Configurar certificados para a interface de borda externa para Lync Server 2013

 

Tópico última modificação: 08/09/2012

Importante

Ao executar o Assistente de Certificado, verifique se você está conectado usando uma conta que é membro de um grupo ao qual foram atribuídas as permissões apropriadas para o tipo de modelo de certificado que você usará. Por padrão, uma solicitação de certificado do Lync Server usará o modelo de certificado do Servidor Web. Se você usar uma conta que seja membro do grupo RTCUniversalServerAdmins para solicitar um certificado usando esse modelo, verifique se o grupo foi atribuído às permissões de Registro necessárias para usar esse modelo.

Cada Servidor de Borda requer um certificado público na interface entre a rede de perímetro e a Internet, e o nome alternativo da entidade do certificado deve conter os nomes externos do serviço do Access Edge e dos FQDNs (nomes de domínio totalmente qualificados) do serviço De Borda de WebConferência.

Para obter detalhes sobre esse e outros requisitos de certificado, consulte Requisitos de certificado para acesso de usuário externo no Lync Server 2013.

Para obter uma lista de autoridades de certificação públicas (ACs) que fornecem certificados que estão em conformidade com requisitos específicos para certificados de comunicações unificadas e fizeram parceria com a Microsoft para garantir que eles trabalhem com o Assistente de Certificado do Lync Server 2013, consulte o artigo da Base de Dados de Conhecimento da Microsoft 929395, "Unified Communications Certificate Partners for Exchange Server and for Communications Server", em https://go.microsoft.com/fwlink/p/?linkId=202834.

Configurando certificados nas interfaces externas

Para configurar um certificado na interface de borda externa em um site, use os procedimentos nesta seção para fazer o seguinte:

• Crie a solicitação de certificado para a interface externa do Servidor de Borda.

• Envie a solicitação para sua AC pública.

• Importe o certificado para a interface externa de cada Servidor de Borda.

• Atribua o certificado para a interface externa de cada Servidor de Borda.

• Se sua implantação incluir vários Servidores de Borda, exporte o certificado junto com sua chave privada e copie-o para os outros Servidores de Borda. Em seguida, para cada Servidor de Borda, importe-o e atribua-o conforme descrito anteriormente. Repita este procedimento para cada Servidor de Borda.

Você pode solicitar certificados públicos diretamente de uma AC (autoridade de certificação) pública (como no site de uma AC pública). Os procedimentos nesta seção usam o Assistente de Certificado para a maioria das tarefas de certificado. Se você optar por solicitar um certificado diretamente de uma AC pública, precisará modificar cada procedimento conforme apropriado para solicitar, transportar e importar o certificado e também importar a cadeia de certificados.

Quando você solicita um certificado de uma AC externa, as credenciais fornecidas devem ter direitos para solicitar um certificado dessa AC. Cada AC tem uma política de segurança que define quais credenciais (ou seja, nomes de usuário e grupo específicos) têm permissão para solicitar, emitir, gerenciar ou ler certificados.

Se você decidir usar o MMC (Console de Gerenciamento microsoft) de certificados para importar a cadeia de certificados e o certificado, deverá importá-los para o repositório de certificados do computador. Se você importá-los para o repositório de certificados de usuário ou serviço, o certificado não estará disponível para atribuição no Assistente de Certificado do Lync Server 2013.

Para criar a solicitação de certificado para a interface externa do Servidor de Borda

1. No Servidor de Borda, no Assistente de Implantação, ao lado da Etapa 3: Solicitar, Instalar ou Atribuir Certificados, clique em Executar novamente.

   Nota

   Se sua organização quiser dar suporte à conectividade pública de mensagens instantâneas (IM) com AOL, você não poderá usar o Assistente de Implantação do Lync Server para solicitar o certificado. Em vez disso, execute as etapas no procedimento "Para criar uma solicitação de certificado para a interface externa do Servidor de Borda para dar suporte à conectividade de mensagens instantâneas públicas com AOL" posteriormente neste tópico.
   Se você tiver vários Servidores de Borda em um único local em um pool, poderá executar o Assistente de Certificado do Lync Server 2013 em qualquer um dos Servidores de Borda.

2. Na página Tarefas de Certificado Disponíveis, clique em Criar uma nova solicitação de certificado.

3. Na página Solicitação de Certificado , clique em Certificado de Borda Externa.

4. Na página Solicitação Atrasada ou Imediata , marque a caixa de seleção Preparar a solicitação agora, mas envie-a mais tarde.

5. Na página Arquivo de Solicitação de Certificado, digite o caminho completo e o nome do arquivo no qual a solicitação deve ser salva (por exemplo, c:\cert_exernal_edge.cer).

6. Na página Especificar Modelo de Certificado Alternativo, para usar um modelo diferente do modelo WebServer padrão, marque a caixa de seleção Usar modelo de certificado alternativo para a autoridade de certificação selecionada.

