Configuration des certificats pour l’interface Edge externe pour Lync Server 2013

 

Rubrique Dernière modification : 2012-09-08

Important

Lorsque vous exécutez l’Assistant Certificat, vérifiez que vous êtes connecté à l’aide d’un compte membre d’un groupe auquel les autorisations appropriées ont été attribuées pour le type de modèle de certificat que vous utiliserez. Par défaut, une demande de certificat Lync Server utilise le modèle de certificat de serveur web. Si vous utilisez un compte membre du groupe RTCUniversalServerAdmins pour demander un certificat à l’aide de ce modèle, vérifiez que les autorisations d’inscription requises pour utiliser ce modèle ont été attribuées au groupe.

Chaque serveur Edge nécessite un certificat public sur l’interface entre le réseau de périmètre et Internet, et le nom de l’autre objet du certificat doit contenir les noms externes du service Access Edge et des noms de domaine complets (FQDN) du service Edge de conférence web.

Pour plus d’informations sur cette configuration et d’autres exigences de certificat, consultez La configuration requise pour l’accès des utilisateurs externes dans Lync Server 2013.

Pour obtenir la liste des autorités de certification publiques qui fournissent des certificats conformes à des exigences spécifiques pour les certificats de communication unifiés et qui ont conclu un partenariat avec Microsoft pour s’assurer qu’elles fonctionnent avec l’Assistant Certificat Lync Server 2013, consultez l’article de la Base de connaissances Microsoft 929395, « Unified Communications Certificate Partners for Exchange Server and for Communications Server », à https://go.microsoft.com/fwlink/p/?linkId=202834.

Configuration des certificats sur les interfaces externes

Pour configurer un certificat sur l’interface de périphérie externe sur un site, utilisez les procédures décrites dans cette section pour effectuer les opérations suivantes :

• Créez la demande de certificat pour l’interface externe du serveur Edge.

• Envoyez la demande à votre autorité de certification publique.

• Importez le certificat pour l’interface externe de chaque serveur Edge.

• Affectez le certificat pour l’interface externe de chaque serveur Edge.

• Si votre déploiement inclut plusieurs serveurs Edge, exportez le certificat avec sa clé privée, puis copiez-le sur les autres serveurs Edge. Ensuite, pour chaque serveur Edge, importez-le et attribuez-le comme décrit précédemment. Répétez cette procédure pour chaque serveur Edge.

Vous pouvez demander des certificats publics directement auprès d’une autorité de certification publique (par exemple, à partir du site web d’une autorité de certification publique). Les procédures de cette section utilisent l’Assistant Certificat pour la plupart des tâches de certificat. Si vous avez choisi de demander un certificat directement auprès d’une autorité de certification publique, vous devez modifier chaque procédure en fonction des besoins pour demander, transporter et importer le certificat, ainsi que pour importer la chaîne de certificats.

Lorsque vous demandez un certificat à une autorité de certification externe, les informations d’identification fournies doivent avoir le droit de demander un certificat à cette autorité de certification. Chaque autorité de certification a une stratégie de sécurité qui définit les informations d’identification (c’est-à-dire les noms d’utilisateurs et de groupes spécifiques) qui sont autorisées à demander, émettre, gérer ou lire des certificats.

Si vous décidez d’utiliser la console de gestion Microsoft Certificates (MMC) pour importer la chaîne de certificats et le certificat, vous devez les importer dans le magasin de certificats de l’ordinateur. Si vous les importez dans le magasin de certificats d’utilisateur ou de service, le certificat ne sera pas disponible pour attribution dans l’Assistant Certificat Lync Server 2013.

Pour créer la demande de certificat pour l’interface externe du serveur Edge

1. Sur le serveur Edge, dans l’Assistant Déploiement, en regard de l’étape 3 : Demander, installer ou attribuer des certificats, cliquez à nouveau sur Exécuter.

