Compartir a través de


Request-CsCertificate

 

Última modificación del tema: 2012-04-23

Es un modo de solicitar certificados para uso con servidores que ejecutan Microsoft Lync Server 2010 y funciones de servidor. También ofrece un modo de comprobar el estado de las solicitudes de certificado existentes y, de ser necesario, de cancelar alguna de esas solicitudes (o todas).

Sintaxis

Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Descripción detallada

Lync Server 2010 usa certificados para hacer que los servidores y los roles de servidor puedan comprobar sus identidades; por ejemplo, el Servidor perimetral usa certificados para comprobar que el equipo con el que se está comunicando realmente sea un Servidor front-end y viceversa. Para implementar Lync Server completamente, deberá tener los certificados correctos asignados a los roles de servidor correspondientes.

Un modo de solicitar certificados para usarlos con Lync Server es llamar al cmdlet Request-CsCertificate. Si bien es posible usar otras herramientas estándar de Windows a los fines de solicitar certificados para usarlos con Lync Server, una ventaja importante de usar Request-CsCertificate es que el cmdlet analizará la topología antes de ponerse en contacto con la entidad de certificación (CA). Sobre la base de dicho análisis, Request-CsCertificate automáticamente solicitará un certificado con los campos correspondientes de nombre de sujeto y nombre alternativo de sujeto.

Request-CsCertificate está designado para solicitar certificados que específicamente se usarán con Lync Server. No está designado para ser una herramienta de administración de certificados para todo propósito.

Además de solicitar certificados nuevos, este cmdlet puede revisar las solicitudes de certificado pendientes, siempre que se hayan realizado con Request-CsCertificate. Request-CsCertificate también sirve para eliminar solicitudes de certificado pendientes, siempre y cuando se hayan realizado con el cmdlet.

Cuando intente recuperar solicitudes de certificados, posiblemente reciba un mensaje de error si tiene solicitudes revocadas; en la actualidad, Request-CsCertificate sólo es compatible con estos tipos de solicitudes: Emitida, Denegada y Pendiente. Si tiene problemas debido a un certificado revocado, use un comando similar al siguiente para borrar la solicitud revocada (donde 224 es el RequestID de la solicitud de certificado revocada):

Request-CsCertificate –Clear –RequestID 224

A continuación, debería poder recuperar las solicitudes de certificados.

Quiénes pueden ejecutar este cmdlet: Debe ser administrador local y tener derechos con la autoridad de certificación especificada a fin de ejecutar el cmdlet Request-CsCertificate en forma local. Para obtener una lista de todos los roles de control de acceso basado en roles (RBAC) que se han asignado a este cmdlet (incluidos los roles personalizados RBAC que haya creado usted), ejecute el siguiente comando en el aviso de Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}

Parámetros

Parámetro Requerido Tipo Descripción

Type

Requerido

Cadena de caracteres

Tipo de certificado solicitado. Entre los tipos de certificados se encuentran:

AccessEdgeExternal

AudioVideoAuthentication

DataEdgeExternal

Default

External

Internal

iPhoneAPNService

iPadAPNService

MPNService

PICWebService (sólo Microsoft Lync Online 2010)

ProvisionService (sólo Microsoft Lync Online 2010)

WebServicesExternal

WebServicesInternal

WsFedTokenTransfer

Por ejemplo, en esta sintaxis se solicita un nuevo certificado predeterminado: -Type Default.

Puede especificar varios tipos en un único comando al separar los tipos de certificados con comas:

-Type Internal,External,Default

CA

Opcional

Cadena de caracteres

Nombre de dominio completo (FQDN) que señala a la entidad de certificación. Por ejemplo: -CA "atl-ca-001.litwareinc.com\myca". Para obtener una lista de CA conocidas, escriba el siguiente texto en el aviso de Windows PowerShell y, luego, presione ENTER:

certutil

La propiedad Config que devuelve Certutil indica la ubicación de una CA.

