在 Lync Server 2013 中为内部边缘接口设置证书

 

上次修改的主题: 2013-11-07

重要

运行证书向导时,请确保使用一个帐户登录,该帐户是已为你将使用的证书模板类型分配了相应权限的组的成员。 默认情况下,Lync Server 2013 证书请求将使用 Web Server 证书模板。 如果使用 RTCUniversalServerAdmins 组成员的帐户使用此模板请求证书,请验证该组是否已分配使用该模板所需的注册权限。

每个 Edge Server 的内部接口上都需要一个证书。 内部接口证书可由内部企业证书颁发机构 (CA) 或公共 CA 颁发。 如果组织部署了内部 CA,则可以使用内部 CA 为内部接口颁发证书,从而节省使用公共证书的费用。 可以使用内部 Windows Server 2008 CA 或 Windows Server 2008 R2 CA 创建这些证书。

有关此证书和其他证书要求的详细信息,请参阅 Lync Server 2013 中外部用户访问的证书要求

若要在站点的内部边缘接口上设置证书,请使用本部分中的过程执行以下操作:

  1. 将内部接口的 CA 认证链下载到每个 Edge Server。

  2. 在每个 Edge Server 上导入内部接口的 CA 认证链。

  3. 在一个名为第一个 Edge Server 的 Edge Server 上,为内部接口创建证书请求。

  4. 导入第一个 Edge Server 上内部接口的证书。

  5. 在此站点的其他边缘服务器上导入证书 (或部署在此负载均衡器) 后面。

  6. 为每个 Edge Server 的内部接口分配证书。

如果有多个站点具有边缘服务器 (,即多站点边缘拓扑) 或部署在不同负载均衡器后面的单独边缘服务器集,则需要针对每个具有边缘服务器的站点以及部署在不同负载均衡器后面的每组边缘服务器执行以下步骤。

注意

本部分中的过程步骤基于使用 Windows Server 2008 CA、Windows Server 2008 R2 CA、Windows Server 2012 CA 或 Windows Server 2012 R2 CA 为每个 Edge Server 创建证书。 有关任何其他 CA 的分步指南,请参阅该 CA 的文档。 默认情况下,所有经过身份验证的用户都有权请求证书。
本部分中的过程基于在边缘服务器上创建证书请求作为 Edge Server 部署过程的一部分。 可以使用前端服务器创建证书请求。 在开始部署 Edge Server 之前,可以在规划和部署过程中提前完成证书请求。 为此,必须确保请求的证书是使用可导出的私钥定义的。
本部分中的过程介绍如何为证书使用 .cer 和 .p7b 文件。 如果使用不同类型的文件,请根据需要修改这些过程。

使用 certsrv 网站下载内部接口的 CA 认证链

  1. 登录到内部网络 (中的 Lync Server 2013 服务器,而不是作为 管理员 组成员) 边缘服务器。

  2. 单击“ 开始”,单击 “运行”,然后键入以下内容,在命令提示符处运行以下命令:

    https://<name of your Issuing CA Server>/certsrv
    

    例如:

    https://ca01.contoso.net/certsrv
    

    注意

    如果使用的是 Windows Server 2008 或 Windows Server 2008 R2 企业版 CA,则必须使用 https,而不是 http。

  3. 在发证 CA 的 certsrv 网页上,在“选择任务”下,单击“下载 CA 证书、证书链或 CRL”。

  4. “下载 CA 证书”、“证书链”或“CRL”下,单击 “下载 CA 证书”链

  5. “文件下载 ”对话框中,单击 “保存”。

  6. 将 .p7b 文件保存到服务器上的硬盘驱动器,然后将其复制到每个 Edge Server 上的文件夹。

    注意

    .p7b 文件包含证书路径中的所有证书。 若要查看认证路径,请打开服务器证书并单击认证路径。

使用 MMC 导出内部接口的 CA 认证链

  1. 可以使用 Microsoft 管理控制台 (MMC) 从任何已加入域的计算机导出 CA 根证书。 单击 “开始”,单击 “运行”,然后键入 MMC

  2. 在 MMC 控制台中,单击 “文件”,单击 “添加/删除”。

  3. “添加或删除管理单元” 对话框列表中,选择 “证书”,然后单击 “添加”。 出现提示时,选择 “计算机帐户”。 在“选择计算机”对话框中,选择“本地计算机”。 单击“完成”。 单击“确定”。

