Поделиться через

Назначение сертификата проверки подлинности между серверами Skype для бизнеса Server

  • Статья

Сводка: Назначьте сертификат проверки подлинности между серверами для Skype для бизнеса Server.

Чтобы определить, назначен ли сертификат проверки подлинности между серверами Skype для бизнеса Server, выполните следующую команду из командной консоли Skype для бизнеса Server:

Get-CsCertificate -Type OAuthTokenIssuer

Если сведения о сертификате не возвращаются, необходимо назначить сертификат издателя маркера, прежде чем использовать проверку подлинности между серверами. Как правило, в качестве сертификата OAuthTokenIssuer можно использовать любой сертификат Skype для бизнеса Server. Например, сертификат Skype для бизнеса Server по умолчанию также можно использовать в качестве сертификата OAuthTokenIssuer. (Сертификатом OAUthTokenIssuer также может быть любой сертификат веб-сервера, содержащий имя домена SIP в поле Subject.) Основные два требования к сертификату, используемому для проверки подлинности между серверами: 1) один и тот же сертификат должен быть настроен как сертификат OAuthTokenIssuer на всех серверах переднего плана; и 2) сертификат должен быть не менее 2048 бит.

При отсутствии сертификата, позволяющего проверять подлинность между серверами, можно получить новый сертификат, импортировать его и затем применять для проверки подлинности между серверами. После запроса и получения нового сертификата вы можете войти на любой из интерфейсных серверов и использовать команду Windows PowerShell, аналогичную этой, для импорта и назначения этого сертификата:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

В предыдущей команде параметр Path представляет полный путь к файлу сертификата, а параметр Password – пароль, назначенный сертификату. Эту процедуру следует выполнять только один раз: служба репликации Skype для бизнеса Server автоматически создает набор запланированных задач, которые расшифровывают и развертывают сертификат на всех внешних серверах.

Можно также задать в качестве сертификата проверки подлинности между серверами существующий сертификат. (Как отмечалось, сертификат по умолчанию можно использовать в качестве сертификата проверки подлинности между серверами.) Следующая пара команд Windows PowerShell извлекает значение свойства Thumbprint сертификата по умолчанию, а затем использует это значение, чтобы сделать сертификат по умолчанию сертификатом проверки подлинности между серверами:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

В предыдущей команде полученный сертификат настроен для работы в качестве глобального сертификата проверки подлинности между серверами. это означает, что сертификат реплицируется на все серверы переднего плана и используется ими. Опять же, эта команда должна выполняться только один раз и только на одном из интерфейсных серверов. Хотя все серверы переднего плана должны использовать один и тот же сертификат, не следует настраивать сертификат OAuthTokenIssuer на каждом сервере переднего плана. Вместо этого настройте сертификат один раз, а затем разрешите серверу репликации Skype для бизнеса Server выполнить копирование этого сертификата на каждый сервер.

Командлет Set-CsCertificate принимает соответствующий сертификат и немедленно настраивает этот сертификат в качестве текущего сертификата OAuthTokenIssuer. (Skype для бизнеса Server хранит две копии типа сертификата: текущий сертификат и предыдущий сертификат.) Если вам нужно, чтобы новый сертификат немедленно начал действовать в качестве сертификата OAuthTokenIssuer, следует использовать командлет Set-CsCertificate.

Можно также воспользоваться командлетом Set-CsCertificate, чтобы "накатить" новый сертификат. "Накат" означает, что новый сертификат станет текущим сертификатом OAuthTokenIssuer в некоторый определенный момент времени. Например, следующая команда извлекает сертификат по умолчанию и затем делает так, что он становится текущим сертификатом OAuthTokenIssuer 1 июля 2015 г.:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

1 июля 2015 г. новый сертификат будет настроен как текущий сертификат OAuthTokenIssuer, а "старый" сертификат OAuthTokenIssuer будет настроен как предыдущий.

Если вы не хотите использовать Windows PowerShell, вы также можете использовать консоль MMC Certificates для экспорта сертификата с одного сервера переднего плана, а затем импортировать этот сертификат на все остальные серверы переднего плана. При этом вместе с сертификатом необходимо экспортировать закрытый ключ.

Осторожностью

В этом случае процедура должна выполняться на каждом сервере переднего плана. При экспорте и импорте сертификатов таким образом Skype для бизнеса Server не будет реплицировать этот сертификат на каждый сервер переднего плана.

После импорта сертификата на все серверы переднего плана этот сертификат можно назначить с помощью мастера развертывания Skype для бизнеса Server вместо Windows PowerShell. Чтобы назначить сертификат с помощью мастера развертывания, выполните следующие действия на компьютере, где установлен мастер развертывания.

  1. Выберите Пуск, Все программы, Skype для бизнеса Server и мастер развертывания Skype для бизнеса Server.

  2. В мастере развертывания щелкните Установить или обновить систему Skype для бизнеса Server.

  3. На странице Skype для бизнеса Server нажмите кнопку Выполнить под заголовком Шаг 3. Запрос, установка или назначение сертификатов. (Примечание. Если вы уже установили сертификаты на этом компьютере, кнопка Выполнить будет помечена как Запустить еще раз.)

  4. В мастере сертификатов выберите сертификат OAuthTokenIssuer, затем нажмите кнопку Назначить.

  5. В мастере назначения сертификатов на странице Назначение сертификатов нажмите кнопку Далее.

  6. На странице Хранилище сертификатов выберите сертификат для применения при проверке подлинности между серверами, затем нажмите кнопку Далее.

  7. На странице "Сводка по назначениям сертификатов" нажмите кнопку Далее.

  8. На странице "Выполнение команд" нажмите кнопку Готово.

  9. Закройте мастер сертификатов и мастер развертывания.