CaAccount

Opcional

Cadena de caracteres

Nombre de la cuenta del usuario que solicita el nuevo certificado, siguiendo el formato domain_name\user_name. Por ejemplo: -CaAccount "litwareinc\kenmyer". Si no se lo especifica, Request-CsCertificate solicitará el nuevo certificado con las credenciales del usuario cuya sesión esté iniciada.

CaPassword

Opcional

Cadena de caracteres

Contraseña del usuario que solicita el certificado nuevo (según se especifica con el parámetro CaAccount).

City

Opcional

Cadena de caracteres

Ciudad donde se implementará el certificado.

Clear

Opcional

Parámetro modificador

Cuando está presente, elimina las solicitudes de certificados pendientes realizadas con Request-CsCertificate.

ClientEKU

Opcional

Booleano

Defina este parámetro en True si el certificado se usará para la autenticación de clientes. Este tipo de autenticación es obligatoria si desea que los usuarios puedan intercambiar mensajes instantáneos con personas que tienen cuentas de AOL. La parte EKU del nombre del parámetro es la abreviación de "uso mejorado de clave"; el campo de uso mejorado de clave enumera los usos válidos del certificado.

ComputerFqdn

Opcional

Cadena de caracteres

Nombre de dominio completo del equipo para el cual se solicita un certificado. Cuando está presente, este parámetro fuerza a Request-CsCertificate a conectarse con Almacén de administración central a fin de ubicar el equipo especificado. Siempre debe usar el nombre del equipo al solicitar un certificado, incluso cuando solicita un certificado grupal. El cmdlet Request-CsCertificate agregará automáticamente el nombre del grupo al nombre de sujeto de cualquier certificado obtenido mediante este cmdlet.

Country

Opcional

Cadena de caracteres

País o región donde se implementará el certificado.

DomainName

Opcional

Cadena de caracteres

Lista separada por comas de los nombres de dominio completos que se deberían agregar al campo de Nombre alternativo de sujeto del certificado. Por ejemplo:

-DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com"

FriendlyName

Opcional

Cadena de caracteres

Nombre asignado por el usuario que permite identificar el certificado más fácilmente.

GlobalCatalog

Opcional

Cadena de caracteres

Nombre de dominio completo de un servidor del catálogo global del dominio. Este parámetro no es obligatorio si se ejecuta Request-CsCertificate en un equipo que tiene cuenta en el dominio.

GlobalSettingsDomainController

Opcional

Cadena de caracteres

Nombre de dominio completo de un controlador de dominio donde se almacena la configuración global. Si la configuración global está almacenada en el contenedor del sistema de Active Directory Domain Services (AD DS), este parámetro debe apuntar al controlador del dominio raíz. Si la configuración global se almacena en el contenedor de configuración, es posible usar cualquier controlador de dominio y este parámetro puede omitirse.

KeyAlg

Opcional

Modificador de lista PS

Indica el tipo de algoritmo criptográfico que se usará para generar las claves pública y privada de un certificado nuevo. Entre los algoritmos de clave válidos se encuentran:

RSA

ECDH_P256

ECDH_P384

ECDH_P521

KeySize

Opcional

Integer

Indica el tamaño (en bits) de la clave privada usada por el certificado. Las claves de mayor tamaño son más seguras, pero requieren mayor sobrecarga de procesamiento a fin de descifrarla.

Los tamaños de claves válidos son 1024; 2048; y 4096. Por ejemplo: -KeySize 2048.

List

Opcional

Parámetro modificador

Cuando está presente, genera una lista de las solicitudes de certificados pendientes realizadas con Request-CsCertificate.

New

Opcional

Parámetro modificador

Cuando está presente, indica que se desea solicitar un certificado nuevo.

Organization

Opcional

Cadena de caracteres

Nombre de la organización que solicita el nuevo certificado. Por ejemplo: -Organization "Litwareinc".

