Request-CsCertificate
Última modificación del tema: 2012-04-23
Es un modo de solicitar certificados para uso con servidores que ejecutan Microsoft Lync Server 2010 y funciones de servidor. También ofrece un modo de comprobar el estado de las solicitudes de certificado existentes y, de ser necesario, de cancelar alguna de esas solicitudes (o todas).
Sintaxis
Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
Lync Server 2010 usa certificados para hacer que los servidores y los roles de servidor puedan comprobar sus identidades; por ejemplo, el Servidor perimetral usa certificados para comprobar que el equipo con el que se está comunicando realmente sea un Servidor front-end y viceversa. Para implementar Lync Server completamente, deberá tener los certificados correctos asignados a los roles de servidor correspondientes.
Un modo de solicitar certificados para usarlos con Lync Server es llamar al cmdlet Request-CsCertificate. Si bien es posible usar otras herramientas estándar de Windows a los fines de solicitar certificados para usarlos con Lync Server, una ventaja importante de usar Request-CsCertificate es que el cmdlet analizará la topología antes de ponerse en contacto con la entidad de certificación (CA). Sobre la base de dicho análisis, Request-CsCertificate automáticamente solicitará un certificado con los campos correspondientes de nombre de sujeto y nombre alternativo de sujeto.
Request-CsCertificate está designado para solicitar certificados que específicamente se usarán con Lync Server. No está designado para ser una herramienta de administración de certificados para todo propósito.
Además de solicitar certificados nuevos, este cmdlet puede revisar las solicitudes de certificado pendientes, siempre que se hayan realizado con Request-CsCertificate. Request-CsCertificate también sirve para eliminar solicitudes de certificado pendientes, siempre y cuando se hayan realizado con el cmdlet.
Cuando intente recuperar solicitudes de certificados, posiblemente reciba un mensaje de error si tiene solicitudes revocadas; en la actualidad, Request-CsCertificate sólo es compatible con estos tipos de solicitudes: Emitida, Denegada y Pendiente. Si tiene problemas debido a un certificado revocado, use un comando similar al siguiente para borrar la solicitud revocada (donde 224 es el RequestID de la solicitud de certificado revocada):
Request-CsCertificate –Clear –RequestID 224
A continuación, debería poder recuperar las solicitudes de certificados.
Quiénes pueden ejecutar este cmdlet: Debe ser administrador local y tener derechos con la autoridad de certificación especificada a fin de ejecutar el cmdlet Request-CsCertificate en forma local. Para obtener una lista de todos los roles de control de acceso basado en roles (RBAC) que se han asignado a este cmdlet (incluidos los roles personalizados RBAC que haya creado usted), ejecute el siguiente comando en el aviso de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}
Parámetros
| Parámetro | Requerido | Tipo | Descripción |
|---|---|---|---|
Type |
Requerido |
Cadena de caracteres |
Tipo de certificado solicitado. Entre los tipos de certificados se encuentran: AccessEdgeExternal AudioVideoAuthentication DataEdgeExternal Default External Internal iPhoneAPNService iPadAPNService MPNService PICWebService (sólo Microsoft Lync Online 2010) ProvisionService (sólo Microsoft Lync Online 2010) WebServicesExternal WebServicesInternal WsFedTokenTransfer Por ejemplo, en esta sintaxis se solicita un nuevo certificado predeterminado: -Type Default. Puede especificar varios tipos en un único comando al separar los tipos de certificados con comas: -Type Internal,External,Default |
CA |
Opcional |
Cadena de caracteres |
Nombre de dominio completo (FQDN) que señala a la entidad de certificación. Por ejemplo: -CA "atl-ca-001.litwareinc.com\myca". Para obtener una lista de CA conocidas, escriba el siguiente texto en el aviso de Windows PowerShell y, luego, presione ENTER: certutil La propiedad Config que devuelve Certutil indica la ubicación de una CA. |
CaAccount |
Opcional |