   Remarque

   Si votre organisation souhaite prendre en charge la connectivité de messagerie instantanée publique avec AOL, vous ne pouvez pas utiliser l’Assistant Déploiement de serveur Lync pour demander le certificat. Effectuez plutôt les étapes décrites dans la procédure « Pour créer une demande de certificat pour l’interface externe du serveur Edge afin de prendre en charge la connectivité de messagerie instantanée publique avec AOL » plus loin dans cette rubrique.
   Si vous avez plusieurs serveurs Edge dans un même emplacement dans un pool, vous pouvez exécuter l’Assistant Certificat Lync Server 2013 sur l’un des serveurs Edge.

2. Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Créer une demande de certificat.

3. Dans la page Demande de certificat , cliquez sur Certificat Edge externe.

4. Dans la page Demande différée ou immédiate , activez la case à cocher Préparer la demande, mais envoyez-la ultérieurement .

5. Dans la page Fichier de demande de certificat , tapez le chemin d’accès complet et le nom du fichier dans lequel la demande doit être enregistrée (par exemple, c:\cert_exernal_edge.cer).

6. Dans la page Spécifier un autre modèle de certificat , pour utiliser un modèle autre que le modèle WebServer par défaut, cochez la case Utiliser un autre modèle de certificat pour l’autorité de certification sélectionnée .

7. Dans la page Paramètres de nom et de sécurité , procédez comme suit :

   • Dans Le nom convivial, tapez un nom d’affichage pour le certificat.

   • Dans La longueur du bit, spécifiez la longueur du bit (généralement, la valeur par défaut 2048).

   • Vérifiez que la clé privée du certificat Mark en tant que case à cocher exportable est cochée.

8. Dans la page Informations sur l’organisation , tapez le nom de l’organisation et de l’unité organisationnelle (par exemple, une division ou un service).

9. Dans la page Informations géographiques , spécifiez les informations d’emplacement.

10. Dans la page Nom de l’objet/Autres noms de l’objet , les informations à remplir automatiquement par l’Assistant s’affichent. Si d’autres noms d’objet sont nécessaires, vous les spécifiez dans les deux étapes suivantes.

11. Dans la page Paramètre de domaine SIP sur les noms de substitution d’objet , activez la case à cocher du domaine pour ajouter une sip.< entrée sipdomain> dans la liste des autres noms d’objet.

12. Dans la page Configurer d’autres noms de sujet supplémentaires , spécifiez les autres noms de sujet supplémentaires requis.

13. Dans la page Récapitulatif de la demande, passez en revue les informations de certificat à utiliser pour générer la demande.

14. Une fois les commandes exécutées, procédez comme suit :

    • Pour afficher le journal de la demande de certificat, cliquez sur Afficher le journal.

    • Pour terminer la demande de certificat, cliquez sur Suivant.

15. Dans la page Fichier de demande de certificat , procédez comme suit :

    • Pour afficher le fichier de demande de signature de certificat (CSR) généré, cliquez sur Afficher.

    • Pour fermer l’Assistant, cliquez sur Terminer.

16. Copiez le fichier de sortie à un emplacement où vous pouvez l’envoyer à l’autorité de certification publique.

Pour créer une demande de certificat pour l’interface externe du serveur Edge afin de prendre en charge la connectivité de messagerie instantanée publique avec AOL

1. Lorsque le modèle requis est disponible pour l’autorité de certification, utilisez l’applet de commande Windows PowerShell suivante à partir du serveur Edge pour demander le certificat :

   Request-CsCertificate -New -Type AccessEdgeExternal  -Output C:\ <certfilename.txt or certfilename.csr>  -ClientEku $true -Template <template name>
   

   Le nom de certificat par défaut du modèle fourni dans Lync Server 2013 est Web Server. Spécifiez uniquement le nom> du <modèle si vous devez utiliser un modèle différent du modèle par défaut.

