Revoke-CsClientCertificate
Última modificación del tema: 2012-03-27
Los certificados de cliente permiten a los usuarios estar autenticados cuando inician sesión en Microsoft Lync Server 2010. Estos certificados son particularmente útiles en el caso de teléfonos y otros dispositivos que ejecutan Microsoft Lync 2010 Phone Edition donde resulta complicado escribir el nombre de usuario o la contraseña. Revoke-CsClientCertificate permite a los administradores revocar certificados de cliente que se han emitido a un usuario.
Sintaxis
Revoke-CsClientCertificate -Identity <UserIdParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
Los certificados de cliente proporcionan una alternativa para autenticar a los usuarios con Lync Server 2010. En lugar de proporcionar nombre de usuario y contraseña, los usuarios presentarán al sistema un certificado X.509. (Este certificado debe tener un nombre de sujeto o un nombre alternativo de sujeto que identifica al usuario). Para autenticarse, los usuarios sólo deben escribir un número de identificación personal (PIN). Para un usuario de teléfono móvil, escribir un número de PIN suele ser más fácil que escribir un nombre de usuario o contraseña alfanuméricos.
En cualquier momento, los administradores pueden revocar certificados de cliente emitidos a un usuario mediante el cmdlet Revoke-CsClientCertificate. Revoke-CsClientCertificate revoca todos los certificados de cliente emitidos desde el servidor al usuario en cuestión.
Revoke-CsClientCertificate no elimina los certificados del dispositivo cliente; los certificados sólo se eliminan del servidor. Sin embargo, es suficiente para evitar que un cliente use certificados con fines de autenticación: si no se puede encontrar un certificado en el servidor, se denegará la solicitud de autenticación.
Tenga en cuenta que, de manera predeterminada, las excepciones de firewall para SQL Server Express no están habilitadas cuando se instala la Standard Edition de Lync Server 2010. A su vez, eso significa que no podrá ejecutar Revoke-CsClientCertificate desde una sesión remota de Windows PowerShell; esto se debe a que su comando no podrá atravesar el firewall y tener acceso a la base de datos de SQL Server Express. (Sin embargo, aún puede ejecutar el cmdlet de forma local, es decir, en el propio servidor de la Standard Edition). Si usa la Standard Edition y necesita ejecutar Revoke-CsClientCertificate de manera remota, debe habilitar de manera manual las excepciones del firewall para SQL Server Express.
Quiénes pueden ejecutar este cmdlet: De manera predeterminada, los miembros de los siguientes grupos están autorizados para ejecutar el cmdlet Revoke-CsClientCertificate en forma local: RTCUniversalServerAdmins. Para obtener una lista de todos los roles de control de acceso basado en roles (RBAC) que se han asignado a este cmdlet (incluidos los roles personalizados RBAC que haya creado usted), ejecute el siguiente comando en el aviso de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Revoke-CsClientCertificate"}
Parámetros
| Parámetro | Requerido | Tipo | Descripción |
|---|---|---|---|
Identity |
Requerido |
Identidad de usuario |
Indica la identidad de la cuenta de usuario cuyos certificados deben revocarse. Las identidades de usuario pueden especificarse con cuatro formatos: 1) la dirección del protocolo de inicio de sesión (SIP) del usuario; 2) el nombre principal del usuario (UPN); 3) el nombre del dominio y el nombre de inicio de sesión del usuario, con formato dominio\nombre (por ejemplo, litwareinc\kenmyer), y 4) el nombre para mostrar de Active Directory del usuario (por ejemplo, Ken Myer). Además, se puede hacer referencia a las identidades de usuario mediante el nombre distintivo de Active Directory del usuario. |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean graves y que puedan producirse al ejecutar el comando. |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Valor de cadena u objeto Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Revoke-CsClientCertificate acepta entradas canalizadas de valores de cadenas que representan la identidad de una cuenta de usuario. Asimismo, el cmdlet acepta entradas canalizadas de objetos de usuario.
Tipos de valores devueltos
Ninguno. En su lugar, Revoke-CsClientCertificate revoca instancias del objeto Microsoft.Rtc.Management.UserPinService.CertInfoDetails.
Ejemplo
-------------------------- Ejemplo 1 --------------------------
Revoke-CsClientCertificate -Identity "Ken Myer"
El comando que se muestra en el Ejemplo 1 revoca todos los certificados de cliente asignados actualmente a Ken Myer. Esto se realiza al llamar a Revoke-CsClientCertificate seguido de la identidad del usuario cuyos certificados se deben revocar.
-------------------------- Ejemplo 2 ------------------------
Get-CsUser | Revoke-CsClientCertificate
En el Ejemplo 2, se revocan todos los certificados de cliente que se han emitido en su organización. Para ello, primero se llama a Get-CsUser para devolver una recopilación de todos los usuarios de su organización habilitados para Lync Server. A continuación, esta recopilación se canaliza al cmdlet Revoke-CsClientCertificate, que elimina los certificados de cada usuario de la recopilación.