7. Na página Configurações de Nome e Segurança , faça o seguinte:

   • Em Nome amigável, digite um nome de exibição para o certificado.

   • No comprimento do bit, especifique o comprimento do bit (normalmente, o padrão de 2048).

   • Verifique se a caixa de seleção Marcar certificado privado como exportável está marcada.

8. Na página Informações da Organização, digite o nome da organização e da unidade organizacional (por exemplo, uma divisão ou departamento).

9. Na página Informações Geográficas , especifique as informações de localização.

10. Na página Nomes Alternativos da Entidade/ Assunto, as informações a serem preenchidas automaticamente pelo assistente são exibidas. Se forem necessários nomes alternativos de assunto adicionais, especifique-os nas próximas duas etapas.

11. Na página Configuração de Domínio SIP em SANs ( Nomes Alternativos da Entidade), marque a caixa de seleção de domínio para adicionar um sip.< Entrada sipdomain> para a lista de nomes alternativos da entidade.

12. Na página Configurar Nomes Alternativos de Entidade Adicional, especifique quaisquer nomes alternativos de assunto adicionais necessários.

13. Na página Resumo da Solicitação , examine as informações de certificado a serem usadas para gerar a solicitação.

14. Depois que os comandos terminarem a execução, faça o seguinte:

    • Para exibir o log da solicitação de certificado, clique em Exibir Log.

    • Para concluir a solicitação de certificado, clique em Avançar.

15. Na página Arquivo de Solicitação de Certificado, faça o seguinte:

    • Para exibir o arquivo CSR (solicitação de assinatura de certificado) gerado, clique em Exibir.

    • Para fechar o assistente, clique em Concluir.

16. Copie o arquivo de saída para um local onde você possa enviá-lo para a AC pública.

Para criar uma solicitação de certificado para a interface externa do Servidor de Borda para dar suporte à conectividade de mensagens instantâneas públicas com AOL

1. Quando o modelo necessário estiver disponível para a AC, use o seguinte cmdlet Windows PowerShell no Servidor de Borda para solicitar o certificado:

   Request-CsCertificate -New -Type AccessEdgeExternal  -Output C:\ <certfilename.txt or certfilename.csr>  -ClientEku $true -Template <template name>
   

   O nome do certificado padrão do modelo fornecido no Lync Server 2013 é Servidor Web. Especifique apenas <o nome> do modelo se você precisar usar um modelo diferente do modelo padrão.

   Nota

   Se sua organização quiser dar suporte à conectividade de mensagens instantâneas públicas com o AOL, você deverá usar o Windows PowerShell em vez do Assistente de Certificado para solicitar que o certificado seja atribuído à borda externa para o serviço do Access Edge. Isso ocorre porque o modelo de Servidor Web do Lync Server 2013 que o Assistente de Certificado usa para solicitar um certificado não dá suporte à configuração de EKU do cliente. Antes de Windows PowerShell para criar o certificado, o administrador da AC deve criar e implantar um novo modelo que dê suporte ao EKU do cliente.

Para enviar uma solicitação a uma autoridade de certificação pública

1. Abra o arquivo de saída.

2. Copie e cole o conteúdo da CSR (Solicitação de Assinatura de Certificado).

3. Se solicitado, especifique o seguinte:

   • Microsoft como a plataforma de servidor.

   • IIS como a versão.

   • Servidor Web como o tipo de uso.

   • PKCS7 como o formato de resposta.

4. Quando a AC pública tiver verificado suas informações, você receberá uma mensagem de email contendo o texto necessário para seu certificado.

5. Copie o texto da mensagem de email e salve o conteúdo em um arquivo de texto (.txt) no computador local.

Para importar o certificado para a interface externa do Servidor de Borda

1. Faça logon como um membro do grupo Administradores no mesmo Servidor de Borda no qual você criou a solicitação de certificado.

2. No Assistente de Implantação, na página Implantar Servidor de Borda, ao lado da Etapa 3: Solicitar, Instalar ou Atribuir Certificados, clique em Executar novamente.

3. Na página Tarefas de Certificado Disponível , clique em Importar um certificado de um arquivo .p7b, pfx ou .cer.

4. Na página Importar Certificado, clique em Procurar para localizar e selecionar o certificado solicitado para a interface externa do Servidor de Borda (ou digite o caminho completo e o nome do arquivo). Se o certificado contiver uma chave privada, selecione o arquivo de certificado que contém a chave privada do certificado e digite a senha para a chave privada. Click Next.

5. Na página Importar Resumo do Certificado , examine o resumo e clique em Avançar.

6. Em Executar Comandos, examine os resultados da importação, clique em Exibir Log para obter mais informações conforme necessário e clique em Concluir para concluir a importação do certificado.

7. Se você estiver configurando um pool do Servidor de Borda, exporte o certificado com sua chave privada, conforme descrito no procedimento "Para exportar o certificado com a chave privada para Servidores de Borda em um pool" mais adiante neste tópico. Copie o arquivo de certificado exportado para os outros Servidores de Borda e importe-o para o repositório de computadores em cada Servidor de Borda.

