Configurar certificados para servidores de front-end

 

Tópico modificado em: 2011-10-28

Importante:

Ao executar o Assistente de certificado, certifique-se de que esteja conectado usando uma conta membro de um grupo com as permissões apropriadas para o tipo de modelo de certificado que será usado. Por padrão, uma solicitação de certificado do Lync Server usará o modelo de certificado Servidor da web. Se você usar uma conta membro do grupo RTCUniversalServerAdmins para solicitar um certificado usando esse modelo, verifique se o grupo recebeu as permissões Inscrever exigidas para usar esse modelo.

Para concluir com êxito este procedimento, você deve estar conectado como um usuário que seja membro do grupo RTCUniversalServerAdmins ou com as permissões delegadas corretas. Para obter detalhes sobre delegação de permissões, consulte Permissões de configuração delegadas. Dependendo da sua organização e dos requisitos para a solicitação de certificados, talvez sejam necessárias associações a outros grupos. Consulte o grupo que gerencia a autoridade de certificação da sua PKI (infraestrutura de chave pública).

Observação:
O Lync Server 2010 inclui suporte para certificados SHA-256 para conexões de clientes que executam os sistemas operacionais Windows Vista, o Windows Server 2008, o Windows Server 2008 R2 o Windows 7, além do Lync 2010 Phone Edition. Para suportar o acesso externo usando SHA-256, o certificado externo é emitido por uma CA pública usando SHA-256.

Cada Servidor Front-End exige até três certificados, um certificado padrão, um certificado interno da web e um certificado externo da web. No entanto, é possível solicitar e atribuir um único certificado padrão com entradas de nome de entidade alternativo. Para obter detalhes sobre os requisitos de certificado, consulte Requisitos de certificação para servidores internos. Use o seguinte procedimento para solicitar, atribuir e instalar os certificados do Servidor Front-End. Repira o procedimento para cada Servidor Front-End.

Observação:
No processo de configuração padrão, há apenas um certificado solicitado. O certificado recebido é atribuído ao Servidor Front-End. O certificado receberá as funções do Servidor Front-End, e também os serviços da web hospedados no Servidor Front-End.

Importante:

O procedimento a seguir descreve como configurar certificados a partir de um PKI empresarial interno implantado por sua organização e com processamento de solicitação offline. Para obter informações sobre como obter certificados de uma CA pública, consulte Requisitos de certificação para servidores internos na documentação Planejamento. Além disso, esse procedimento descreve como solicitar, atribuir e instalar certificados durante a configuração do Servidor Front-End. Se você tiver solicitado certificados com antecedência, conforme descrito na seção Solicitar certificados com antecedência (opcional) desta documentação Implantação ou não usar um PKI empresarial interno implantado em sua organização a fim de obter certificados, será necessário modificar esse procedimento conforme o apropriado.

Para configurar certificados para um Servidor Front-End

1. No Assistente de Implantação do Lync Server, clique em Executar ao lado de Etapa 3: solicitar, instalar ou atribuir certificados.

   

2. Na página Assistente de Certificados, clique em Solicitar.

   

3. Na página Solicitação de Certificado, clique em Avançar.

4. Na página Solicitações Atrasadas ou Imediatas, é possível aceitar a opção padrão Enviar a solicitação imediatamente para uma autoridade de certificação online clicando em Avançar. A CA interna com inscrição online automática precisa estar disponível se você selecionar essa opção. Se você escolher a opção para atrasar a solicitação, receberá uma solicitação de um nome e local para salvar o arquivo de solicitação do certificado. A solicitação de certificado precisa ser apresentada a processada por uma CA dentro de sua organização ou por uma CA pública. Em seguida, será necessário importar a resposta do certificado e atribuí-la à função de certificado apropriada.

   

5. Na página Escolher uma Autoridade de certificação (CA), selecione a opção Selecionar uma CA na lista detectada em seu ambiente e selecione uma CA conhecida (por meio do registro no Serviços de Domínio Active Directory (AD DS)) na lista. Ou, selecione a opção Especificar outra autoridade de certificação, digite o nome de outra CA na caixa e clique em Avançar.

   

6. Na página Conta da Autoridade de Certificação, você recebe uma solicitação por credenciais para solicitar e processar a solicitação de certificado na CA. Você deve ter determinado se um nome de usuário e senha são necessários para solicitar um certificado com antecedência. Seu administrador de CA terá as informações necessárias e talvez precise ajudá-lo com essa etapa. Se você precisar de credenciais alternativas, marque a caixa de seleção, forneça um nome de usuário e senha nas caixas de texto e clique em Avançar.

