Compartir a través de

Asignar un certificado de autenticación de servidor a servidor a Skype Empresarial Server

  • Artículo

Resumen: Asigne un certificado de autenticación de servidor a servidor para Skype Empresarial Server.

Para determinar si se ha asignado o no un certificado de autenticación de servidor a servidor a Skype Empresarial Server, ejecute el siguiente comando desde el Shell de administración de Skype Empresarial Server:

Get-CsCertificate -Type OAuthTokenIssuer

Si no se devuelve ninguna información del certificado, debe asignar un certificado de emisor de tokens para poder usar la autenticación de servidor a servidor. Como regla general, cualquier certificado de Skype Empresarial Server se puede usar como su certificado OAuthTokenIssuer; por ejemplo, el certificado predeterminado de Skype Empresarial Server también se puede usar como certificado OAuthTokenIssuer. (El certificado OAUthTokenIssuer también puede ser cualquier certificado de servidor web que incluya el nombre de su dominio SIP en el campo Subject). Los dos requisitos principales para el certificado usado para la autenticación de servidor a servidor son estos: 1) el mismo certificado debe configurarse como el certificado OAuthTokenIssuer en todos los servidores front-end; y, 2) el certificado debe tener al menos 2048 bits.

Si no dispone de un certificado que pueda usarse para la autenticación de servidor a servidor, puede obtener uno nuevo, importarlo y usarlo para este tipo de autenticación. Una vez que haya solicitado y obtenido el nuevo certificado, puede iniciar sesión en cualquiera de sus servidores front-end y usar un comando de Windows PowerShell similar a este para importar y asignar ese certificado:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

En el comando anterior, el parámetro Path representa la ruta de acceso completa al archivo de certificado, y el parámetro Password representa la contraseña que se asignó al certificado. Este procedimiento solo debe ejecutarse una vez: el servicio de replicación de Skype Empresarial Server crea automáticamente un conjunto de tareas programadas que descifrarán e implementarán el certificado en todos los servidores front-end.

Como alternativa, puede usar un certificado existente como certificado de autenticación de servidor a servidor. (Como se ha indicado, el certificado predeterminado se puede usar como certificado de autenticación de servidor a servidor). El siguiente par de comandos de Windows PowerShell recupera el valor de la propiedad Thumbprint del certificado predeterminado y, a continuación, usa ese valor para convertir el certificado predeterminado en certificado de autenticación de servidor a servidor:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

En el comando anterior, el certificado recuperado está configurado para funcionar como el certificado de autenticación de servidor a servidor global; esto significa que el certificado se replica en todos los servidores front-end y los usa. De nuevo, este comando solo debe ejecutarse una vez y solo en uno de los servidores front-end. Aunque todos los servidores front-end deben usar el mismo certificado, no debes configurar el certificado OAuthTokenIssuer en cada servidor front-end. En su lugar, configure el certificado una vez y deje que el servidor de replicación de Skype Empresarial Server se ocupe de copiar ese certificado en cada servidor.

El cmdlet de Set-CsCertificate toma el certificado en cuestión y configura inmediatamente ese certificado para que actúe como el certificado OAuthTokenIssuer actual. (Skype Empresarial Server conserva dos copias de un tipo de certificado: el certificado actual y el certificado anterior). Si necesita que el nuevo certificado comience a actuar inmediatamente como el certificado OAuthTokenIssuer, debe usar el cmdlet de Set-CsCertificate.

También puede usar el cmdlet Set-CsCertificate para la "sucesión" de un nuevo certificado. "Sucesión" significa simplemente que se configura un nuevo certificado para que pase a ser el certificado OAuthTokenIssuer actual en un momento determinado. Por ejemplo, este comando recupera el certificado predeterminado y lo configura para que sea el certificado OAuthTokenIssuer actual a partir del miércoles, 01 de julio de 2015:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

El 1 de julio de 2015, el nuevo certificado se configurará como el certificado OAuthTokenIssuer actual y el certificado OAuthTokenIssuer "antiguo" se configurará como el certificado anterior.

Si no desea usar Windows PowerShell, también puede usar la consola MMC Certificados para exportar un certificado de un servidor front-end y, a continuación, importar ese mismo certificado en todos los demás servidores front-end. Si lo hace así, no olvide exportar la clave privada junto con el propio certificado.

Precaución

En este caso, el procedimiento debe realizarse en cada servidor front-end. Al exportar e importar certificados de esta manera, Skype Empresarial Server no replicará ese certificado en cada servidor front-end.

Después de importar el certificado a todos los servidores front-end, ese certificado se puede asignar mediante el Asistente para la implementación de Skype Empresarial Server en lugar de Windows PowerShell. Para asignar un certificado mediante el Asistente para la implementación, siga estos pasos en un equipo donde esté instalado el Asistente para la implementación:

  1. Seleccione Inicio, seleccione Todos los programas, haga clic en Skype Empresarial Server y, a continuación, haga clic en Asistente para la implementación de Skype Empresarial Server.

  2. En el Asistente para la implementación, haga clic en Instalar o actualizar el sistema de Skype Empresarial Server.

  3. En la página Skype Empresarial Server, haga clic en el botón Ejecutar bajo el encabezado Paso 3: Solicitar, instalar o asignar certificados. Nota: si ya ha instalado certificados en este equipo, en lugar del botón Ejecutar, aparecerá Ejecutar de nuevo.

  4. En el Asistente para certificados, seleccione el certificado OAuthTokenIssuer y haga clic en Asignar.

  5. En la página Asignación de certificado del Asistente para certificados, haga clic en Siguiente.

  6. En la página Almacén de certificados, seleccione el certificado que desea usar para la autenticación de servidor a servidor y haga clic en Siguiente.

  7. En la página Resumen de asignación de certificados, haga clic en Siguiente.

  8. En la página Ejecutar comandos, haga clic en Finalizar.

  9. Cierre el Asistente para certificados y el Asistente para la implementación.