   Remarque

   Si votre organisation souhaite prendre en charge la connectivité de messagerie instantanée publique avec AOL, vous devez utiliser Windows PowerShell au lieu de l’Assistant Certificat pour demander que le certificat soit affecté à la périphérie externe pour le service Access Edge. Cela est dû au fait que le modèle de serveur web Lync Server 2013 utilisé par l’Assistant Certificat pour demander un certificat ne prend pas en charge la configuration de la référence EKU cliente. Avant d’utiliser Windows PowerShell pour créer le certificat, l’administrateur de l’autorité de certification doit créer et déployer un nouveau modèle qui prend en charge la référence EKU cliente.

Pour soumettre une demande à une autorité de certification publique

1. Ouvrez le fichier de sortie.

2. Copiez et collez le contenu de la demande de signature de certificat (CSR).

3. Si vous y êtes invité, spécifiez les éléments suivants :

   • Microsoft en tant que plateforme serveur.

   • IIS en tant que version.

   • Serveur web en tant que type d’utilisation.

   • PKCS7 comme format de réponse.

4. Une fois que l’autorité de certification publique aura vérifié vos informations, vous recevrez un e-mail contenant le texte requis pour votre certificat.

5. Copiez le texte du message électronique et enregistrez le contenu dans un fichier texte (.txt) sur votre ordinateur local.

Pour importer le certificat pour l’interface externe du serveur Edge

1. Ouvrez une session en tant que membre du groupe Administrateurs sur le même serveur Edge sur lequel vous avez créé la demande de certificat.

2. Dans l’Assistant Déploiement, dans la page Déployer le serveur Edge , en regard de l’étape 3 : Demander, installer ou attribuer des certificats, cliquez à nouveau sur Exécuter.

3. Dans la page Tâches de certificat disponibles , cliquez sur Importer un certificat à partir d’un fichier .p7b, pfx ou .cer.

4. Dans la page Importer le certificat , cliquez sur Parcourir pour rechercher et sélectionner le certificat que vous avez demandé pour l’interface externe du serveur Edge (ou, vous pouvez taper le chemin d’accès complet et le nom de fichier). Si le certificat contient une clé privée, sélectionnez Fichier de certificat contenant la clé privée du certificat et tapez le mot de passe de la clé privée. Cliquez sur Suivant.

5. Dans la page Importer le résumé du certificat , passez en revue le résumé, puis cliquez sur Suivant.

6. Lors de l’exécution des commandes, passez en revue les résultats de l’importation, cliquez sur Afficher le journal pour plus d’informations en fonction des besoins, puis cliquez sur Terminer pour terminer l’importation du certificat.

7. Si vous configurez un pool de serveurs Edge, exportez le certificat avec sa clé privée comme indiqué dans la procédure « Pour exporter le certificat avec la clé privée des serveurs Edge dans un pool » plus loin dans cette rubrique. Copiez le fichier de certificat exporté vers les autres serveurs Edge et importez-le dans le magasin d’ordinateurs sur chaque serveur Edge.

Pour exporter le certificat avec la clé privée pour les serveurs Edge dans un pool

1. Ouvrez une session en tant que membre du groupe Administrateurs sur le même serveur Edge sur lequel vous avez importé le certificat.

2. Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez MMC.

3. Dans la console MMC (Microsoft Management Console), cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

4. Dans Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Certificats, puis sur Ajouter.

5. Dans la boîte de dialogue Certificats, sélectionnezCompte d’ordinateur, cliquez sur Suivant, sélectionnez Ordinateur local : (l’ordinateur sur lequel cette console s’exécute) dans Sélectionner un ordinateur, cliquez sur Terminer, puis cliquez sur OK pour terminer la configuration de la console MMC.

6. Double-cliquez sur Certificats (ordinateur local) pour développer les magasins de certificats, double-cliquez sur Personnel, puis double-cliquez sur Certificats.

   Important

   S’il n’y a aucun certificat dans le magasin Personnel de certificats pour l’ordinateur local, aucune clé privée n’est associée au certificat qui a été importé. Passez en revue les étapes de demande et d’importation. Si le problème persiste, contactez l’administrateur ou le fournisseur de votre autorité de certification.

7. Dans le magasin De certificats personnels de l’ordinateur local, cliquez avec le bouton droit sur le certificat que vous exportez, cliquez sur Toutes les tâches, puis cliquez sur Exporter.