OU

Opcional

Cadena de caracteres

Unidad organizativa de Active Directory del equipo al que se asignará el nuevo certificado.

Output

Opcional

Cadena de caracteres

Ruta de acceso al archivo del certificado. Si desea generar una solicitud de certificado sin conexión, use el parámetro Output y especifique la ruta de acceso del archivo de la solicitud del certificado, por ejemplo: -Output C:\Certificates\NewCertificate.pfx. De esta manera se generará un archivo de solicitud de certificado que se puede enviar por correo a una entidad de certificación para su procesamiento.

PrivateKeyExportable

Opcional

Booleano

Defina este parámetro en True si desea que la clave privada del certificado se vuelva exportable. Cuando una clave privada es exportable, el certificado puede copiarse y usarse en varios equipos.

RequestID

Opcional

Integer

Número de identificación asociado a una solicitud de certificado. El parámetro RequestID es un modo de asignar a una lista, recuperar o borrar un certificado individual.

Retrieve

Opcional

Parámetro modificador

Cuando está presente, recupera las solicitudes de certificados pendientes realizadas con Request-CsCertificate e intenta completar la operación e importar el certificado solicitado.

State

Opcional

Cadena de caracteres

Estado de EE. UU. donde se implementará el certificado. Por ejemplo: -State WA.

Template

Opcional

Cadena de caracteres

Indica la plantilla de certificado que se usará para generar el certificado nuevo; por ejemplo: -Template "WebServer". La plantilla solicitada debe estar instalada en la CA. Tenga en cuenta que el valor especificado debe ser el nombre de la plantilla, no el nombre para mostrar de la plantilla.

Force

Opcional

Parámetro modificador

Suprime la visualización de los mensajes de error que no sean graves y que puedan producirse al ejecutar el comando.

Report

Opcional

Cadena de caracteres

Le permite especificar una ruta de acceso para el archivo de registro creado cuando se ejecuta el cmdlet. Por ejemplo: -Report "C:\Logs\Certificates.html"

WhatIf

Opcional

Parámetro modificador

Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente.

Confirm

Opcional

Parámetro modificador

Solicita confirmación antes de ejecutar el comando.

Tipos de entrada

Ninguno. Request-CsCertificate no acepta entradas canalizadas.

Tipos de valores devueltos

Ninguno. En cambio, Request-CsCertificate ayuda a administrar instancias del objeto Microsoft.Rtc.Management.Deployment.CertificateReference.

Ejemplo

-------------------------- Ejemplo 1 ------------------------

Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"

El comando que se muestra en el Ejemplo 1 crea una nueva solicitud de certificado: se comunica con la entidad de certificación atl-ca-001.litwareinc.com\myca y solicita un nuevo certificado de WebServicesExternal.

-------------------------- Ejemplo 2 ------------------------

Request-CsCertificate -List

El comando anterior genera una lista con todas las solicitudes de certificados pendientes que se realizaron con Request-CsCertificate.

-------------------------- Ejemplo 3 ------------------------

Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer

El Ejemplo 3 usa el parámetro Output para crear una solicitud de certificado sin conexión.

-------------------------- Ejemplo 4 ------------------------

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"

El ejemplo anterior es un ejemplo más detallado (y más realista) de cómo usar Request-CsCertificate. En este ejemplo, se solicita un certificado para usar con la edición Standard Edition de Lync Server

-------------------------- Ejemplo 5 ------------------------

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"

En el Ejemplo 5, se solicita un certificado grupal para usar con Enterprise Edition de Lync Server

-------------------------- Ejemplo 6 ------------------------

Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"

El ejemplo anterior muestra cómo puede solicitar un certificado para el Servidor perimetral interno.

-------------------------- Ejemplo 7 ------------------------

Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"

El Ejemplo 7 es una variante del comando que se muestra en el Ejemplo 6. Sin embargo, en este caso, la solicitud se realiza para el Servidor perimetral externo.