Configurar certificados para servidores front-end

 

Última modificación del tema: 2011-10-28

Importante:

Al ejecutar el Asistente para certificados, asegúrese de que ha iniciado sesión usando una cuenta que es miembro de un grupo con los permisos asignados adecuados para el tipo de plantilla de certificado que use. De manera predeterminada, una solicitud de certificado de Lync Server usará la plantilla de certificado Servidor web. Si usa una cuenta que es miembro del grupo RTCUniversalServerAdmins para solicitar un certificado usando esta plantilla, compruebe que el grupo tenga asignados los permisos Inscribir necesarios para usar la plantilla.

Para completar correctamente este procedimiento, debe haber iniciado sesión como un usuario miembro del grupo RTCUniversalServerAdmins o tener los permisos correctos delegados. Para obtener más información sobre la delegación de permisos, consulte Delegación de permisos de instalación. Es probable que deba pertenecer a otros grupos en función de su organización y los requisitos para solicitar certificados. Consúltelo con el grupo que administra la entidad de certificación de la infraestructura de clave pública (PKI).

Nota

Lync Server 2010 es compatible con los certificados SHA-256 para las conexiones de clientes que ejecutan los sistemas operativos Windows Vista, Windows Server 2008, Windows Server 2008 R2 y Windows 7, además de Lync 2010 Phone Edition. Para permitir el acceso externo mediante SHA-256, el certificado externo lo emite una CA pública que usa SHA-256.

Cada Servidor front-end requiere hasta tres certificados: un certificado predeterminado, un certificado web interno y un certificado web externo. No obstante, es posible solicitar y asignar un solo certificado predeterminado con las entradas de nombre alternativo de sujeto apropiadas. Para obtener información detallada sobre los requisitos de certificado, consulte Requisitos de certificado para servidores internos. Siga el procedimiento que se describe a continuación para solicitar, asignar e instalar los certificados del Servidor front-end. Repita el procedimiento con cada Servidor front-end.

Nota

En el proceso de configuración predeterminado, solo se solicita un certificado. El certificado recibido se asigna al servidor front-end. El certificado se asignará a los roles de servidor front-end y a los servicios web hospedados en el servidor front-end.

Importante:

En el siguiente procedimiento se describe cómo configurar certificados desde una PKI de empresa interna implementada por su organización y sin necesidad de conexión para procesar solicitudes. Para más información sobre la obtención de certificados emitidos por una CA pública, consulte Requisitos de certificado para servidores internos en la documentación referente a la planeación. Asimismo, se describe cómo solicitar, asignar e instalar certificados durante la instalación del Servidor front-end. Si ya solicitó certificados por adelantado con el procedimiento descrito en la sección Solicitar los certificados con anterioridad (Opcional) de esta documentación de implementación o si no usa una PKI de empresa interna implementada en su organización para obtener certificados, debe modificar este procedimiento según corresponda.

Para configurar certificados para un servidor front-end

1. En el Asistente para la implementación de Lync Server, haga clic en Ejecutar junto a Paso 3: Solicitar, instalar o asignar certificados.

   

2. En la página Asistente para certificados, haga clic en Solicitud.

   

3. En la página Solicitud de certificado, haga clic en Siguiente.

4. En la página Solicitudes retrasadas o inmediatas, acepte la opción predeterminada Envíe la solicitud inmediatamente a una entidad de certificación en línea haciendo clic en Siguiente. La CA interna con inscripción en línea automática debe estar disponible si selecciona esta opción. Si elige la opción para retrasar la solicitud, se le pedirá un nombre y una ubicación para guardar el archivo de solicitud de certificado. La solicitud de certificado debe ser presentada y procesada por una CA de su organización o bien por una CA pública. A continuación, tendrá que importar la respuesta de certificado y asignarla al rol de certificado apropiado.

   

5. En la página Elija una entidad de certificación (CA), seleccione la opción Seleccionar una entidad de certificación de la lista detectada en el entorno y, a continuación, seleccione una CA conocida (a través del registro en Active Directory Domain Services (AD DS)) de la lista. O bien, seleccione la opción Especificar otra entidad de certificación, escriba el nombre de otra CA en el cuadro y haga clic en Siguiente.

   

6. En la página Cuenta de entidad de certificación, se solicitan sus credenciales para solicitar y procesar la solicitud de certificado en la CA. Debe haber determinado si es necesario un nombre de usuario y una contraseña para solicitar un certificado por adelantado. Su administrador de CA tendrá la información necesaria y es posible que deba ayudarle en este paso. Si tiene que especificar credenciales alternativas, seleccione la casilla, escriba un nombre de usuario y una contraseña en los cuadros de texto y haga clic en Siguiente.

