Request-CsCertificate
上次修改主題的時間: 2012-04-23
提供一種方式,要求憑證以搭配執行 Microsoft Lync Server 2010 的伺服器和伺服器角色使用。此外,也提供一種方式,檢查現有憑證要求的狀態及 (如果需要) 取消任何 (或所有) 要求。
語法
Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
詳細描述
Lync Server 2010 使用憑證作為一種讓伺服器和伺服器角色確認其身分的方法;例如,Edge Server 會使用憑證確認與其通訊的電腦是否真的是前端伺服器,反之亦然。若要完整實作 Lync Server,您必須將適當的憑證指派給適當的伺服器角色。
要求憑證以便搭配 Lync Server 使用的其中一個方法是呼叫 Request-CsCertificate 指令程式。雖然可以使用其他標準 Windows 工具來要求憑證以便搭配 Lync Server 使用,但是,使用 Request-CsCertificate 的其中一個主要優點是,該指令程式將會先分析您的拓撲,之後才連絡憑證授權單位 (CA)。根據該分析,Request-CsCertificate 將會使用適當的 [主體名稱] 及 [主體別名] 欄位自動要求憑證。
Request-CsCertificate 是特別針對要求搭配 Lync Server 使用的憑證而設計,而不是針對進行所有用途的憑證管理工具而設計。
除了要求新的憑證之外,這個指令程式也可以用來檢閱任何擱置的憑證要求;前提是,那些是使用 Request-CsCertificate 所做的要求。Request-CsCertificate 也可以用來刪除擱置的憑證要求,前提是,那些是使用該指令程式所做的要求。
在嘗試擷取憑證要求時,如果您有任何撤銷的要求,可能會收到錯誤訊息;目前 Request-CsCertificate 僅支援下列要求類型:發行、拒絕和擱置。如果您因為撤銷的憑證而遇到問題,請使用類似下列的命令來清除撤銷的要求 (224 是撤銷的憑證要求的 RequestID):
Request-CsCertificate –Clear –RequestID 224
之後,您應該就能夠擷取憑證要求。
誰可以執行這個指令程式:您必須是本機系統管理員,且具有指定之憑證授權單位的權限,才能在本機執行 Request-CsCertificate 指令程式。若要傳回所有獲指派此 Cmdlet 的角色存取控制 (RBAC) 角色清單 (包括您自行建立的自訂 RBAC 角色),請在 Windows PowerShell 提示字元中執行下列命令:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}
參數
| 參數 | 必要 | 類型 | 說明 |
|---|---|---|---|
Type |
必要 |
字串 |
要求的憑證類型。憑證類型包括 (但不限於): AccessEdgeExternal AudioVideoAuthentication DataEdgeExternal Default External Internal iPhoneAPNService iPadAPNService MPNService PICWebService (僅限 Microsoft Lync Online 2010) ProvisionService (僅限 Microsoft Lync Online 2010) WebServicesExternal WebServicesInternal WsFedTokenTransfer 例如,以下這個語法要求一個新預設憑證:-Type Default。 您可以在單一命令中以逗號隔開憑證類型,以指定多種類型: -Type Internal,External,Default |
CA |
選用 |
字串 |
指向 CA 的完整網域名稱 (FQDN)。例如:-CA "atl-ca-001.litwareinc.com\myca"。若要取得已知 CA 的清單,請在 Windows PowerShell 提示字元下輸入下列字串,然後按下 ENTER: certutil 由 Certutil 傳回的 Config 屬性會指出 CA 的位置。 |
CaAccount |
選用 |
字串 |
要求新憑證之使用者的帳戶名稱,使用 domain_name\user_name 格式。例如:-CaAccount "litwareinc\kenmyer"。如果未指定,Request-CsCertificate 將使用要求新憑證時所登入之使用者的憑證。 |
CaPassword |
選用 |
字串 |
要求新憑證之使用者的密碼 (使用 CaAccount 參數指定)。 |
City |
選用 |
字串 |
將要部署憑證的城市。 |
Clear |
選用 |
切換參數 |
此參數存在時,會刪除使用 Request-CsCertificate 所做的所有擱置中憑證要求。 |
ClientEKU |
選用 |
布林值 |
如果要使用憑證來進行用戶端驗證,請將此參數設為 True。如果您希望您的使用者能夠與擁有 AOL 帳戶的人員交換立即訊息,則需要這種類型的驗證。參數名稱的 EKU 部分是 Extended Key Usage (擴充金鑰使用方法) 的縮寫;擴充金鑰使用方法欄位會列出有效的憑證使用方法。 |
ComputerFqdn |
選用 |
字串 |
要求憑證之電腦的 FQDN。此參數存在時,會強制 Request-CsCertificate 連線至中央管理存放區,以找出指定的電腦。要求憑證時,即使是要求集區憑證,一律應該使用電腦名稱。Request-CsCertificate 指令程式會自動將集區名稱新增至使用此指令程式所取得之任何憑證的主體名稱。 |
Country |
選用 |
字串 |
將要部署憑證的國家/地區。 |
DomainName |
選用 |
字串 |
逗號分隔的完整網域名稱清單應該新增至憑證的 [主體替代名稱] 欄位中。例如: -DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com" |
FriendlyName |
選用 |
字串 |
使用者指派的名稱,這個名稱較容易識別憑證。 |
