Artigo
01/15/2015

Request-CsCertificate

Tópico modificado em: 2012-04-23

Oferece uma maneira de solicitar certificados para uso com servidores que executam o Microsoft Lync Server 2010 e com funções de servidor. Oferece também uma maneira de conferir o status das solicitações de certificados existentes e, caso necessário, de cancelar solicitações que possam existir.

Sintaxe

Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]

Descrição Detalhada

O Lync Server 2010 usa certificados para que servidores e funções de servidores verifiquem suas identidades; por exemplo, um Servidor de Borda usa certificados para verificar se o computador com o qual está se comunicando realmente é um Servidor Front-End e vice-versa. Para implementar completamente o Lync Server, é preciso ter os certificados apropriados atribuídos às funções de servidor apropriadas.

Uma maneira de solicitar certificados para uso com o Lync Server é chamar o cmdlet Request-CsCertificate. Embora seja possível usar outras ferramentas comuns do Windows para solicitar certificados para uso com o Lync Server, uma grande vantagem de se usar o cmdlet Request-CsCertificate é o fato de que o cmdlet irá analisar sua topologia antes de entrar em contato com a CA (autoridade de certificação). Com base nessa análise, Request-CsCertificate solicitará automaticamente um certificado com os campos nome da entidade e nome alternativo de entidade apropriados.

Request-CsCertificate foi desenvolvido para solicitar certificados especificamente para uso com o Lync Server. Ele não foi desenvolvido para ser uma ferramenta de gerenciamento de certificados para fins gerais.

Além de solicitar novos certificados, este cmdlet também pode ser usado para analisar solicitações pendentes de certificados, desde que essas solicitações tenham sido feitas com o Request-CsCertificate. Request-CsCertificate também pode ser usado para excluir solicitações pendentes de certificados, desde que essas solicitações tenham sido feitas com o cmdlet.

Ao tentar obter solicitações de certificado, você talvez receba uma mensagem de erro se tiver alguma solicitação revogada; no momento, Request-CsCertificate só tem suporte a estes tipos de solicitações: Issued (emitida), Denied (negada) e Pending (pendente). Se tiver problemas por causa de um certificado revogado, use um comando semelhante a este para limpar a solicitação revogada (onde 224 é o RequestID da solicitação de certificado revogada):

Request-CsCertificate –Clear –RequestID 224

Depois disso, deve ser possível obter solicitações de certificado.

Quem pode executar este cmdlet: É preciso ser um administrador local e ter direitos à autoridade de certificação especificada para executar o cmdlet Request-CsCertificate localmente. Para retornar uma lista de todas as funções do RBAC (controle de acesso baseado na função) atribuídas a este cmdlet (incluindo eventuais funções personalizadas do RBAC que você mesmo tenha criado), execute o comando a seguir no prompt do Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}

