Share via

Назначение сертификата проверки подлинности между серверами для Skype для бизнеса Server

  • Статья

Сводка: Назначьте сертификат проверки подлинности между серверами для Skype для бизнеса Server.

Чтобы определить, назначен ли сертификат проверки подлинности между серверами Skype для бизнеса Server, выполните следующую команду из командной консоли Skype для бизнеса Server:

Get-CsCertificate -Type OAuthTokenIssuer

Если сведения о сертификате не возвращаются, для проверки подлинности между серверами необходимо сначала назначить сертификат издателя маркеров. Как правило, любой сертификат Skype для бизнеса Server можно использовать в качестве сертификата OAuthTokenIssuer. Например, сертификат Skype для бизнеса Server по умолчанию также можно использовать в качестве сертификата OAuthTokenIssuer. (Сертификатом OAUthTokenIssuer также может быть любой сертификат веб-сервера, содержащий имя домена SIP в поле Subject.) Основные два требования к сертификату, используемому для проверки подлинности между серверами: 1)один и тот же сертификат должен быть настроен в качестве сертификата OAuthTokenIssuer на всех серверах переднего плана; и 2) сертификат должен быть не менее 2048 бит.

При отсутствии сертификата, позволяющего проверять подлинность между серверами, можно получить новый сертификат, импортировать его и затем применять для проверки подлинности между серверами. После запроса и получения нового сертификата вы можете войти на любой из интерфейсных серверов и использовать команду Windows PowerShell, аналогичную этой, для импорта и назначения этого сертификата:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

В предыдущей команде параметр Path представляет полный путь к файлу сертификата, а параметр Password – пароль, назначенный сертификату. Эту процедуру следует выполнять только один раз: служба репликации Skype для бизнеса Server автоматически создаст набор запланированных задач, которые расшифровывают и развертывают сертификат на всех серверах переднего плана.

Можно также задать в качестве сертификата проверки подлинности между серверами существующий сертификат. (Как отмечалось, сертификат по умолчанию можно использовать в качестве сертификата проверки подлинности между серверами.) Следующая пара команд Windows PowerShell извлекает значение свойства Thumbprint сертификата по умолчанию, а затем использует это значение, чтобы сделать сертификат по умолчанию сертификатом проверки подлинности между серверами:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

В предыдущей команде полученный сертификат настроен для работы в качестве глобального сертификата проверки подлинности между серверами. это означает, что сертификат будет реплицирован на все серверы переднего плана и будет использоваться ими. Опять же, эта команда должна выполняться только один раз и только на одном из интерфейсных серверов. Хотя все серверы переднего плана должны использовать один и тот же сертификат, не следует настраивать сертификат OAuthTokenIssuer на каждом сервере переднего плана. Вместо этого настройте сертификат один раз, а затем позвольте серверу репликации Skype для бизнеса Server позаботиться о копировании этого сертификата на каждый сервер.

Командлет Set-CsCertificate принимает соответствующий сертификат и немедленно настраивает этот сертификат в качестве текущего сертификата OAuthTokenIssuer. (Skype для бизнеса Server хранит две копии типа сертификата: текущий сертификат и предыдущий сертификат.) Если вам нужно, чтобы новый сертификат немедленно начал действовать в качестве сертификата OAuthTokenIssuer, следует использовать командлет Set-CsCertificate.

Можно также воспользоваться командлетом Set-CsCertificate, чтобы "накатить" новый сертификат. "Накат" означает, что новый сертификат станет текущим сертификатом OAuthTokenIssuer в некоторый определенный момент времени. Например, следующая команда извлекает сертификат по умолчанию и затем делает так, что он становится текущим сертификатом OAuthTokenIssuer 1 июля 2015 г.:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

1 июля 2015 г. новый сертификат будет настроен как текущий сертификат OAuthTokenIssuer, а "старый" сертификат OAuthTokenIssuer будет настроен как предыдущий.

Если вы не хотите использовать Windows PowerShell можно также использовать консоль MMC "Сертификаты" для экспорта сертификата с одного сервера переднего плана, а затем импорта этого же сертификата на все остальные серверы переднего плана. При этом вместе с сертификатом необходимо экспортировать закрытый ключ.

Осторожностью

В этом случае процедура должна выполняться на каждом сервере переднего плана. При экспорте и импорте сертификатов таким образом Skype для бизнеса Server не будет реплицировать этот сертификат на каждый сервер переднего плана.

После импорта сертификата на все серверы переднего плана его можно назначить с помощью мастера развертывания Skype для бизнеса Server вместо Windows PowerShell. Для назначения сертификата с помощью мастера развертывания выполните следующие действия на компьютере, где установлен мастер развертывания.

  1. Нажмите кнопку Пуск, все программы, Skype для бизнеса Server и мастер развертывания Skype для бизнеса Server.

  2. В мастере развертывания щелкните Установить или обновить Skype для бизнеса Server системе.

  3. На странице Skype для бизнеса Server нажмите кнопку Выполнить под заголовком Шаг 3. Запрос, установка или назначение сертификатов. (Примечание. Если вы уже установили сертификаты на этом компьютере, кнопка Выполнить будет помечена как Запустить еще раз.)

  4. В мастере сертификатов выберите сертификат OAuthTokenIssuer, затем нажмите кнопку Назначить.

  5. В мастере назначения сертификатов на странице Назначение сертификатов нажмите кнопку Далее.

  6. На странице Хранилище сертификатов выберите сертификат для применения при проверке подлинности между серверами, затем нажмите кнопку Далее.

  7. На странице "Сводка по назначениям сертификатов" нажмите кнопку Далее.

  8. На странице "Выполнение команд" нажмите кнопку Готово.

  9. Закройте мастер сертификатов и мастер развертывания.