OAuthTokenIssuer, das eine Mindestvorlaufzeit von 24 Stunden hat. Wenn Sie das AudioVideoAuthentication-Zertifikat nicht mit einer Vorlaufzeit von 24 Stunden inszenieren möchten, stellen Sie es separat mit einem EffectiveDate bereit, das eher Ihren Anforderungen entspricht.
So aktualisieren oder erneuern Sie ein A/V Edge-Dienstzertifikat mit den Parametern -Roll und -EffectiveDate
Melden Sie sich auf dem lokalen Computer als Mitglied der Gruppe Administratoren an.
Fordern Sie eine Verlängerung oder ein neues AudioVideoAuthentication-Zertifikat mit exportierbarem privatem Schlüssel für das vorhandene Zertifikat im A/V-Edgedienst an.
Importieren Sie das neue AudioVideoAuthentication-Zertifikat in den Microsoft Edge-Server und alle anderen Edgeserver in Ihrem Pool (wenn Sie einen Pool bereitgestellt haben).
Konfigurieren Sie das importierte Zertifikat mit dem Cmdlet Set-CsCertificate, und verwenden Sie den Parameter -Roll mit dem Parameter -EffectiveDate. Das Gültigkeitsdatum sollte als Ablaufzeit des aktuellen Zertifikats (14:00:00 Uhr) minus Tokenlebensdauer (standardmäßig acht Stunden) festgelegt werden. Dies gibt uns einen Zeitpunkt an, zu dem das Zertifikat auf aktiv festgelegt werden muss, und ist die -EffectiveDate-Zeichenfolge<>: "7/22/2015 6:00:00 AM".
Wichtig
Für einen Edgepool müssen alle AudioVideoAuthentication-Zertifikate bereitgestellt und nach dem Datum und der Uhrzeit bereitgestellt werden, die durch den Parameter -EffectiveDate des ersten bereitgestellten Zertifikats definiert sind, um eine mögliche Unterbrechung der A/V-Kommunikation aufgrund des Ablaufs des älteren Zertifikats zu vermeiden, bevor alle Client- und Consumertoken mit dem neuen Zertifikat erneuert wurden.
Der Set-CsCertificate-Befehl mit den Parametern -Roll und -EffectiveTime:
Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint <thumb print of new certificate> -Roll -EffectiveDate <date and time for certificate to become active>Ein Set-CsCertificate-Beispielbefehl:
Set-CsCertificate -Type AudioVideoAuthentication -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/22/2015 6:00:00 AM"Wichtig
Das EffectiveDate muss so formatiert sein, dass es mit den Regions- und Spracheinstellungen Ihres Servers übereinstimmt. Im Beispiel werden die englischen (USA) Regions- und Spracheinstellungen verwendet.
Um den Prozess, den Set-CsCertificate, -Roll und -EffectiveDate zum Bereitstellen eines neuen Zertifikats für die Ausgabe neuer AudioVideoAuthentication-Token verwenden, während weiterhin ein vorhandenes Zertifikat zum Überprüfen von AudioVideoAuthentication verwendet wird, das von Consumern verwendet wird, ist eine visuelle Zeitleiste ein effektives Mittel, um den Prozess zu verstehen. Im folgenden Beispiel bestimmt der Administrator, dass das Zertifikat des A/V-Edgediensts am 22.07.2015 um 14:00:00 Uhr abläuft. Sie fordern ein neues Zertifikat an und erhalten es und importieren es in jeden Microsoft Edge-Server im Pool. Am 22.07.2015 um 2:00 Uhr beginnen sie mit der Ausführung von Get-CsCertificate mit -Roll, -Thumbprint gleich der Fingerabdruckzeichenfolge des neuen Zertifikats und -EffectiveTime, die auf 07/22/2015 6:00:00 AM festgelegt ist. Sie führen den Befehl auf jedem Microsoft Edge-Server aus.