Parâmetros

Parâmetro	Obrigatório	Tipo	Descrição
Type	Obrigatório	Cadeia de caracteres	Tipo de certificado que está sendo solicitado. Os tipos de certificado incluem, mas não se restringem a: AccessEdgeExternal AudioVideoAuthentication DataEdgeExternal Default External Internal iPhoneAPNService iPadAPNService MPNService PICWebService (apenas Microsoft Lync Online 2010) ProvisionService (apenas Microsoft Lync Online 2010) WebServicesExternal WebServicesInternal WsFedTokenTransfer Por exemplo, esta sintaxe solicita um novo certificado Default (padrão): -Type Default. É possível especificar mais de um tipo em um mesmo comando, separando os tipos de certificados por vírgulas: -Type Internal,External,Default
CA	Opcional	Cadeia de caracteres	FQDN (nome de domínio totalmente qualificado) que aponta para a CA. Por exemplo: -CA "atl-ca-001.litwareinc.com\myca". Para obter uma lista de CAs conhecidas, digite o seguinte no prompt do Windows PowerShell e pressione ENTER: certutil A propriedade Config retornada pelo Certutil indica a localização de uma CA.
CaAccount	Opcional	Cadeia de caracteres	Nome da conta do usuário que está solicitando o novo certificado, usando o formato nome_de_dominio\nome_de_usuario. Por exemplo: -CaAccount "litwareinc\kenmyer". Caso não seja especificado, o cmdlet Request-CsCertificate usará as credenciais do usuário conectado ao solicitar o novo certificado.
CaPassword	Opcional	Cadeia de caracteres	Senha do usuário que está solicitando o novo certificado (conforme especificado com o parâmetro CaAccount).
City	Opcional	Cadeia de caracteres	Cidade na qual o certificado será implementado.
Clear	Opcional	Parâmetros de opção	Quando presente, exclui solicitações de certificado pendentes realizadas com Request-CsCertificate.
ClientEKU	Opcional	Booleano	Defina este parâmetro como True se o certificado for usado para autenticação de clientes. Esse tipo de autenticação é necessário se você quiser que seus usuários sejam capazes de trocar mensagens instantâneas com pessoas que tenham contas com a AOL. A parte EKU do nome do parâmetro é uma abreviação para uso estendido de chave; esse campo lista as utilizações válidas do certificado.
ComputerFqdn	Opcional	Cadeia de caracteres	FQDN do computador para o qual o certificado está sendo solicitado. Quando presente, este parâmetro força o cmdlet Request-CsCertificate a se conectar ao Repositório de Gerenciamento Central para localizar o computador especificado. Sempre use o nome do computador ao solicitar um certificado, mesmo ao solicitar um certificado do pool. O cmdlet Request-CsCertificate adicionará automaticamente o nome do pool ao nome da entidade de qualquer certificado obtido com o uso deste cmdlet.
Country	Opcional	Cadeia de caracteres	País/região no qual o certificado será implementado.
DomainName	Opcional	Cadeia de caracteres	Lista separada por vírgulas dos nomes de domínio totalmente qualificado que devem ser adicionados ao campo Nome Alternativo da Entidade do certificado. Por exemplo: -DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com"
FriendlyName	Opcional	Cadeia de caracteres	Nome atribuído pelo usuário que facilita a identificação do certificado.
GlobalCatalog	Opcional	Cadeia de caracteres	FQDN de um servidor de catálogo global em seu domínio. O parâmetro não será necessário se Request-CsCertificate estiver sendo executado em um computador com uma conta em seu domínio.
GlobalSettingsDomainController	Opcional	Cadeia de caracteres	FQDN de um controlador de domínio no qual as configurações globais serão armazenadas. Se as configurações globais forem armazenadas no contêiner System do Serviços de Domínio Active Directory (AD DS), este parâmetro deverá apontar para o controlador de domínio raiz. Se as configurações globais forem armazenadas no contêiner Configuration, qualquer controlador de domínio pode ser usado e o parâmetro pode ser omitido.
KeyAlg	Opcional	Modificador de lista PS	Indica o tipo de algoritmo criptográfico a ser usado na geração das chaves públicas e privadas do novo certificado. Algoritmos de chave válidos incluem: RSA ECDH_P256 ECDH_P384 ECDH_P521
KeySize	Opcional	Inteiro	Indica o tamanho (em bits) da chave privada usada pelo certificado. Chaves com tamanhos maiores são mais seguras, mas exigem mais sobrecarga de processamento para sua descriptografia. Os tamanhos de chave válidos são 1024, 2048 e 4096. Por exemplo: -KeySize 2048.
List	Opcional	Parâmetros de opção	Quando presente, lista solicitações de certificado pendentes realizadas com Request-CsCertificate.
New	Opcional	Parâmetros de opção	Quando presente, indica que você deseja solicitar um novo certificado.
Organization	Opcional	Cadeia de caracteres	Nome da organização que está solicitando o novo certificado. Por exemplo: -Organization "Litwareinc".
OU	Opcional	Cadeia de caracteres	Unidade organizacional do Active Directory para o computador ao qual o novo certificado será atribuído.
Output	Opcional	Cadeia de caracteres	Caminho para o arquivo do certificado. Caso queira criar uma solicitação de certificado offline, use o parâmetro Output e especifique um caminho de arquivo para a solicitação de certificado; por exemplo: -Output C:\Certificates\NewCertificate.pfx. Isso criará um arquivo de solicitação de certificado que pode ser enviado por email a uma autoridade de certificação para processamento.
PrivateKeyExportable	Opcional	Booleano	Defina este parâmetro como True se quiser tornar exportável a chave privada do certificado. Quando uma chave privada é exportável, o certificado pode ser copiado e usado em vários computadores.
RequestID	Opcional	Inteiro	Número de identificação associado a uma solicitação de certificado. O parâmetro RequestID oferece uma maneira de listar, recuperar ou limpar um certificado individual.
Retrieve	Opcional	Parâmetros de opção	Quando presente, recupera solicitações de certificado pendentes realizadas com Request-CsCertificate, e tenta concluir a operação e importar o certificado solicitado.
State	Opcional	Cadeia de caracteres	Estado dos EUA no qual o certificado será implementado. Por exemplo: -State WA.
Template	Opcional	Cadeia de caracteres	Indica o modelo de certificado a ser usado na geração de um novo certificado, como por exemplo: -Template "WebServer". O modelo solicitado deve estar instalado na autoridade de certificação. Observe que o valor digitado deve ser o nome do modelo, e não o nome para exibição do modelo.
Force	Opcional	Parâmetros de opção	Suprime a exibição de mensagens de erro não fatais que possam ocorrer na execução do comando.
Report	Opcional	Cadeia de caracteres	Permite especificar um caminho de arquivo para o arquivo de log criado quando o cmdlet é executado. Por exemplo: -Report "C:\Logs\Certificates.html"
WhatIf	Opcional	Parâmetros de opção	Descreve o que aconteceria se o comando fosse executado sem ser executado de fato.
Confirm	Opcional	Parâmetros de opção	Solicita confirmação antes da execução do comando.

