Atribuindo um certificado de autenticação de servidor para servidor ao Microsoft Lync Server 2013

 

Tópico última modificação: 24-10-2013

Para determinar se um certificado de autenticação de servidor para servidor já foi atribuído ao Microsoft Lync Server 2013, execute o seguinte comando no Shell de Gerenciamento do Lync Server 2013:

Get-CsCertificate -Type OAuthTokenIssuer

Se nenhuma informação de certificado for retornada, você deverá atribuir um certificado emissor de token antes de poder usar a autenticação servidor- servidor. Como regra geral, qualquer certificado do Lync Server 2013 pode ser usado como seu certificado OAuthTokenIssuer; por exemplo, seu certificado padrão do Lync Server 2013 também pode ser usado como o certificado OAuthTokenIssuer. (O certificado OAUthTokenIssuer também pode ser qualquer certificado de servidor Web que inclua o nome do seu domínio SIP no campo Assunto.) Os dois principais requisitos para o certificado usado para autenticação de servidor para servidor são estes: 1)o mesmo certificado deve ser configurado como o certificado OAuthTokenIssuer em todos os seus Servidores Front-End; e, 2) o certificado deve ter pelo menos 2.048 bits.

Se você não tiverum certificado que possa ser usado para autenticação servidor-servidor, é possível obter um novo certificado, importá-lo e usar para autenticação servidor-servidor. Depois de solicitar e obter o novo certificado, você poderá fazer logon em qualquer um dos servidores front-end e usar um comando Windows PowerShell semelhante a este para importar e atribuir esse certificado:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

No comando anterior, o parâmetro Path representa o caminho completo para o arquivo de certificado e o parâmetro Password representa a senha atribuída ao certificado. Esse procedimento deve ser executado apenas uma vez: o serviço de replicação do Lync Server criará automaticamente um conjunto de tarefas agendadas que descriptografarão e implantarão o certificado em todos os servidores front-end.

Como alternativa, é possível usar um certificado existente como seu certificado de autenticação servidor-servidor. (Conforme mostrado, o certificado padrão pode ser usado como o certificado de autenticação de servidor para servidor.) O seguinte par de comandos Windows PowerShell recupera o valor da propriedade impressão digital do certificado padrão e, em seguida, usa esse valor para tornar o certificado padrão o certificado de autenticação de servidor para servidor:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

No comando anterior, o certificado recuperado é configurado para funcionar como o certificado de autenticação global de servidor para servidor; isso significa que o certificado será replicado e usado por todos os seus Servidores Front-End. Novamente, esse comando só deve ser executado uma vez e somente em um de seus Servidores Front-End. Embora todos os Servidores Front-End devem usar o mesmo certificado, você não deve configurar o certificado OAuthTokenIssuer em cada Servidor Front-End. Em vez disso, configure o certificado uma vez e, em seguida, permita que o servidor de replicação do Lync Server cuide da cópia desse certificado para cada servidor.

O Set-CsCertificate cmdlet usa o certificado em questão e configura imediatamente esse certificado para atuar como o certificado OAuthTokenIssuer atual. (O Lync Server 2013 mantém duas cópias de um tipo de certificado: o certificado atual e o certificado anterior.) Se você precisar que o novo certificado comece imediatamente a agir como o certificado OAuthTokenIssuer, use o cmdlet Set-CsCertificate usuário.

Também é possível usar o cmdlet Set-CsCertificate para "criar" um novo certificado. "Criar" um certificado simplesmente significa que você configura um novo certificado para se tornar o certificado OAuthTokenIssuer atual em um determinado ponto no tempo. Por exemplo, esse comando recupera o certificado padrão e, em seguida, configura esse certificado para assumir como o certificado OAuthTokenIssuer atual a partir de 1º de julho de 2012:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2012" -Roll

Em 1º de julho de 2012, o novo certificado será configurado como o certificado OAuthTokenIssuer atual e o certificado OAuthTokenIssuer "antigo" será configurado como o certificado anterior.

Se você não quiser usar o Windows PowerShell também poderá usar o console do MMC de Certificados para exportar um certificado de um Servidor Front-End e, em seguida, importar esse mesmo certificado em todos os outros Servidores Front-End. Se você fizer isso, certifique-se de exportar a chave privada junto com o próprio certificado.

Aviso

Nesse caso, o procedimento deve ser executado em cada Servidor Front-End. Ao exportar e importar certificados dessa maneira, o Lync Server 2013 não replicará esse certificado para cada Servidor Front-End.

Depois que o certificado tiver sido importado para todos os servidores front-end, esse certificado poderá ser atribuído usando o Assistente de Implantação do Lync Server em vez de Windows PowerShell. Para atribuir um certificado usando o Assistente de Implantação, conclua as seguintes etapas em um computador no qual o Assistente de Implantação tenha sido instalado:

  1. Clique em Iniciar, em Todos os Programas, no Microsoft Lync Server 2013 e no Assistente de Implantação do Lync Server.

  2. No Assistente de Implantação, clique em Instalar ou Atualizar Sistema de Servidor do Lync.

  3. Na página Do Microsoft Lync Server 2013, clique no botão Executar sob o título Etapa 3: Solicitar, Instalar ou Atribuir Certificados. (Observação: Se você já tiver instalado certificados neste computador, o botão Executar será chamado Executar novamente.)

  4. No Assistente de Certificado, selecione o certificado OAuthTokenIssuer e clique em Atribuir.

  5. No assistente de Atribuição de Certificado, na página Atribuição de certificado, clique em Avançar.

  6. Na página Repositório de Certificado, selecione o certificado a ser usado para autenticação servidor-servidor e clique em Avançar.

  7. Na página Resumo da Atribuição de Certificado, clique em Avançar.

  8. Na página Executando Comandos, clique em Concluir.

  9. Feche o Assistente de Certificado e Assistente de Implantação.