8. Dans l’Assistant Exportation de certificat, cliquez sur Suivant, sélectionnez Oui, exportez la clé privée, puis cliquez sur Suivant.

   Remarque

   Si la sélection Oui, exporter la clé privée n’est pas disponible, la clé privée associée à ce certificat n’a pas été marquée pour l’exportation. Vous devrez demander à nouveau le certificat, en vous assurant que le certificat est marqué pour autoriser l’exportation de la clé privée avant de pouvoir poursuivre l’exportation. Contactez l’administrateur ou le fournisseur de votre autorité de certification.

9. Dans la boîte de dialogue Exporter les formats de fichier, sélectionnez Échange d’informations personnelles – PKCS#12 (. PFX), puis sélectionnez les éléments suivants :

   • Inclure tous les certificats dans le chemin d’accès de certification si possible

   • Exporter toutes les propriétés étendues

     Avertissement

     Lors de l’exportation du certificat à partir d’un serveur Edge, ne sélectionnez pas Supprimer la clé privée si l’exportation réussit. Pour sélectionner cette option, vous devez importer le certificat et la clé privée sur ce serveur Edge.

10. Cliquez sur Suivant.

11. Tapez un mot de passe pour la clé privée, tapez à nouveau le mot de passe pour confirmer, puis cliquez sur Suivant.

12. Tapez un chemin d’accès et un nom de fichier avec l’extension .pfx pour le certificat exporté. Le chemin d’accès doit être accessible à tous les autres serveurs Edge du pool ou être transporté par le biais d’un support amovible , par exemple, un lecteur flash USB. Cliquez sur Suivant.

13. Passez en revue le résumé de l’Assistant Exportation de certificat, puis cliquez sur Terminer.

14. Dans la boîte de dialogue d’exportation réussie, cliquez sur OK.

15. Importez le fichier de certificat exporté sur les autres serveurs Edge en suivant les étapes décrites dans la procédure « Pour importer le certificat pour l’interface externe du serveur Edge » plus haut dans cette rubrique.

Pour affecter le certificat pour l’interface externe du serveur Edge

1. Sur chaque serveur Edge, dans l’Assistant Déploiement, en regard de l’étape 3 : Demander, installer ou attribuer des certificats, cliquez à nouveau sur Exécuter.

2. Dans la page Tâches de certificat disponibles , cliquez sur Affecter un certificat existant.

3. Dans la page Affectation de certificat , cliquez sur Certificat Edge externe et cochez la case Utilisations avancées des certificats .

4. Dans la page Utilisations avancées des certificats , activez toutes les cases à cocher pour attribuer le certificat pour toutes les utilisations.

5. Dans la page Magasin de certificats , sélectionnez le certificat public que vous avez demandé et importé pour l’interface externe du serveur Edge.

   Remarque

   Si le certificat que vous avez demandé et importé ne figure pas dans la liste, l’une des méthodes de résolution des problèmes consiste à vérifier que le nom de l’objet et les autres noms d’objet du certificat répondent à toutes les exigences du certificat et, si vous avez importé manuellement le certificat et la chaîne de certificats au lieu d’utiliser les procédures précédentes, que le certificat se trouve dans le magasin de certificats approprié (magasin de certificats d’ordinateur, pas le magasin de certificats de l’utilisateur ou du service).

6. Dans la page Résumé de l’affectation de certificat, passez en revue vos paramètres, puis cliquez sur Suivant pour attribuer les certificats.

7. Dans la page de fin de l’Assistant, cliquez sur Terminer.

8. Après avoir utilisé cette procédure pour affecter le certificat edge, ouvrez le composant logiciel enfichable Certificat sur chaque serveur, développez Certificats (ordinateur local),développez Personnel, cliquez sur Certificats, puis vérifiez dans le volet d’informations que le certificat est répertorié.

9. Si votre déploiement inclut plusieurs serveurs Edge, répétez cette procédure pour chaque serveur Edge.