Cadena de caracteres |
Nombre de la cuenta del usuario que solicita el nuevo certificado, siguiendo el formato domain_name\user_name. Por ejemplo: -CaAccount "litwareinc\kenmyer". Si no se lo especifica, Request-CsCertificate solicitará el nuevo certificado con las credenciales del usuario cuya sesión esté iniciada. |
CaPassword |
Opcional |
Cadena de caracteres |
Contraseña del usuario que solicita el certificado nuevo (según se especifica con el parámetro CaAccount). |
City |
Opcional |
Cadena de caracteres |
Ciudad donde se implementará el certificado. |
Clear |
Opcional |
Parámetro modificador |
Cuando está presente, elimina las solicitudes de certificados pendientes realizadas con Request-CsCertificate. |
ClientEKU |
Opcional |
Booleano |
Defina este parámetro en True si el certificado se usará para la autenticación de clientes. Este tipo de autenticación es obligatoria si desea que los usuarios puedan intercambiar mensajes instantáneos con personas que tienen cuentas de AOL. La parte EKU del nombre del parámetro es la abreviación de "uso mejorado de clave"; el campo de uso mejorado de clave enumera los usos válidos del certificado. |
ComputerFqdn |
Opcional |
Cadena de caracteres |
Nombre de dominio completo del equipo para el cual se solicita un certificado. Cuando está presente, este parámetro fuerza a Request-CsCertificate a conectarse con Almacén de administración central a fin de ubicar el equipo especificado. Siempre debe usar el nombre del equipo al solicitar un certificado, incluso cuando solicita un certificado grupal. El cmdlet Request-CsCertificate agregará automáticamente el nombre del grupo al nombre de sujeto de cualquier certificado obtenido mediante este cmdlet. |
Country |
Opcional |
Cadena de caracteres |
País o región donde se implementará el certificado. |
DomainName |
Opcional |
Cadena de caracteres |
Lista separada por comas de los nombres de dominio completos que se deberían agregar al campo de Nombre alternativo de sujeto del certificado. Por ejemplo: -DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com" |
FriendlyName |
Opcional |
Cadena de caracteres |
Nombre asignado por el usuario que permite identificar el certificado más fácilmente. |
GlobalCatalog |
Opcional |
Cadena de caracteres |
Nombre de dominio completo de un servidor del catálogo global del dominio. Este parámetro no es obligatorio si se ejecuta Request-CsCertificate en un equipo que tiene cuenta en el dominio. |
GlobalSettingsDomainController |
Opcional |
Cadena de caracteres |
Nombre de dominio completo de un controlador de dominio donde se almacena la configuración global. Si la configuración global está almacenada en el contenedor del sistema de Active Directory Domain Services (AD DS), este parámetro debe apuntar al controlador del dominio raíz. Si la configuración global se almacena en el contenedor de configuración, es posible usar cualquier controlador de dominio y este parámetro puede omitirse. |
KeyAlg |
Opcional |
Modificador de lista PS |
Indica el tipo de algoritmo criptográfico que se usará para generar las claves pública y privada de un certificado nuevo. Entre los algoritmos de clave válidos se encuentran: RSA ECDH_P256 ECDH_P384 ECDH_P521 |
KeySize |
Opcional |
Integer |
Indica el tamaño (en bits) de la clave privada usada por el certificado. Las claves de mayor tamaño son más seguras, pero requieren mayor sobrecarga de procesamiento a fin de descifrarla. Los tamaños de claves válidos son 1024; 2048; y 4096. Por ejemplo: -KeySize 2048. |
List |
Opcional |
Parámetro modificador |
Cuando está presente, genera una lista de las solicitudes de certificados pendientes realizadas con Request-CsCertificate. |
New |
Opcional |
Parámetro modificador |
Cuando está presente, indica que se desea solicitar un certificado nuevo. |
Organization |
Opcional |
Cadena de caracteres |
Nombre de la organización que solicita el nuevo certificado. Por ejemplo: -Organization "Litwareinc". |
OU |
Opcional |
Cadena de caracteres |
Unidad organizativa de Active Directory del equipo al que se asignará el nuevo certificado. |
