Modificando certificados para mobilidade no Lync Server 2013
Tópico Última Modificação: 2014-06-20
Para dar suporte a conexões seguras entre seu ambiente do Lync e seus clientes móveis, os certificados SSL (Secure Socket Layer) para o pool de Diretores, o pool de Front-Ends e o proxy reverso precisarão ser atualizados com algumas entradas adicionais de SAN (nome alternativo da entidade). Se você precisar conferir mais detalhes sobre os requisitos de certificado para mobilidade, consulte a seção Requisitos de certificado em Requisitos técnicos para mobilidade no Lync Server 2013, mas basicamente você precisará obter novos certificados da Autoridade de Certificação com as entradas SAN adicionais incluídas e, em seguida, adicionar esses certificados usando as etapas deste artigo.
É claro que antes de começar, geralmente é uma boa ideia saber quais nomes alternativos de assunto seus certificados já têm. Se você não tiver certeza do que já foi configurado, há várias maneiras de descobrir. Embora a opção esteja lá para executar o Get-CsCertificate e outros comandos do PowerShell para exibir essas informações (que explicamos abaixo) por padrão, os dados serão truncados, portanto, talvez você não veja todas as propriedades necessárias. Para dar uma boa olhada no certificado e em todas as suas propriedades, você pode acessar o MMC (Console de Gerenciamento Microsoft) e carregar o snap-in Certificados (que também explicamos abaixo) ou você pode apenas fazer check-in do Assistente de Implantação do Lync Server.
Conforme mencionado acima, as etapas a seguir orientarão você na atualização dos certificados usando o Shell de Gerenciamento do Lync Server e o MMC. Se você estiver interessado em usar o Assistente de Certificado no Assistente de Implantação do Lync Server para isso, poderá verificar Configurar certificados para o Diretor no Lync Server 2013 para o pool de Diretores ou Diretores, se você tiver configurado um (talvez não tenha). Para o servidor front-end ou o pool de front-end, convém ver Configurar certificados para servidores no Lync Server 2013.
Uma última coisa a ter em mente é que você pode ter um único certificado Padrão em seu ambiente do Lync Server 2013 ou ter certificados separados para Padrão (que é tudo, menos os serviços Web), WebServicesExternal e WebServicesInternal. Seja qual for sua configuração, essas etapas devem ajudá-lo.
Para atualizar certificados com novos nomes alternativos de entidade usando o Shell de Gerenciamento do Lync Server
Você precisa fazer logon no servidor do Lync Server 2013 usando uma conta que tenha direitos e permissões de administrador local. Além disso, se você estiver executando o Request-CsCertificate do PowerShell nas Etapas 12 e posteriores, a conta precisará ter direitos para a AC (Autoridade de Certificação) especificada.
Inicie o Shell de Gerenciamento do Lync Server: clique em Iniciar, clique em Todos os Programas, clique em Microsoft Lync Server 2013 e, em seguida, clique no Shell de Gerenciamento do Lync Server.
Antes de atribuir um certificado atualizado, você precisará descobrir quais certificados foram atribuídos ao servidor e para qual tipo de uso. Na linha de comando, digite:
Get-CsCertificateExamine a saída da etapa anterior para ver se um único certificado foi atribuído para vários usos ou se um certificado diferente é atribuído para cada uso. Examine o parâmetro Use para descobrir como um certificado está sendo usado. Compare o parâmetro de impressão digital para os certificados exibidos para ver se o mesmo certificado tem vários usos. Fique de olho no parâmetro impressão digital.
Atualize o certificado. Na linha de comando, digite:
Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>Por exemplo, se o cmdlet Get-CsCertificate exibiu um certificado com Uso de Padrão, outro com um Uso de WebServicesInternal e outro com um Uso de WebServicesExternal, e todos eles tinham o mesmo valor de impressão digital, na linha de comando, você deve digitar:
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>Importante:
Se um certificado separado for atribuído para cada uso (portanto, o valor da impressão digital que você verificou acima for diferente para cada certificado), é vital que você não execute o cmdlet Set-CsCertificate com vários tipos, como no exemplo acima. Nesse caso, execute o cmdlet Set-CsCertificate separadamente para cada uso. Por exemplo:
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>Para exibir o certificado (ou certificados), clique em Iniciar, clique em Executar.... Digite MMC para abrir o Console de Gerenciamento da Microsoft.
No menu MMC, selecione Arquivo, selecione Adicionar/Remover snap-in..., selecione Certificados. Clique em Adicionar. Quando solicitado, selecione Conta de computador e clique em Avançar.