Para exportar o certificado com a chave privada para servidores de borda em um pool

1. Faça logon como um membro do grupo Administradores no mesmo Servidor de Borda no qual você importou o certificado.

2. Clique em Iniciar, clique em Executar e digite MMC.

3. No console do MMC (Console de Gerenciamento Microsoft), clique em Arquivo e, em seguida, clique em Adicionar/Remover Snap-in.

4. Em Adicionar ou Remover Snap-ins, clique em Certificados e, em seguida, clique em Adicionar.

5. Na caixa de diálogo Certificados, selecione Conta de computador, clique em Avançar, selecione Computador local: (o computador no qual este console está sendo executado) em Selecionar Computador, clique em Concluir e clique em OK para concluir a configuração do console do MMC.

6. Clique duas vezes em Certificados (Computador Local) para expandir os repositórios de certificados, clique duas vezes em Pessoal e clique duas vezes em Certificados.

   Importante

   Se não houver certificados no repositório Pessoal de Certificados para o computador local, não haverá nenhuma chave privada associada ao certificado que foi importado. Examine as etapas de solicitação e importação. Se o problema persistir, entre em contato com o administrador ou provedor da autoridade de certificação.

7. No repositório Pessoal de Certificados do computador local, clique com o botão direito do mouse no certificado que você está exportando, clique em Todas as Tarefas e, em seguida, clique em Exportar.

8. No Assistente para Exportação de Certificados, clique em Avançar, selecione Sim, exporte a chave privada e clique em Avançar.

   Nota

   Se a seleção Sim, exportar a chave privada não estiver disponível, a chave privada associada a esse certificado não foi marcada para exportação. Você precisará solicitar o certificado novamente, garantindo que o certificado esteja marcado para permitir a exportação da chave privada antes de continuar com a exportação. Entre em contato com o administrador ou provedor da autoridade de certificação.

9. Na caixa de diálogo Exportar Formatos de Arquivo, selecione Troca de Informações Pessoais – PKCS#12 (. PFX) e selecione o seguinte:

   • Incluir todos os certificados no caminho de certificação, se possível

   • Exportar todas as propriedades estendidas

     Aviso

     Ao exportar o certificado de um servidor de borda, não selecione Excluir a chave privada se a exportação for bem-sucedida. Selecionar essa opção exigirá que você importe o certificado e a chave privada para este servidor do Edge.

10. Click Next.

11. Digite uma senha para a chave privada, digite a senha novamente para confirmar e clique em Avançar.

12. Digite um caminho e o nome de arquivo para o certificado exportado, usando uma extensão de arquivo .pfx. O caminho deve ser acessível para todos os outros servidores de borda no pool ou estar disponível para transporte por meio de mídia removível, por exemplo, uma unidade flash USB. Click Next.

13. Examine o resumo em Concluindo o Assistente de Exportação de Certificados e clique em Concluir.

14. Na caixa de diálogo de exportação bem-sucedida, clique em OK.

15. Importe o arquivo de certificado exportado para os outros servidores do Edge seguindo as etapas descritas no procedimento "Para importar o certificado para a interface externa do Servidor de Borda" anteriormente neste tópico.

Para atribuir o certificado para a interface externa do Servidor de Borda

1. Em cada Servidor de Borda, no Assistente de Implantação, ao lado da Etapa 3: Solicitar, Instalar ou Atribuir Certificados, clique em Executar novamente.

2. Na página Tarefas de Certificado Disponível , clique em Atribuir um certificado existente.

3. Na página Atribuição de Certificado, clique em Certificado de Borda Externa e marque a caixa de seleção Usos Avançados de Certificado.

4. Na página Usos Avançados de Certificado, marque todas as caixas de seleção para atribuir o certificado para todos os usos.

5. Na página Repositório de Certificados , selecione o certificado público que você solicitou e importou para a interface externa do Servidor de Borda.

   Nota

   Se o certificado solicitado e importado não estiver na lista, um dos métodos de solução de problemas será verificar se o nome da entidade e os nomes alternativos da entidade do certificado atendem a todos os requisitos do certificado e, se você importou manualmente o certificado e a cadeia de certificados em vez de usar os procedimentos anteriores, se o certificado está no repositório de certificados correto (o repositório de certificados do computador, não o usuário ou repositório de certificados de serviço).

6. Na página Resumo da Atribuição de Certificado, examine suas configurações e clique em Avançar para atribuir os certificados.

7. Na página de conclusão do assistente, clique em Concluir.

8. Depois de usar este procedimento para atribuir o certificado de borda, abra o snap-in Certificado em cada servidor, expanda Certificados (Computador local),expanda Pessoal, clique em Certificados e verifique no painel de detalhes se o certificado está listado.

9. Se sua implantação incluir vários Servidores de Borda, repita esse procedimento para cada Servidor de Borda.