| Beschriftung | Phase |
|---|---|
| 1 | Start: 22.07.2015 12:00:00 Uhr Das aktuelle AudioVideoAuthentication-Zertifikat endet am 22.07.2015 um 14:00 Uhr. Das wird durch den Ablaufzeitstempel auf dem Zertifikat festgelegt. Planen Sie die Zertifikatersetzung und den Rollover, um eine Überlappung von 8 Stunden (Standardtokenlebensdauer) zu berücksichtigen, bevor das vorhandene Zertifikat die abgelaufene Zeit erreicht. Die Vorlaufzeit von 2:00:00 Uhr wird in diesem Beispiel verwendet, damit der Administrator genügend Zeit hat, um die neuen Zertifikate vor der Ablaufzeit um 6:00:00 Uhr zu platzieren und bereitzustellen. |
| 2 | 22.07.2015 02:00:00 Uhr – 22.07.2015 05:59:59 Uhr Festlegen von Zertifikaten auf Microsoft Edge-Servern mit einer effektiven Zeit von 6:00:00 Uhr (4 Stunden Vorlaufzeit ist in diesem Beispiel, kann aber länger sein) mithilfe von Set-CsCertificate -Type-Zertifikatverwendungstyp <> -Fingerabdruckfingerabdruck <des neuen Zertifikats> -Roll -EffectiveDate <datetime-Zeichenfolge des gültigen Zeitpunkts für das neue Zertifikat> |
| 3 | 22.07.2015 06:00 Uhr – 22.07.2015 14:00 Uhr Zur Überprüfung von Token wird zunächst das neue Zertifikat ausprobiert und wenn das neue Zertifikat das Token nicht validieren kann, wird das alte Zertifikat verwendet. Dieser Prozess wird während der Überscheidungszeit von 8 Stunden (Standardtokenlebensdauer) für alle Token verwendet. |
| 4 | Ende: 22.07.2015 14:00:01 Uhr Alte Zertifikate sind abgelaufen, und das neue Zertifikat wurde übernommen. Altes Zertifikat kann mit Remove-CsCertificate -Type-Zertifikatverwendungstyp <> -Zurück sicher entfernt werden. |
Wird das Gültigkeitsdatum (22.07.2015 06:00:00 Uhr) erreicht, werden alle neuen Token vom neuen Zertifikat ausgestellt. Beim Überprüfen von Token werden Token zuerst anhand des neuen Zertifikats überprüft. Schlägt die Überprüfung fehl, wird das alte Zertifikat verwendet. Der Prozess des Testens des neuen und des Rückfalles auf das alte Zertifikat wird bis zum Ablauf des alten Zertifikats fortgesetzt. Sobald das alte Zertifikat abläuft (22.07.2015, 14:00:00 Uhr), werden Token nur vom neuen Zertifikat überprüft. Das alte Zertifikat kann mithilfe des Cmdlets Remove-CsCertificate mit dem Parameter -Previous sicher entfernt werden.
Remove-CsCertificate -Type AudioVideoAuthentication -Previous
So aktualisieren oder erneuern Sie ein OAuthTokenIssuer-Zertifikat mit den Parametern -Roll und -EffectiveDate
Melden Sie sich auf dem lokalen Computer als Mitglied der Gruppe Administratoren an.
Fordern Sie eine Verlängerung oder ein neues OAuthTokenIssuer-Zertifikat mit exportierbarem privaten Schlüssel für das vorhandene Zertifikat auf dem Front-End-Server an.
Importieren Sie das neue OAuthTokenIssuer-Zertifikat in einen Front-End-Server in Ihrem Pool (wenn Sie einen Pool bereitgestellt haben). Das OAuthTokenIssuer-Zertifikat wird global repliziert und muss auf den Servern in Ihrer Bereitstellung aktualisiert und erneuert werden. Der Front-End-Server wird als Beispiel verwendet.
Konfigurieren Sie das importierte Zertifikat mit dem Cmdlet Set-CsCertificate, und verwenden Sie den Parameter -Roll mit dem Parameter -EffectiveDate. Das Gültigkeitsdatum sollte als Ablaufzeit des aktuellen Zertifikats (14:00:00 Uhr) minus mindestens 24 Stunden festgelegt werden.
Der Set-CsCertificate-Befehl mit den Parametern -Roll und -EffectiveTime:
Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint <thumbprint of new certificate> -Roll -EffectiveDate <date and time for certificate to become active> -identity Global
Ein Set-CsCertificate-Beispielbefehl:
Set-CsCertificate -Type OAuthTokenIssuer -Thumbprint "B142918E463981A76503828BB1278391B716280987B" -Roll -EffectiveDate "7/21/2015 1:00:00 PM"
Wichtig
Das EffectiveDate muss so formatiert sein, dass es mit den Regions- und Spracheinstellungen Ihres Servers übereinstimmt. Im Beispiel werden die englischen (USA) Regions- und Spracheinstellungen verwendet.
Wird das Gültigkeitsdatum (21.07.2015 01:00:00 Uhr) erreicht, werden alle neuen Token vom neuen Zertifikat ausgestellt. Beim Überprüfen von Token werden Token zuerst anhand des neuen Zertifikats überprüft. Schlägt die Überprüfung fehl, wird das alte Zertifikat verwendet. Der Prozess des Testens des neuen und des Rückfalles auf das alte Zertifikat wird bis zum Ablauf des alten Zertifikats fortgesetzt. Sobald das alte Zertifikat abläuft (22.07.2015, 14:00:00 Uhr), werden Token nur vom neuen Zertifikat überprüft. Das alte Zertifikat kann mithilfe des Cmdlets Remove-CsCertificate mit dem Parameter -Previous sicher entfernt werden.
Remove-CsCertificate -Type OAuthTokenIssuer -Previous