Compartilhar via

Configurar certificados para a interface de borda interna no Lync Server 2013

  • Artigo

 

Tópico última modificação: 11-07-2013

Importante

Ao executar o Assistente de Certificado, verifique se você está conectado usando uma conta que é membro de um grupo ao qual foram atribuídas as permissões apropriadas para o tipo de modelo de certificado que você usará. Por padrão, uma solicitação de certificado do Lync Server 2013 usará o modelo de certificado do Servidor Web. Se você usar uma conta que seja membro do grupo RTCUniversalServerAdmins para solicitar um certificado usando esse modelo, verifique se o grupo foi atribuído às permissões de Registro necessárias para usar esse modelo.

Um único certificado é necessário na interface interna de cada Servidor de Borda. Os certificados para a interface interna podem ser emitidos por uma AC (autoridade de certificação) corporativa interna ou uma AC pública. Se sua organização tiver uma AC interna implantada, você poderá economizar com a despesa de usar certificados públicos usando a AC interna para emitir o certificado para a interface interna. Você pode usar uma AC interna do Windows Server 2008 ou uma AC do Windows Server 2008 R2 para criar esses certificados.

Para obter detalhes sobre esse e outros requisitos de certificado, consulte Requisitos de certificado para acesso de usuário externo no Lync Server 2013.

Para configurar certificados na interface de borda interna em um site, use os procedimentos nesta seção para fazer o seguinte:

  1. Baixe a cadeia de certificação de AC para a interface interna para cada Servidor de Borda.

  2. Importe a cadeia de certificação de AC para a interface interna, em cada Servidor de Borda.

  3. Crie a solicitação de certificado para a interface interna, em um Servidor de Borda, chamado de primeiro Servidor de Borda.

  4. Importe o certificado para a interface interna no primeiro Servidor de Borda.

  5. Importe o certificado nos outros Servidores de Borda neste site (ou implantado por trás desse balanceador de carga).

  6. Atribua o certificado para a interface interna de cada Servidor de Borda.

Se você tiver mais de um site com Servidores de Borda (ou seja, uma topologia de borda de vários sites) ou conjuntos separados de Servidores de Borda implantados atrás de balanceadores de carga diferentes, você precisará seguir estas etapas para cada site que tenha Servidores de Borda e para cada conjunto de Servidores de Borda implantados atrás de um balanceador de carga diferente.

Nota

As etapas para procedimentos nesta seção se baseiam no uso de uma AC do Windows Server 2008, da AC do Windows Server 2008 R2, da AC do Windows Server 2012 ou da AC do Windows Server 2012 R2 para criar um certificado para cada Servidor de Borda. Para obter diretrizes passo a passo para qualquer outra AC, consulte a documentação dessa AC. Por padrão, todos os usuários autenticados têm os direitos de usuário apropriados para solicitar certificados.
Os procedimentos nesta seção se baseiam na criação de solicitações de certificado no Servidor de Borda como parte do processo de implantação do Servidor de Borda. É possível criar solicitações de certificado usando o Servidor Front-End. Você pode fazer isso para concluir a solicitação de certificado no início do processo de planejamento e implantação, antes de iniciar a implantação dos Servidores de Borda. Para fazer isso, você deve garantir que o certificado solicitado seja definido com uma chave privada exportável.
Os procedimentos nesta seção descrevem o uso de um arquivo .cer e .p7b para o certificado. Se você usar um tipo diferente de arquivo, modifique esses procedimentos conforme apropriado.

Para baixar a cadeia de certificação de AC para a interface interna usando o site certsrv

  1. Faça logon em um servidor do Lync Server 2013 na rede interna (ou seja, não no Servidor de Borda) como membro do grupo Administradores .

  2. Execute o seguinte comando em um prompt de comando clicando em Iniciar, clicando em Executar e digitando o seguinte:

    https://<name of your Issuing CA Server>/certsrv

    Por exemplo:

    https://ca01.contoso.net/certsrv

    Nota

    Se você estiver usando uma AC corporativa do Windows Server 2008 ou do Windows Server 2008 R2, deverá usar https, não http.

