Assegnare un certificato di autenticazione da server a server a Skype for Business Server

Riepilogo: Assegnare un certificato di autenticazione da server a server per Skype for Business Server.

Per determinare se a Skype for Business Server è assegnato o meno un certificato di autenticazione da server a server, eseguire il comando seguente da Skype for Business Server Management Shell:

Get-CsCertificate -Type OAuthTokenIssuer

Se non vengono restituite informazioni sul certificato, è necessario assegnare un certificato dell'emittente di token prima di poter usare l'autenticazione da server a server. Come regola generale, qualsiasi certificato di Skype for Business Server può essere utilizzato come certificato OAuthTokenIssuer; ad esempio, il certificato predefinito di Skype for Business Server può essere utilizzato anche come certificato OAuthTokenIssuer. Il certificato OAUthTokenIssuer può essere anche qualsiasi certificato del server Web che include il nome del dominio SIP nel campo Oggetto. I due requisiti principali per il certificato usato per l'autenticazione da server a server sono i seguenti: 1) lo stesso certificato deve essere configurato come certificato OAuthTokenIssuer in tutti i server Front End; e 2) il certificato deve essere di almeno 2048 bit.

Se non si dispone di un certificato utilizzabile per l'autenticazione da server a server, è possibile ottenere un nuovo certificato, importare il nuovo certificato e quindi usarlo per l'autenticazione da server a server. Dopo aver richiesto e ottenuto il nuovo certificato, è possibile accedere a uno qualsiasi dei server Front End e usare un comando di Windows PowerShell simile a questo per importare e assegnare il certificato:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

Nel comando precedente il parametro Path rappresenta il percorso completo del file del certificato e il parametro Password rappresenta la password assegnata al certificato. Questa procedura deve essere eseguita una sola volta: il servizio di replica di Skype for Business Server crea automaticamente un set di attività pianificate che decrittograferà e distribuirà il certificato in tutti i front end server.

In alternativa, è possibile usare un certificato esistente come certificato di autenticazione da server a server. Come indicato, il certificato predefinito può essere usato come certificato di autenticazione da server a server. La coppia di comandi di Windows PowerShell seguente recupera il valore della proprietà Thumbprint del certificato predefinito, quindi usa tale valore per impostare il certificato predefinito come certificato di autenticazione da server a server:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

Nel comando precedente, il certificato recuperato è configurato per funzionare come certificato di autenticazione globale da server a server; questo significa che il certificato viene replicato e usato da tutti i server Front End. Anche in questo caso, questo comando deve essere eseguito una sola volta e solo in uno dei server Front End. Anche se tutti i Front End Server devono usare lo stesso certificato, non è consigliabile configurare il certificato OAuthTokenIssuer in ogni Front End Server. Configurare il certificato una sola volta, quindi consentire al server di replica di Skype for Business Server di copiare il certificato in ogni server.

Il cmdlet Set-CsCertificate accetta il certificato in questione e configura immediatamente tale certificato in modo che agi automaticamente come certificato OAuthTokenIssuer corrente. Skype for Business Server conserva due copie di un tipo di certificato: il certificato corrente e il certificato precedente. Se è necessario che il nuovo certificato inizi immediatamente a funzionare come certificato OAuthTokenIssuer, è necessario usare il cmdlet Set-CsCertificate.

È anche possibile usare il cmdlet Set-CsCertificate per "roll" un nuovo certificato. L'implementazione di un certificato significa semplicemente che si configura un nuovo certificato per diventare il certificato OAuthTokenIssuer corrente in un determinato momento. Ad esempio, questo comando recupera il certificato predefinito e quindi configura tale certificato per assumere il controllo come certificato OAuthTokenIssuer corrente a partire dal 1° luglio 2015:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

Il 1° luglio 2015 il nuovo certificato verrà configurato come certificato OAuthTokenIssuer corrente e il certificato OAuthTokenIssuer "vecchio" verrà configurato come certificato precedente.

Se non si vuole usare Windows PowerShell, è anche possibile usare la console MMC Certificati per esportare un certificato da un Front End Server e quindi importare lo stesso certificato in tutti gli altri Front End Server. In questo caso, assicurarsi di esportare la chiave privata insieme al certificato stesso.

Attenzione

In questo caso, la procedura deve essere eseguita su ogni Front End Server. Durante l'esportazione e l'importazione di certificati in questo modo, Skype for Business Server non replica il certificato in ogni Front End Server.

Dopo aver importato il certificato in tutti i front-end server, il certificato può essere assegnato usando la Distribuzione guidata di Skype for Business Server anziché Windows PowerShell. Per assegnare un certificato usando la Distribuzione guidata, completare la procedura seguente in un computer in cui è installata la Distribuzione guidata:

1. Selezionare Start, tutti i programmi, fare clic su Skype for Business Server e quindi su Distribuzione guidata di Skype for Business Server.

2. Nella Distribuzione guidata fare clic su Installa o aggiorna Skype for Business Server System.

3. Nella pagina Skype for Business Server fare clic sul pulsante Esegui sotto l'intestazione Passaggio 3: richiedere, installare o assegnare certificati. Nota: se in questo computer sono già stati installati certificati, il pulsante Esegui verrà etichettato come Esegui di nuovo.

4. Nella Creazione guidata certificati selezionare il certificato OAuthTokenIssuer e quindi fare clic su Assegna.

5. Nella pagina Assegnazione certificato della procedura guidata Assegnazione certificato fare clic su Avanti.

6. Nella pagina Archivio certificati selezionare il certificato da usare per l'autenticazione da server a server e quindi fare clic su Avanti.

7. Nella pagina Riepilogo assegnazione certificati fare clic su Avanti.

8. Nella pagina Esecuzione comandi fare clic su Fine.

9. Chiudere la Procedura guidata certificato e la Distribuzione guidata.