Se esse for o servidor onde o certificado está localizado, selecione Computador local. Se o certificado estiver localizado em outro computador, você deverá selecionar Outro computador e, em seguida, poderá digitar o nome de domínio totalmente qualificado do computador ou clicar em Procurar no nome do objeto a ser selecionado e digitar o nome do computador. Clique em Verificar Nomes. Quando o nome do computador for resolvido, ele será sublinhado. Clique em OK e, em seguida, clique em Concluir. Clique em OK para confirmar a seleção e feche a caixa de diálogo Adicionar ou Remover Snap-ins .
Para exibir as propriedades do certificado, expanda Certificados, expanda Pessoal e selecione Certificados. Selecione o certificado a ser visualizado, clique com o botão direito do mouse no certificado e selecione Abrir.
Na exibição Certificado , selecione Detalhes. A partir daqui, você pode selecionar o nome da entidade do certificado selecionando Assunto e o nome da entidade atribuída e as propriedades associadas são exibidos.
Para exibir os nomes alternativos de assunto atribuídos, selecione Nome Alternativo da Entidade. Todos os nomes alternativos de assunto atribuídos são exibidos aqui. Os nomes alternativos de assunto encontrados aqui são do tipo Nome DNS por padrão. Você deverá ver os seguintes membros (todos eles devem ser nomes de domínio totalmente qualificados, conforme representado nos registros de host DNS (A ou, se AAAA IPv6):
Nome do pool para esse pool ou o nome do servidor único se este não for um pool
Nome do servidor ao qual o certificado é atribuído
Registros de URL simples, normalmente atendem e discagem
Nomes externos de serviços Web e internos de serviços Web (por exemplo, webpool01.contoso.net, webpool01.contoso.com), com base nas escolhas feitas no Construtor de Topologias e nas seleções de serviços Web supercarros.
Se já estiver atribuído, o lyncdiscover.< sipdomain> e lyncdiscoverinternal.< registros sipdomain> .
O último item é o que você está mais interessado– se houver uma entrada lyncdiscover e lyncdiscoverinternal SAN.
Repita essas etapas se você tiver vários certificados para verificar. Depois de obter essas informações, você pode fechar a exibição de certificado e o MMC.
Se um nome alternativo da entidade do Serviço de Descoberta Automática estiver ausente e você estiver usando um único certificado Padrão para os tipos Default, WebServicesInternal e WebServiceExternal, faça o seguinte:
No prompt de linha de comando do Shell de Gerenciamento do Lync Server, digite:
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verboseSe você tiver muitos domínios SIP, não poderá usar o novo parâmetro AllSipDomain. Em vez disso, você precisa usar o parâmetro DomainName. Ao usar o parâmetro DomainName, você precisa definir o FQDN para os registros lyncdiscoverinternal e lyncdiscover. Por exemplo:
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbosePara atribuir o certificado, digite o seguinte:
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>Onde "Impressão Digital" é a impressão digital exibida para o certificado recém-emitido.
Para uma SAN interna de Descoberta Automática ausente ao usar certificados separados para Default, WebServicesInternal e WebServicesExternal, faça o seguinte:
No prompt de linha de comando do Shell de Gerenciamento do Lync Server, digite:
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verboseSe você tiver muitos domínios SIP, não poderá usar o novo parâmetro AllSipDomain. Em vez disso, você precisa usar o parâmetro DomainName. Ao usar o parâmetro DomainName, você precisa usar um prefixo apropriado para o FQDN do domínio SIP. Por exemplo:
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbosePara um nome alternativo da entidade de Descoberta Automática externa ausente, na linha de comando, digite:
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verboseSe você tiver muitos domínios SIP, não poderá usar o novo parâmetro AllSipDomain. Em vez disso, você precisa usar o parâmetro DomainName. Ao usar o parâmetro DomainName, você precisa usar um prefixo apropriado para o FQDN do domínio SIP. Por exemplo:
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbosePara atribuir os tipos de certificado individuais, digite o seguinte:
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>Onde "Impressão Digital" é a impressão digital exibida para os certificados individuais recém-emitidos.
Nota
Apenas para observar, as etapas 12 e 13 devem ser executadas somente se a conta em execução tiver acesso à Autoridade de Certificação com as permissões apropriadas. Se você não conseguir fazer logon com uma conta que tenha essas permissões ou se estiver usando uma Autoridade de Certificação pública ou remota para seus certificados, precisará solicitá-los por meio do Assistente de Implantação do Lync Server, que foi tocado na parte superior do artigo.