  3. Na página web certsrv da AC emissora, em Selecione uma tarefa, clique em Download de um Certificado de Autoridade de Certificação, Cadeia de Certificados ou Lista de Certificados Revogados.

  4. Em Baixar um Certificado de Autoridade de Certificação, Cadeia de Certificados ou CRL, clique em Baixar cadeia de certificados de autoridade de certificação.

  5. Na caixa de diálogo Download de Arquivo, clique em Salvar.

  6. Salve o arquivo .p7b na unidade de disco rígido no servidor e copie-o para uma pasta em cada Servidor de Borda.

    Nota

    O arquivo .p7b contém todos os certificados que estão no caminho de certificação. Para exibir o caminho de certificação, abra o certificado do servidor e clique no caminho de certificação.

Para exportar a cadeia de certificação de AC para a interface interna usando o MMC

  1. Você pode exportar o certificado raiz da AC de qualquer computador ingressado no domínio usando o MMC (Console de Gerenciamento Microsoft). Clique em Iniciar, clique em Executar e digite MMC.

  2. No console do MMC, clique em Arquivo, clique em Adicionar/Remover.

  3. Na lista de diálogo Adicionar ou Remover Snap-ins , selecione Certificados e clique em Adicionar. Quando solicitado, selecione Conta de Computador. Na caixa de diálogo Selecionar Computador, selecione Computador Local. Clique em Concluir. Clique em OK.

  4. Expanda certificados (computador local). Expanda Autoridades de Certificação Raiz Confiáveis e selecione Certificados.

  5. Clique no certificado raiz emitido por sua AC. Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas, selecione Exportar. O Assistente para Exportação de Certificados será aberto.

  6. No Assistente de Exportação de Certificado, clique em Avançar.

  7. Na caixa de diálogo Exportar Formato de Arquivo, selecione um formato para o qual exportar. Recomendamos o Padrão de Sintaxe de Mensagem Criptográfica – Certificados PKCS nº 7 (. P7B). Se você selecionar o Padrão de Sintaxe de Mensagem Criptográfica – Certificados PKCS nº 7 (. P7B), marque a caixa de seleção Incluir todos os certificados no caminho de certificação, se possível, para exportar a cadeia de certificados, incluindo o certificado de autoridade de certificação raiz e todos os certificados de AUTORIDADE de Certificação intermediários. Click Next.

  8. Na caixa de diálogo Arquivo a Ser Exportado na entrada de nome de arquivo, digite um caminho e um nome de arquivo (a extensão padrão é .p7b) para o certificado exportado. Opcionalmente, clique em Procurar, localize um diretório no qual colocar o certificado exportado e forneça um nome para o certificado exportado. Clique em Salvar. Click Next.

  9. Examine o resumo das ações e clique em Concluir para concluir a exportação do certificado. Clique em OK para confirmar que a exportação foi bem sucedida.

Para importar a cadeia de certificação de AC para a interface interna

  1. Em cada Servidor de Borda, abra o Console de Gerenciamento microsoft (MMC) clicando em Iniciar, clicando em Executar, digitandommc na caixa Abrir e, em seguida, clicando em OK.

  2. No menu Arquivo , clique em Adicionar/Remover Snap-in e, em seguida, clique em Adicionar.

  3. Na caixa Adicionar Snap-ins Autônomos , clique em Certificados e, em seguida, clique em Adicionar.

  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computadore, em seguida, clique em Avançar.

  5. Na caixa de diálogo Selecionar Computador, verifique se a caixa de seleção Computador local: ( o computador no qual este console está sendo executado) está marcada e clique em Concluir.

  6. Clique em Fechar e em OK.

  7. Na árvore de console, expanda Certificados (Computador Local), clique com o botão direito do mouse em Autoridades de Certificação Raiz Confiáveis, aponte para Todas as Tarefas e clique em Importar.

  8. No assistente, em Arquivo a Importar, especifique o nome do arquivo do certificado (ou seja, o nome que você especificou quando baixou a cadeia de certificação de AC para a interface interna no procedimento anterior).

  9. Repita esse procedimento em cada Servidor de Borda.

Para criar a solicitação de certificado para a interface interna

  1. Em um dos Servidores de Borda, inicie o Assistente de Implantação e, ao lado da Etapa 3: Solicitar, Instalar ou Atribuir Certificados, clique em Executar.

