Obtention de certificats pour le serveur de conversation de groupe
Dernière rubrique modifiée : 2012-03-06
Pour installer la Microsoft Lync Server 2010, Group Chat, vous devez disposer d’un certificat émis par la même autorité de certification que celle utilisée par les serveurs internes Microsoft Lync Server 2010 pour chaque serveur exécutant le service de recherche, le service de canal, le service Web et le service de conformité. Procurez-vous les certificats requis avant de démarrer la Lync Server 2010, Group Chat, surtout si vous utilisez une autorité de certification externe.
Pour plus d’informations sur la configuration du certificat IIS de service Web, voir Configuration du certificat IIS de service Web pour le serveur Group Chat.
Vous pouvez utiliser les procédures décrites dans cette rubrique pour obtenir un certificat à l’aide d’une autorité de certification d’entreprise interne et des services de certificats Windows.
Pour télécharger le chemin d’accès de certification de l’autorité de certification
Déconnectez l’autorité de certification racine de votre organisation et connectez votre serveur d’autorité de certification (émetteur) secondaire, puis connectez-vous au serveur Group Chat. Pour ce faire, cliquez sur Démarrer, Exécuter, tapez http://<nom du serveur d’autorité de certification émetteur>/certsrv, puis cliquez sur OK.
Dans la zone Sélectionner une tâche, cliquez sur Télécharger un certificat d’Autorité de certification, une chaîne de certificats ou la liste de révocation de certificats.
Dans Télécharger un certificat d’Autorité de certification, une chaîne de certificats ou la liste de révocation de certificats, cliquez sur Télécharger la chaîne du certificat de l’Autorité de certification.
Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Enregistrer.
Enregistrez le fichier .p7b sur un lecteur de votre serveur. Si vous ouvrez ce fichier .p7b, la chaîne contient les deux certificats suivants :
certificat <nom de l’autorité de certification racine d’entreprise> ;
certificat <nom de l’autorité de certification secondaire d’entreprise> ;
Pour installer le chemin d’accès de certification de l’autorité de certification
Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
Dans la liste Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter.
Cliquez sur Compte d’ordinateur, puis sur Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur, cliquez sur L’ordinateur local (l’ordinateur sur lequel cette console s’exécute), puis cliquez sur Terminer.
Cliquez sur Fermer, puis sur OK.
Dans l’arborescence de la console du composant logiciel enfichable Certificats, développez Certificats (ordinateur local).
Développez Autorités de certification racines de confiance.
Cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis cliquez sur Importer.
Dans l’Assistant Importation, cliquez sur Suivant.
Cliquez sur Parcourir, accédez à l’emplacement où vous avez enregistré la chaîne de certification, cliquez sur le fichier .p7b, puis sur Ouvrir.
Cliquez sur Suivant.
Acceptez la valeur par défaut Placer tous les certificats dans le magasin suivant et vérifiez que Autorités de certification racines de confiance apparaît sous le magasin de certificats.
Cliquez sur Suivant.
Cliquez sur Terminer.
Pour demander un certificat
Ouvrez un navigateur Web, tapez http://<nom du serveur d’autorité de certification émetteur>/certsrv, et appuyez sur Entrée.
Cliquez sur Demander un certificat.
Cliquez sur Demande de certificat avancée.
Cliquez sur Créer et soumettre une demande de requête auprès de cette Autorité de certification.
Dans Modèle de certificat, sélectionnez le modèle de serveur Web.
Important : Lors de la demande d’un certificat via un site Web, le certificat est installé par défaut à : Utilisateur actuel\Personnel\Certificats. Vous devez importer le certificat dans : Ordinateur local\Personnel. Pour cette raison, le certificat doit être exporté, puis importé dans Ordinateur local\Personnel\Certificats. Il sera peut-être nécessaire de créer une copie du modèle de certificat du serveur Web autorisant une clé privée exportable. Dans la demande de certificat, utilisez ce modèle. Pour voir un exemple, consultez la procédure suivante : « Création d’un certificat avec une clé privée exportable ». Dans Informations d’identification pour les modèles hors connexion, dans Nom, tapez le nom de domaine complet du serveur.
Dans Options de la clé, sous CSP, cliquez sur Microsoft RSA Channel Cryptographic Provider.
Activez la case à cocher Stocker le certificat dans le magasin de certificats de l’ordinateur local.
Cliquez sur Envoyer.
Dans la boîte de dialogue Violation de script potentielle, cliquez sur Oui.
Création d’un certificat avec une clé privée exportable
Utilisez le fichier certreq.inf et la commande Certutil pour créer un certificat avec une clé privée exportable. Par exemple, commencez par créer un fichier de requête t.inf :
[NewRequest] Subject = "CN=server.contoso.com" Exportable = TRUE KeyLength = 1024 KeySpec = 1 KeyUsage = 0xA0 MachineKeySet = True ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = CMC
Exécutez les commandes Certutil suivantes :
certreq -new request.inf certnew.req certreq -submit - attrib "CertificateTemplate:Webserver" certnew.req certnew.cer certreq -retrieve <RequestID> certnew.cer certreq -accept certnew.cer
Pour installer le certificat sur l’ordinateur
Cliquez sur Installer ce certificat.
Dans la boîte de dialogue Violation de script potentielle, cliquez sur Oui.
Pour approuver manuellement une demande d’émission de certificat une fois la demande effectuée
Ouvrez une session en tant que membre du groupe des administrateurs de domaine sur le serveur de l’autorité de certification secondaire d’entreprise.
cliquez sur Démarrer, puis sur Exécuter, tapez mmc et appuyez sur Entrée.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
Cliquez sur Ajouter.
Dans la zone Ajout d’un composant logiciel enfichable autonome, cliquez sur Autorité de certification, puis sur Ajouter.
Dans la zone Autorité de certification, cliquez sur Ordinateur local (l’ordinateur sur lequel cette console s’exécute).
Cliquez sur Terminer.
Cliquez sur Fermer, puis sur OK.
Dans Microsoft Management Console (MMC), développez Autorité de certification, puis le serveur de certification émetteur.
Cliquez sur Demande de certificat en attente.
Dans le volet d’informations, cliquez avec le bouton droit sur la demande identifiée par son ID, pointez sur Toutes les tâches, puis cliquez sur Délivrer.
Sur le serveur à partir duquel vous avez demandé le certificat, cliquez sur Démarrer, puis sur Exécuter.
Tapez http://<nom du serveur CA émetteur>/certsrv, puis cliquez sur OK.
Dans la zone Sélectionner une tâche, cliquez sur Afficher le statut d’une requête de certificat en attente.
Dans Afficher le statut d’une requête de certificat en attente, cliquez sur votre requête.
Cliquez sur Installer ce certificat.
Vérifiez que la chaîne de certificats d’autorité de certification approuvant les certificats émis par votre autorité de certification a été installée à l’emplacement suivant : console racine/certificats (ordinateur local)/autorités de certification racines de confiance/certificats. Cette chaîne contient le certificat d’autorité de certification racine.