Tipos de Entrada

Nenhuma. Request-CsCertificate não aceita entrada em pipeline.

Tipos de Retorno

Nenhuma. Em vez disso, Request-CsCertificate ajuda a gerenciar instâncias do objeto Microsoft.Rtc.Management.Deployment.CertificateReference.

Exemplo

-------------------------- Exemplo 1 -----------------------

Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"

O comando mostrado no Exemplo 1 cria uma nova solicitação de certificado: ele entra em contato com a CA atl-ca-001.litwareinc.com\myca e solicita um novo certificado WebServicesExternal.

-------------------------- Exemplo 2 -----------------------

Request-CsCertificate -List

O comando anterior lista todas as solicitações de certificado pendentes realizadas com Request-CsCertificate.

-------------------------- Exemplo 3 -----------------------

Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer

O Exemplo 3 usa o parâmetro Output para criar uma solicitação de certificado offline.

-------------------------- Exemplo 4 -----------------------

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"

O exemplo anterior é um exemplo mais detalhado (e mais realista) de como usar Request-CsCertificate. Este exemplo solicita um certificado para uso com a edição Standard do Lync Server.

-------------------------- Exemplo 5 -----------------------

Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"

No Exemplo 5, um certificado de pool é solicitado para uso com a edição Enterprise do Lync Server.

-------------------------- Exemplo 6 -----------------------

Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"

O exemplo anterior mostra como solicitar um certificado para o Servidor de Borda interno.

-------------------------- Exemplo 7 -----------------------

Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"

O Exemplo 7 é uma variação do comando exibido no Exemplo 6. Neste caso, porém, a solicitação é para o Servidor de Borda externo.

Consulte Também

Outros Recursos

Get-CsCertificate
Import-CsCertificate
Remove-CsCertificate
Set-CsCertificate

Compartilhar via