  4. 展开 证书 (本地计算机) 。 展开 受信任的根证书颁发机构,选择 “证书”。

  5. 单击由 CA 颁发的根证书。 右键单击证书,选择 “所有任务”,选择“ 导出”。 证书导出向导将打开。

  6. 在“证书导出向导”中,单击“下一步”。

  7. 在“ 导出文件格式” 对话框中,选择要导出到的格式。 建议使用 加密消息语法标准 - PKCS #7 证书 (。P7B) . 如果选择 加密消息语法标准 - PKCS #7 证书 (。P7B) ,如果可能,请选 中“包含证书路径中的所有证书 ”复选框以导出证书链,包括根 CA 证书和任何中间 CA 证书。 单击" 下一步"。

  8. 在文件名条目的 “文件导 出”对话框中,键入路径和文件名 (默认扩展名为 .p7b) 导出的证书。 (可选)单击 “浏览”,找到要将导出的证书放入其中的目录,并为导出的证书提供名称。 单击“保存”。 单击" 下一步"。

  9. 查看操作摘要,然后单击 “完成 ”以完成证书的导出。 单击“确定”确认导出成功。

导入内部接口的 CA 认证链

  1. 在每个边缘服务器上,单击“开始”,单击“运行”,在“打开”框中键入 mmc,然后单击“确定”,打开 Microsoft 管理控制台 (MMC) 。

  2. “文件” 菜单上,单击 “添加/删除管理单元”,然后单击 “添加”。

  3. “添加独立管理 单元”框中,单击 “证书”,然后单击 “添加”。

  4. 在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。

  5. “选择计算机 ”对话框中,确保 本地计算机: (此主机在选中) 复选框上运行的计算机,然后单击 “完成”。

  6. 单击 “关闭”,然后单击 “确定”。

  7. 在控制台树中,展开 “证书” (本地计算机) ,右键单击 “受信任的根证书颁发机构”,指向 “所有任务”,然后单击“ 导入”。

  8. 在向导中,在 “要导入的文件”中,指定证书 (的文件名,即在上一过程中下载内部接口的 CA 认证链时指定的名称) 。

  9. 在每个 Edge Server 上重复此过程。

为内部接口创建证书请求

  1. 在其中一台边缘服务器上,启动部署向导,然后在 步骤 3:请求、安装或分配证书旁边,单击 “运行”。

    注意

    如果池中的一个位置中有多个边缘服务器,则可以在任何一个边缘服务器上运行证书向导。
    首次运行步骤 3 后,按钮将更改为 “再次运行”,在请求、安装和分配所有需要证书之前,不会显示指示任务成功完成的绿色复选标记。

  2. 在“可用的证书任务”页上,单击“创建新的证书请求”。

  3. “证书请求 ”页上,单击 “下一步”。

  4. 在“延迟的请求或即时请求”页上,单击“现在准备请求,但稍后发送”。

  5. “证书请求文件” 页上,键入要将请求保存到的完整路径和文件名 (例如 c:\cert_internal_edge.cer) 。

  6. “指定备用证书模板” 页上,若要使用默认 WebServer 模板以外的模板,请选 中所选证书颁发机构复选框的“使用备用证书模板 ”。

  7. “名称和安全设置” 页上,执行以下操作:

    • “友好名称”中,键入证书 (的显示名称,例如内部边缘) 。

    • 位长度中,通常指定位长度 (,默认值为 2048) 。

      注意

      较高的位长度提供更高的安全性,但它们会对速度产生负面影响。

    • 如果证书需要可导出,请选中 “标记证书私钥”作为可导出复 选框。

  8. “组织信息 ”页上,键入组织名称和组织单位 (OU) (,例如,部门或部门) 。

  9. 在“ 地理信息” 页上,指定位置信息。

  10. “使用者名称/使用者备用名称” 页上,将显示向导自动填充的信息。

  11. 在“ 配置其他使用者备用名称” 页上,指定所需的任何其他使用者替代名称。

  12. “请求摘要 ”页上,查看将用于生成请求的证书信息。

  13. 命令完成后,执行以下操作:

    • 若要查看证书请求的日志,请单击 “查看日志”。

    • 若要完成证书请求,请单击 “下一步”。

  14. “证书请求文件” 页上,执行以下操作:

    • 若要查看生成的证书签名请求 (CSR) 文件,请单击 “查看”。

    • 若要关闭向导,请单击“完成”。

  15. 通过电子邮件或组织支持企业 CA) 的其他方法将此文件提交到 CA (,并在收到响应文件时将新证书复制到此计算机,使其可供导入。

导入内部接口的证书

  1. 以本地管理员组的成员身份登录到创建证书请求的边缘服务器。

  2. 在“部署向导”中,在 “步骤 3:请求、安装或分配证书”旁边,单击 “再次运行”。

    首次运行步骤 3 后,按钮将更改为 “再次运行”,但一个绿色复选标记 (指示任务) 已成功完成,直到所有要求证书都已请求、安装和分配为止。

  3. “可用证书任务 ”页上,单击 “从其中导入证书”。P7b、.pfx 或 .cer 文件

  4. 在“ 导入证书 ”页上,键入为此 Edge Server (的内部接口请求和接收的证书的完整路径和文件名,或者单击 “浏览” 查找并选择文件) 。

  5. 如果要为池的其他成员导入包含私钥的证书,请选择 包含证书文件的私钥 复选框并指定密码。

使用池中边缘服务器的私钥导出证书

  1. 以管理员组成员身份登录到导入证书的同一 Edge Server。

  2. 单击 “开始”,单击 “运行”,然后键入 MMC

  3. 在 MMC 控制台中,单击 “文件”,单击 “添加/删除管理单元”。

  4. 在“添加或删除管理单元”页上,单击 “证书”,然后单击 “添加”。

  5. 在“证书管理单元”对话框中,选择 “计算机帐户”。 单击" 下一步"。 在“选择计算机”中,选择 “本地计算机”: (此主机在) 上运行的计算机 。 单击“完成”。 单击 “确定 ”以完成 MMC 控制台的配置。

  6. 双击“证书(本地计算机)”展开证书存储。 双击 “个人”,然后双击 “证书”。

    重要

    如果本地计算机的证书个人存储中没有证书,则没有与导入的证书关联的私钥。 查看请求和导入步骤。 如果问题仍然存在,请与证书颁发机构管理员或提供商联系。

  7. 在本地计算机的证书个人存储中,右键单击要导出的证书。 单击 “所有任务”,单击“ 导出”。

  8. 在“证书导出向导”中,单击 “下一步”。 选择“是,导出私钥”。 单击“下一步”。

    注意

    如果选择 “是”,则导出私钥 不可用,则未标记与此证书关联的私钥进行导出。 需要再次请求证书,确保证书被标记为允许导出私钥,然后才能继续导出。 联系证书颁发机构管理员或提供商。

  9. 在“导出文件格式”对话框中,选择 “个人信息交换 - PKCS#12 (”。PFX) ,然后选择以下内容:

    • 如果可能,请在认证路径中包含所有证书

    • 导出所有扩展属性

      警告

      从 Edge 服务器导出证书时, 如果导出成功,请勿选择“删除私钥”。 选择此选项需要将证书和私钥导入到此 Edge 服务器。

    单击“下一步”继续。

  10. 如果要分配密码来保护私钥,请键入私钥的密码。 重新输入密码以进行确认。 单击" 下一步"。

  11. 为导出的证书键入路径和文件名,并使用文件扩展名 .pfx。 路径必须可供池中所有其他 Edge 服务器访问,也可以通过可移动媒体(例如 USB 闪存驱动器)进行传输。 单击" 下一步"。

  12. 查看“完成证书导出向导”对话框的摘要。 单击“完成”。

  13. 在成功导出对话框中单击“确定”。

  14. 按照 为 Lync Server 2013 过程的外部边缘接口设置证书 中所述的步骤,将导出的证书文件导入到其他 Edge 服务器。

在 Edge Server 上分配内部证书

  1. 在每个边缘服务器上的部署向导中,在 步骤 3:请求、安装或分配证书旁边, 单击“再次运行”。

  2. “可用证书任务 ”页上,单击 “分配现有证书”。

  3. 在“证书分配”页上,选择列表中的“边缘内部”。

  4. “证书存储” 页上,从上一过程) 中选择为内部边缘 (导入的证书。

  5. “证书分配摘要 ”页上,查看设置,然后单击 “旁边 ”分配证书。

  6. 在向导完成页上,单击“完成”。

  7. 使用此过程分配内部边缘证书后,在每台服务器上打开证书管理单元,展开 “证书” (本地计算机) ,展开 “个人”,单击 “证书”,然后在详细信息窗格中验证是否列出了内部边缘证书。

  8. 如果部署包含多个 Edge Server,请针对每个 Edge Server 重复此过程。