   

7. En la página Especificar plantilla de certificado alternativa, haga clic en Siguiente para usar la plantilla de servidor web predeterminada.

   Nota

   Si su organización ha creado una plantilla para usar como alternativa a la plantilla de la CA de servidor web predeterminada, seleccione la casilla y escriba el nombre de la plantilla alternativa. Necesitará el nombre de la plantilla definido por el administrador de CA.

   

8. En la página Nombre y configuración de seguridad, especifique un Solo nombre que debe permitirle identificar el certificado y el propósito. Si lo deja en blanco, se generará un nombre automáticamente. Establezca la Longitud en bits de la clave o acepte el valor predeterminado de 2048 bits. Seleccione la casilla Marcar la clave privada del certificado como exportable si determina que el certificado y la clave privada deben moverse o copiarse a otros sistemas y haga clic en Siguiente.

   Nota

   Lync Server 2010 tiene requisitos mínimos para una clave privada exportable. Uno de estos sitios se encuentra en los servidores perimetrales en un grupo de servidores, donde el servicio de autenticación relé multimedia usa copias del certificado, en lugar de certificados individuales para cada instancia en el grupo de servidores.

   

9. En la página Información de la organización, si lo desea, proporcione información de la organización y, a continuación, haga clic en Siguiente.

10. En la página Información geográfica, si lo desea, escriba información geográfica y, a continuación, haga clic en Siguiente.

11. En la página Nombre del sujeto o nombres alternativos del sujeto, revise los nombres alternativos del sujeto que se van a agregar y haga clic en Siguiente.

    

12. En la página Configuración del dominio SIP, active la casilla Dominio SIP y haga clic en Siguiente.

    

13. En la página Configurar nombres alternativos de sujeto adicionales, agregue los nombres alternativos de sujeto adicionales que desee, incluido cualquiera que piense que puede ser necesario para dominios SIP adicionales en el futuro, y haga clic en Siguiente.

    

14. En la página Resumen de la solicitud de certificados, revise la información del resumen. Si la información es correcta, haga clic en Siguiente. Si necesita corregir o modificar una configuración, haga clic en Atrás para ir a la página pertinente y realizar la corrección o modificación.

    

15. En la página Ejecución de comandos, haga clic en Siguiente.

    

16. En la página Estado de solicitud del certificado en línea, revise la información devuelta. Debe tener en cuenta que el certificado se emitió e instaló en el almacén de certificados local. Si se indica que se ha emitido e instalado, pero que no es válido, compruebe que el certificado raíz de la CA se haya instalado en el almacén de la raíz de confianza del servidor. Consulte la documentación de la CA para obtener información sobre cómo recuperar un certificado de CA de raíz de confianza. Si necesita ver el certificado recuperado, haga clic en Ver detalles del certificado. La casilla Asignar este certificado a los usos de certificado de Lync Server está activada de forma predeterminada. Si desea asignar manualmente el certificado, active la casilla y haga clic en Finalizar.

    

17. Si ha activado la casilla Asignar este certificado a los usos de certificado de Lync Server en la página anterior, aparecerá la página Asignación del certificado. Haga clic en Siguiente.

    

18. En la página Almacén de certificados, seleccione el certificado solicitado. Si desea ver el certificado, haga clic en Ver detalles del certificado y en Siguiente para continuar.

    Nota

    Si en la página Estado de solicitud del certificado en línea se ha notificado algún problema con el certificado, como que el certificado no es válido, ver el certificado real puede resultarle de ayuda para resolver el problema. Dos problemas específicos que pueden hacer que un certificado no sea válido son que falte el certificado de CA de raíz de confianza mencionado anteriormente o que falte una clave privada asociada con el certificado. Consulte la documentación de su CA para resolver estos dos problemas.

    

19. En la página Resumen de asignación de certificados, revise la información proporcionada para garantizar que este sea el certificado que debe asignarse y haga clic en Siguiente.

    

20. En la página Ejecutando comandos, revise el resultado del comando. Haga clic en Ver registro si desea revisar el proceso de asignación o si se ha emitido algún error o advertencia. Cuando termine, haga clic en Finalizar.

    

21. En la página Asistente para certificados, compruebe que el Estado del certificado sea “Asignado” y haga clic en Cerrar.

    

Vea también

Otros recursos

Requisitos de la infraestructura de certificados