    Nota

    Se você tiver vários Servidores de Borda em um único local em um pool, poderá executar o Assistente de Certificado em qualquer um dos Servidores de Borda.
    Depois de executar a Etapa 3 pela primeira vez, o botão será alterado para Executar novamente e uma marca de seleção verde que indica a conclusão bem-sucedida da tarefa não será exibida até que todos os certificados necessários tenham sido solicitados, instalados e atribuídos.

  2. Na página Tarefas de Certificado Disponíveis, clique em Criar uma nova solicitação de certificado.

  3. Na página Solicitação de Certificado, clique em Avançar.

  4. Na página Solicitações Atrasadas ou Imediatas, clique em Preparar a solicitação agora, mas enviá-la depois.

  5. Na página Arquivo de Solicitação de Certificado, digite o caminho completo e o nome do arquivo para o qual a solicitação deve ser salva (por exemplo, c:\cert_internal_edge.cer).

  6. Na página Especificar Modelo de Certificado Alternativo, para usar um modelo diferente do modelo WebServer padrão, marque a caixa de seleção Usar modelo de certificado alternativo para a Autoridade de Certificação selecionada.

  7. Na página Configurações de Nome e Segurança , faça o seguinte:

    • Em Nome amigável, digite um nome de exibição para o certificado (por exemplo, Borda Interna).

    • No comprimento do bit, especifique o comprimento do bit (normalmente, o padrão de 2048).

      Nota

      Comprimentos de bits mais altos oferecem mais segurança, mas têm um impacto negativo na velocidade.

    • Se o certificado precisar ser exportável, marque a chave privada do certificado como exportável .

  8. Na página Informações da Organização, digite o nome da organização e da UO (unidade organizacional) (por exemplo, uma divisão ou departamento).

  9. Na página Informações Geográficas , especifique as informações de localização.

  10. Na página Nomes Alternativos da Entidade/ Assunto, as informações a serem preenchidas automaticamente pelo assistente são exibidas.

  11. Na página Configurar Nomes Alternativos de Entidade Adicional, especifique quaisquer nomes alternativos de assunto adicionais necessários.

  12. Na página Resumo da Solicitação, examine as informações do certificado que serão usadas para gerar a solicitação.

  13. Após a conclusão dos comandos, faça o seguinte:

    • Para exibir o log da solicitação de certificado, clique em Exibir Log.

    • Para concluir a solicitação de certificado, clique em Avançar.

  14. Na página Arquivo de Solicitação de Certificado, faça o seguinte:

    • Para exibir o arquivo CSR (solicitação de assinatura de certificado) gerado, clique em Exibir.

    • Para fechar o assistente, clique em Concluir.

  15. Envie esse arquivo para sua AC (por email ou outro método compatível com sua organização para sua AC corporativa) e, quando você receber o arquivo de resposta, copie o novo certificado para este computador para que ele esteja disponível para importação.

Para importar o certificado para a interface interna

  1. Faça logon no Servidor de Borda no qual você criou a solicitação de certificado como membro do grupo administradores local.

  2. No Assistente de Implantação, ao lado da Etapa 3: Solicitar, Instalar ou Atribuir Certificados, clique em Executar novamente.

    Depois de executar a Etapa 3 pela primeira vez, o botão será alterado para Executar novamente, mas uma marca de seleção verde (indicando a conclusão bem-sucedida da tarefa) não será exibida até que todos os certificados necessários tenham sido solicitados, instalados e atribuídos.

  3. Na página Tarefas de Certificado Disponível , clique em Importar um certificado de um . Arquivo P7b, .pfx ou .cer.

  4. Na página Importar Certificado, digite o caminho completo e o nome de arquivo do certificado que você solicitou e recebeu para a interface interna deste Servidor de Borda (ou clique em Procurar para localizar e selecionar o arquivo).

  5. Se você estiver importando certificados para outros membros do pool, um certificado contendo uma chave privada, selecione o arquivo de certificado que contém a caixa de seleção de chave privada do certificado e especifique a senha.