GlobalCatalog |
選用 |
字串 |
網域中的通用類別目錄伺服器的 FQDN。如果您要在電腦上使用網域中的帳戶執行 Request-CsCertificate,則不需要此參數。 |
GlobalSettingsDomainController |
選用 |
字串 |
儲存通用設定之網域控制站的 FQDN。如果通用設定儲存在 Active Directory 網域服務 (AD DS) 的系統容器中,則此參數必須指向根網域控制站。如果通用設定儲存在設定容器中,則可以使用任何網域控制站,而且可以省略此參數。 |
KeyAlg |
選用 |
PS 清單修飾詞 |
表示用來為新憑證產生公開金鑰與私密金鑰的密碼編譯演算法類型。有效的金鑰演算法包括: RSA ECDH_P256 ECDH_P384 ECDH_P521 |
KeySize |
選用 |
整數 |
表示憑證使用的私密金鑰大小 (以位元為單位)。金鑰越大越安全,但需要更多額外處理工作才能解密。 有效金鑰大小為:1024、2048 和 4096。例如:-KeySize 2048。 |
List |
選用 |
切換參數 |
此參數存在時,會列出使用 Request-CsCertificate 所做的所有擱置中憑證要求。 |
New |
選用 |
切換參數 |
此參數存在時,表示您要要求新的憑證。 |
Organization |
選用 |
字串 |
要求新憑證之組織的名稱。例如:-Organization "Litwareinc"。 |
OU |
選用 |
字串 |
將被指派新憑證之電腦的 Active Directory 組織單位。 |
Output |
選用 |
字串 |
憑證檔案的路徑。如果您想要建立離線憑證要求,請使用 Output 參數,並指定憑證要求的檔案路徑;例如:-Output C:\Certificates\NewCertificate.pfx。這樣會建立憑證要求檔,此檔案可以透過電子郵件寄給憑證授權單位以進行處理。 |
PrivateKeyExportable |
選用 |
布林值 |
如果您希望憑證的私密金鑰變成可以匯出,請將此參數設為 True。當私密金鑰可以匯出時,即可複製該憑證並在多台電腦上使用。 |
RequestID |
選用 |
整數 |
與憑證要求相關聯的識別碼。RequestID 參數會提供一種方式,讓您列出、擷取或清除個別的憑證。 |
Retrieve |
選用 |
切換參數 |
此參數存在時,會擷取使用 Request-CsCertificate 所做的所有擱置中憑證要求,並嘗試完成作業及匯入要求的憑證。 |
State |
選用 |
字串 |
將要部署憑證的美國州名。例如:-State WA。 |
Template |
選用 |
字串 |
表示產生新憑證時要使用的憑證範本;例如:-Template "WebServer"。要求的範本必須安裝在 CA 上。請注意,輸入的值必須是範本名稱,而非範本顯示名稱。 |
Force |
選用 |
切換參數 |
隱藏顯示當執行命令時可能發生的任何非嚴重錯誤訊息。 |
Report |
選用 |
字串 |
可讓您指定在指令程式執行時所建立記錄檔的檔案路徑。例如:-Report "C:\Logs\Certificates.html" |
WhatIf |
選用 |
切換參數 |
描述執行命令後的結果,但無須實際執行命令。 |
Confirm |
選用 |
切換參數 |
執行命令前先要求您確認。 |
輸入類型
無。Request-CsCertificate 不接受管線傳送的輸入。
傳回類型
無。反之,Request-CsCertificate 有助於管理 Microsoft.Rtc.Management.Deployment.CertificateReference 物件的執行個體。
範例
-------------------------- 範例 1 -----------------------
Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"
範例 1 所示的命令會建立新的憑證要求:它會連絡 CA atl-ca-001.litwareinc.com\myca 並要求新的 WebServicesExternal 憑證。
-------------------------- 範例 2 -----------------------
Request-CsCertificate -List
以上的命令會列出使用 Request-CsCertificate 所做的所有擱置中憑證要求。
-------------------------- 範例 3 -----------------------
Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer
範例 3 會使用 Output 參數建立離線憑證要求。
-------------------------- 範例 4 -----------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"
上述範例詳細 (更實際) 說明如何使用 Request-CsCertificate。此範例要求一個與 Lync Server 標準版搭配使用的憑證
-------------------------- 範例 5 -----------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"
在範例 5 中,要求一個與 Lync Server 企業版搭配使用的集區憑證
-------------------------- 範例 6 -----------------------
Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"
上述範例顯示如何要求一個用於內部 Edge Server 的憑證。
-------------------------- 範例 7 -----------------------
Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"
範例 7 是範例 6 所示命令的另一種變化。但在此例中,要求是針對外部 Edge Server。