Attribuer un certificat d’authentification de serveur à serveur à Skype Entreprise Server

  • Article

Résumé: Attribuez un certificat d’authentification de serveur à serveur pour Skype Entreprise Server.

Pour déterminer si un certificat d’authentification de serveur à serveur a déjà été affecté à Skype Entreprise Server, exécutez la commande suivante à partir de Skype Entreprise Server Management Shell :

Get-CsCertificate -Type OAuthTokenIssuer

Si aucune information de certificat n’est retournée, vous devez attribuer un certificat d’émetteur de jeton avant de pouvoir utiliser l’authentification de serveur à serveur. En règle générale, n’importe quel certificat Skype Entreprise Server peut être utilisé comme certificat OAuthTokenIssuer ; par exemple, votre certificat par défaut Skype Entreprise Server peut également être utilisé comme certificat OAuthTokenIssuer. (Le certificat OAUthTokenIssuer peut également être n’importe quel certificat de serveur Web qui inclut le nom de votre domaine SIP dans le champ Objet.) Les deux principales conditions requises pour le certificat utilisé pour l’authentification de serveur à serveur sont les suivantes : 1)le même certificat doit être configuré en tant que certificat OAuthTokenIssuer sur tous vos serveurs frontaux ; et 2) le certificat doit être d’au moins 2 048 bits.

Si vous n’avez pas de certificat à même de servir pour l’authentification de serveur à serveur, vous pouvez obtenir un nouveau certificat, l’importer, puis l’utiliser pour l’authentification de serveur à serveur. Après avoir demandé et obtenu le nouveau certificat, vous pouvez vous connecter à l’un de vos serveurs frontaux et utiliser une commande Windows PowerShell similaire à celle-ci pour importer et attribuer ce certificat :

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

Dans la commande précédente, le paramètre Path représente le chemin d’accès complet au fichier du certificat et le paramètre Password correspond au mot de passe affecté au certificat. Cette procédure doit être exécutée une seule fois : le service de réplication Skype Entreprise Server crée alors automatiquement un ensemble de tâches planifiées qui déchiffrent et déploieront le certificat sur tous vos serveurs frontaux.

Une autre solution consiste à utiliser un certificat existant comme certificat pour votre authentification de serveur à serveur. (Comme indiqué, le certificat par défaut peut être utilisé comme certificat d’authentification de serveur à serveur.) Les deux commandes Windows PowerShell suivantes récupèrent la valeur de la propriété Empreinte numérique du certificat par défaut, puis utilisent cette valeur pour faire du certificat par défaut le certificat d’authentification de serveur à serveur :

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

Dans la commande précédente, le certificat récupéré est configuré pour fonctionner comme certificat d’authentification de serveur à serveur global ; cela signifie que le certificat sera répliqué sur tous vos serveurs frontaux et utilisé par celui-ci. Là encore, cette commande ne doit être exécutée qu’une seule fois, et uniquement sur l’un de vos serveurs frontaux. Bien que tous les serveurs frontaux doivent utiliser le même certificat, vous ne devez pas configurer le certificat OAuthTokenIssuer sur chaque serveur frontal. Au lieu de cela, configurez le certificat une seule fois, puis laissez le serveur de réplication Skype Entreprise Server s’occuper de copier ce certificat sur chaque serveur.

L’applet de commande Set-CsCertificate prend le certificat en question et configure immédiatement ce certificat pour qu’il agisse en tant que certificat OAuthTokenIssuer actuel. (Skype Entreprise Server conserve deux copies d’un type de certificat : le certificat actuel et le certificat précédent.) Si vous avez besoin que le nouveau certificat commence immédiatement à agir en tant que certificat OAuthTokenIssuer, vous devez utiliser l’applet de commande Set-CsCertificate.

Vous pouvez également utiliser l’applet de commande Set-CsCertificate pour « transmettre » un nouveau certificat. « Transmettre » un certificat revient simplement à configurer un nouveau certificat pour qu’il devienne le certificat OAuthTokenIssuer actif à un moment précis. Par exemple, la commande ci-dessous extrait le certificat par défaut, puis le configure pour prendre la suite en tant que certificat OAuthTokenIssuer actif à partir du 1er juillet 2015 :

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

Le 1er juillet 2015, le nouveau certificat sera configuré comme certificat OAuthTokenIssuer actuel et l'« ancien » certificat OAuthTokenIssuer sera configuré comme certificat précédent.

Si vous ne souhaitez pas utiliser Windows PowerShell vous pouvez également utiliser la console MMC Certificats pour exporter un certificat à partir d’un serveur frontal, puis importer ce même certificat sur tous vos autres serveurs frontaux. En pareil cas, veillez à exporter la clé privée en plus du certificat proprement dit.

Attention

Dans ce cas, la procédure doit être effectuée sur chaque serveur frontal. Lors de l’exportation et de l’importation de certificats de cette manière, Skype Entreprise Server ne répliquera pas ce certificat sur chaque serveur frontal.

Une fois que le certificat a été importé sur tous vos serveurs frontaux, ce certificat peut être attribué à l’aide de l’Assistant Déploiement Skype Entreprise Server au lieu de Windows PowerShell. Pour affecter un certificat par le biais de l’Assistant Déploiement, effectuez la procédure ci-dessous sur un ordinateur sur lequel l’Assistant est installé :

  1. Cliquez sur Démarrer, sur Tous les programmes, sur Skype Entreprise Server, puis sur Skype Entreprise Server’Assistant Déploiement.

  2. Dans l’Assistant Déploiement, cliquez sur Installer ou Mettre à jour Skype Entreprise Server système.

  3. Dans la page Skype Entreprise Server, cliquez sur le bouton Exécuter sous le titre Étape 3 : Demander, installer ou attribuer des certificats. (Remarque : Si vous avez déjà installé des certificats sur cet ordinateur, le bouton Exécuter s’appelle Réexécuter.)

  4. Dans l’Assistant Certificat, sélectionnez le certificat OAuthTokenIssuer, puis cliquez sur Affecter.

  5. Dans l’Assistant Assignation de certificat, dans la page Affectation de certificat, cliquez sur Suivant.

  6. Dans la page Magasin de certificats, sélectionnez le certificat à utiliser pour l’authentification de serveur à serveur, puis cliquez sur Suivant.

  7. Dans la page Résumé de l’affectation du certificat, cliquez sur Suivant.

  8. Dans la page Exécution de commandes, cliquez sur Terminer.

  9. Fermez l’Assistant Certificat et l’Assistant Déploiement.