   

7. Na página Especificar Modelo de Certificado Alternativo, para usar o modelo de Servidor da web padrão, clique em Avançar.

   Observação:
   Se sua organização tiver criado um modelo para ser usado como uma alternativa para o modelo de CA padrão do Servidor da web, marque a caixa de seleção, e digite o nome do modelo alternativo. Você precisará do nome do modelo, conforme definido pelo administrador de CA.

   

8. Na página Nome e Configurações de Segurança, especifique um Nome Amigável que deve permiti-lo identificar o certificado e a finalidade. Se você deixá-lo em branco, um nome será gerado automaticamente. Defina o Tamanho do bit da chave ou aceite o padrão de 2048 bits. Selecione Marcar a chave privada do certificado como exportável se você determinar que o certificado e a chave privada precisam ser movidos ou copiados para outros sistemas e clique em Avançar.

   Observação:
   O Lync Server 2010 tem requisitos mínimos para uma chave privada exportável. Um local como esse é nos Servidores de Borda em um pool, onde o Serviço de Autenticação de Media Relay usa cópias do certificado, em vez de certificados individuais para cada instância no pool.

   

9. Na página Informações da Organização, forneça, opcionalmente, as informações da organização e clique em Avançar.

10. Na página Informações Geográficas, forneça, opcionalmente, informações geográficas e clique em Avançar.

11. Na página Nome da Entidade/Nomes Alternativos da Entidade, revise os nomes alternativos da entidade que serão adicionados e clique em Avançar.

    

12. Na página Configuração do Domínio SIP, selecione o Domínio SIP e clique em Avançar.

    

13. Na página Configurar Nomes Alternativos da Entidade Adicionais, adicione quaisquer nomes alternativos da entidade adicionais necessários, incluindo qualquer um que possa ser exigido para domínios SIP adicionais no futuro, e clique em Avançar.

    

14. Na página Resumo da Solicitação de Certificado, revise as informações no resumo. Se as informações estiverem corretas, clique em Avançar. Se você precisar corrigir ou modificar uma configuração, clique em Voltar para a página apropriada a fim de fazer a correção ou modificação.

    

15. Na página Executando Comandos, clique em Avançar.

    

16. Na página Status da Solicitação de Certificado Online, revise as informações retornadas. Observe que o certificado foi emitido e instalado no repositório de certificados local. Se ele for reportado como emitido e instalado, mas não estiver válido, certifique-se de que o certificado raiz CA tenha sido instalado no repositório de CA raiz confiável do servidor. Consulte sua documentação de CA sobre como recuperar um certificado CA raiz confiável. Se você precisar ver o certificado recuperado, clique em Exibir Detalhes do Certificado. Por padrão, a caixa de seleção para Atribuir o certificado às utilizações de certificado do Lync Server está marcada. se você quiser atribuir manualmente o certificado, desmarque a caixa e clique em Concluir.

    

17. Se você tiver desmarcado a caixa de seleção para Atribuir o certificado às utilizações de certificado do Lync Server na página anterior, será encaminhado à página Atribuição de Certificado. Clique em Avançar.

    

18. Na página Repositório de Certificados, selecione o certificado que você solicitou. Se você quiser ver o certificado, clique em Exibir Detalhes do Certificado e clique em Avançar para continuar.

    Observação:

    Se a página Status da Solicitação de Certificado Online informar um problema com o certificado, como um certificado inválido, a exibição do certificado real pode ajudar a resolver o problema. Dois problemas específicos que podem causar a invalidez de um certificado são a ausência mencionada anteriormente do certificado CA raiz confiável e a ausência de uma chave privada associada ao certificado. Consulte sua documentação de CA para resolver esses dois problemas.

    

19. Na página Resumo de Atribuição de Certificado, revise as informações apresentadas a fim de garantir que esse certificado deve ser atribuído e clique em Avançar.

    

20. Na página Executando Comandos, revise a saída do comando. Clique em Exibir Log se quiser revisar o processo de atribuição ou se houver um erro ou aviso. Após a conclusão da revisão, clique em Concluir.

    

21. Na página Assistente de Certificados, verifique se o Status do certificado está como “Atribuído” e clique em Fechar.

    

Consulte Também

Outros Recursos

Requisitos de infraestrutura de certificado