Para exportar o certificado com a chave privada para servidores de borda em um pool

  1. Faça logon como um membro do grupo Administradores no mesmo Servidor de Borda no qual você importou o certificado.

  2. Clique em Iniciar, clique em Executar e digite MMC.

  3. No console do MMC, clique em Arquivo, clique em Adicionar/Remover Snap-in.

  4. Na página Adicionar ou Remover Snap-ins, clique em Certificados e em Adicionar.

  5. Na caixa de diálogo Snap-in Certificados, selecione Conta de computador. Click Next. Em Selecionar Computador, selecione Computador local: (o computador em que este console está sendo executado). Clique em Concluir. Clique em OK para concluir a configuração do console do MMC.

  6. Clique duas vezes em Certificados (Computador Local) para expandir os repositórios de certificados. Clique duas vezes em Pessoal e clique duas vezes em Certificados.

    Importante

    Se não houver certificados no repositório Pessoal de Certificados para o computador local, não haverá nenhuma chave privada associada ao certificado que foi importado. Examine as etapas de solicitação e importação. Se o problema persistir, entre em contato com o administrador ou provedor da autoridade de certificação.

  7. No repositório Pessoal de Certificados do computador local, clique com o botão direito do mouse no certificado que você está exportando. Clique em Todas as Tarefas, clique em Exportar.

  8. No Assistente para Exportação de Certificados, clique em Avançar. Selecione Sim, exportar a chave privada. Clique em Avançar.

    Nota

    Se a seleção Sim, exportar a chave privada não estiver disponível, a chave privada associada a esse certificado não foi marcada para exportação. Você precisará solicitar o certificado novamente, garantindo que o certificado esteja marcado para permitir a exportação da chave privada antes de continuar com a exportação. Entre em contato com o administrador ou provedor da autoridade de certificação.

  9. Na caixa de diálogo Exportar Formatos de Arquivo, selecione Troca de Informações Pessoais – PKCS#12 (. PFX) e selecione o seguinte:

    • Incluir todos os certificados no caminho de certificação, se possível

    • Exportar todas as propriedades estendidas

      Aviso

      Ao exportar o certificado de um servidor de borda, não selecione Excluir a chave privada se a exportação for bem-sucedida. Selecionar essa opção exigirá que você importe o certificado e a chave privada para este servidor do Edge.

    Clique em Avançar para continuar.

  10. Se você quiser atribuir senha para proteger a chave privada, digite uma senha para a chave privada. Insira novamente a senha para confirmar. Click Next.

  11. Digite um caminho e o nome de arquivo para o certificado exportado, usando uma extensão de arquivo .pfx. O caminho deve ser acessível para todos os outros servidores de borda no pool ou estar disponível para transporte por meio de mídia removível, por exemplo, uma unidade flash USB. Click Next.

  12. Examine o resumo na caixa de diálogo Concluindo o Assistente para Exportação de Certificados. Clique em Concluir.

  13. Clique em OK na caixa de diálogo da exportação com sucesso.

  14. Importe o arquivo de certificado exportado para os outros servidores do Edge seguindo as etapas descritas na configuração de certificados para a interface de borda externa para procedimentos do Lync Server 2013 .

Para atribuir o certificado interno nos Servidores de Borda

  1. Em cada Servidor de Borda, no Assistente de Implantação, ao lado da Etapa 3: Solicitar, Instalar ou Atribuir Certificados, clique em Executar novamente.

  2. Na página Tarefas de Certificado Disponível , clique em Atribuir um certificado existente.

  3. Na página Atribuição de Certificado, selecione Interno à Borda na lista.

  4. Na página Repositório de Certificados , selecione o certificado que você importou para a borda interna (do procedimento anterior).

  5. Na página Resumo da Atribuição de Certificado, examine suas configurações e clique em Avançar para atribuir os certificados.

  6. Na página de conclusão do assistente, clique em Concluir.

  7. Depois de usar este procedimento para atribuir o certificado de borda interno, abra o snap-in Certificado em cada servidor, expanda Certificados (Computador local),expanda Pessoal, clique em Certificados e verifique no painel de detalhes se o certificado de borda interno está listado.

  8. Se sua implantação incluir vários Servidores de Borda, repita esse procedimento para cada Servidor de Borda.