Output |
Opcional |
Cadena de caracteres |
Ruta de acceso al archivo del certificado. Si desea generar una solicitud de certificado sin conexión, use el parámetro Output y especifique la ruta de acceso del archivo de la solicitud del certificado, por ejemplo: -Output C:\Certificates\NewCertificate.pfx. De esta manera se generará un archivo de solicitud de certificado que se puede enviar por correo a una entidad de certificación para su procesamiento. |
PrivateKeyExportable |
Opcional |
Booleano |
Defina este parámetro en True si desea que la clave privada del certificado se vuelva exportable. Cuando una clave privada es exportable, el certificado puede copiarse y usarse en varios equipos. |
RequestID |
Opcional |
Integer |
Número de identificación asociado a una solicitud de certificado. El parámetro RequestID es un modo de asignar a una lista, recuperar o borrar un certificado individual. |
Retrieve |
Opcional |
Parámetro modificador |
Cuando está presente, recupera las solicitudes de certificados pendientes realizadas con Request-CsCertificate e intenta completar la operación e importar el certificado solicitado. |
State |
Opcional |
Cadena de caracteres |
Estado de EE. UU. donde se implementará el certificado. Por ejemplo: -State WA. |
Template |
Opcional |
Cadena de caracteres |
Indica la plantilla de certificado que se usará para generar el certificado nuevo; por ejemplo: -Template "WebServer". La plantilla solicitada debe estar instalada en la CA. Tenga en cuenta que el valor especificado debe ser el nombre de la plantilla, no el nombre para mostrar de la plantilla. |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean graves y que puedan producirse al ejecutar el comando. |
Report |
Opcional |
Cadena de caracteres |
Le permite especificar una ruta de acceso para el archivo de registro creado cuando se ejecuta el cmdlet. Por ejemplo: -Report "C:\Logs\Certificates.html" |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Ninguno. Request-CsCertificate no acepta entradas canalizadas.
Tipos de valores devueltos
Ninguno. En cambio, Request-CsCertificate ayuda a administrar instancias del objeto Microsoft.Rtc.Management.Deployment.CertificateReference.
Ejemplo
-------------------------- Ejemplo 1 ------------------------
Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"
El comando que se muestra en el Ejemplo 1 crea una nueva solicitud de certificado: se comunica con la entidad de certificación atl-ca-001.litwareinc.com\myca y solicita un nuevo certificado de WebServicesExternal.
-------------------------- Ejemplo 2 ------------------------
Request-CsCertificate -List
El comando anterior genera una lista con todas las solicitudes de certificados pendientes que se realizaron con Request-CsCertificate.
-------------------------- Ejemplo 3 ------------------------
Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer
El Ejemplo 3 usa el parámetro Output para crear una solicitud de certificado sin conexión.
-------------------------- Ejemplo 4 ------------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"
El ejemplo anterior es un ejemplo más detallado (y más realista) de cómo usar Request-CsCertificate. En este ejemplo, se solicita un certificado para usar con la edición Standard Edition de Lync Server
-------------------------- Ejemplo 5 ------------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"
En el Ejemplo 5, se solicita un certificado grupal para usar con Enterprise Edition de Lync Server
-------------------------- Ejemplo 6 ------------------------
Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"
El ejemplo anterior muestra cómo puede solicitar un certificado para el Servidor perimetral interno.
-------------------------- Ejemplo 7 ------------------------
Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"
El Ejemplo 7 es una variante del comando que se muestra en el Ejemplo 6. Sin embargo, en este caso, la solicitud se realiza para el Servidor perimetral externo.
Vea también
Otros recursos
Get-CsCertificate
Import-CsCertificate
Remove-CsCertificate
Set-CsCertificate