設定前端伺服器的憑證
上次修改主題的時間: 2011-10-28
.gif "important") 重要事項: |
|---|
| 當您執行 [憑證精靈] 時,請確定您用來登入的帳戶,是具有您要使用之憑證範本類型適當權限的群組成員。依預設,Lync Server 憑證要求會使用 Web 伺服器憑證範本。如果您要以 RTCUniversalServerAdmins 群組成員的帳戶使用此範本來要求憑證,請確定群組具有使用該範本所需的註冊權限。 |
若要成功完成此程序,您應該以身為 RTCUniversalServerAdmins 群組成員或擁有正確委派之權限的使用者身分登入。如需委派權限的詳細資訊,請參閱委派設定權限。根據您的組織以及對要求憑證的需求,您可能需要其他群組成員資格。請向負責管理公開金鑰基礎結構 (PKI) 憑證授權單位 (CA) 的部門洽詢相關資訊。
.gif "note") 附註: |
|---|
| 除了 Lync 2010 Phone Edition 之外,Lync Server 2010 也支援在從執行 Windows Vista、Windows Server 2008、Windows Server 2008 R2 和 Windows 7 作業系統的用戶端進行連線時使用 SHA-256 憑證。為了支援使用 SHA-256 的外部存取,外部憑證由公用 CA 使用 SHA-256 發行。 |
每部前端伺服器最多需要三個憑證、一個預設憑證、一個內部 Web 憑證和一個外部 Web 憑證。但是,可以要求並指派一個具有合適主體別名項目的預設憑證。如需憑證需求的詳細資訊,請參閱內部伺服器的憑證需求。使用下列程序要求、指派和安裝前端伺服器憑證。為每個前端伺服器重複這個程序。
| 附註: |
|---|
| 在預設設定程序期間,僅存在一個要求的憑證。接收到的憑證將指派給前端伺服器。該憑證既將指派給前端伺服器角色,又將指派給前端伺服器上裝載的 Web 服務。 |
| 重要事項: |
|---|
| 下列程序描述了如何從組織部署的內部企業 PKI 以及如何透過離線要求處理設定憑證。若需從公用 CA 取得憑證的資訊,請參閱<規劃>文件的<內部伺服器的憑證需求>。此外,本程序還描述了如何在前端伺服器設定期間要求、指派和安裝憑證。如果您預先要求憑證 (如本<部署>文件中的<預先要求憑證 (選擇性)>一節所述),或者您不使用組織中部署的內部企業 PKI 取得憑證,則您必須根據需要修改本程序。 |
若要為前端伺服器設定憑證
在 [Lync Server 部署精靈] 中,按一下 [執行],旁邊即是 [步驟 3:要求、安裝或指派憑證]。
.jpg "步驟 3:要求、安裝或指派憑證")
在 [憑證精靈] 頁面中,按一下 [要求]。
.jpg "憑證精靈:選取憑證")
在 [憑證要求] 頁面上,按 [下一步]。
在 [延遲或立即要求] 頁面上,按 [下一步],可以接受預設的 [立即將此要求傳送到線上憑證授權單位]。選取此選項之後,可以使用具有自動線上註冊功能的內部 CA。如果您選擇此選項延遲要求,則系統會提示您輸入名稱和位置,以儲存憑證要求檔案。憑證要求必須由組織內的 CA 或公用 CA 提供和處理。您需要匯入憑證回應並將其指派給合適的憑證角色。
![[延遲或立即要求] 對話方塊](images/gg398995.3c975bfe-abb0-453f-b4e8-8070264c7559(ocs.14).jpg "[延遲或立即要求] 對話方塊")
在 [選擇憑證授權單位 (CA)] 頁面上,選擇 [從您環境中偵測到的清單選取 CA] 選項,然後從清單中選擇一個已知 (在 Active Directory 網域服務 (AD DS) 上註冊) CA。或者,選擇 [請指定其他憑證授權單位] 選項,在方塊中輸入其他 CA 的名稱,然後按 [下一步]。
![[選擇憑證授權單位] 對話方塊](images/gg398995.0ff96fdc-7f13-49b7-8e45-2e9596e9d63e(ocs.14).jpg "[選擇憑證授權單位] 對話方塊")
在 [憑證授權單位帳戶] 頁面上,系統將會提示您輸入要求和處理 CA 中憑證要求的認證。您需要確定預先要求憑證是否需要使用者名稱和密碼。您的 CA 管理員瞭解必需資訊,並且可以在本步驟中為您提供協助。如果您需要提供其他憑證,請選取該核取方塊,在文字方塊中輸入使用者名稱和密碼,然後按 [下一步]。
![[憑證授權單位帳戶] 對話方塊](images/gg398995.f84ffc34-87fc-4846-9473-bd76064b627e(ocs.14).jpg "[憑證授權單位帳戶] 對話方塊")
在 [指定其他憑證範本] 頁面上,若要使用預設 Web 伺服器範本,請按 [下一步]。
附註:如果您的組織已建立了一個範本,用作預設 Web 伺服器 CA 範本的替代範本,請選取該核取方塊,然後輸入該替代範本的名稱。您需要 CA 管理員定義的範本名稱。 ![[指定替代憑證範本] 對話方塊](images/gg412818.ef4c8364-20e0-442f-9a25-0ce57cfbce1f(ocs.14).jpg "[指定替代憑證範本] 對話方塊")
在 [名稱和安全性設定] 頁面上,指定一個 [易記名稱],以允許您辨識憑證和瞭解用途。如果您將其留空,則會自動產生一個名稱。設定金鑰的 [位元長度],或接受預設的 2048 個位元。如果確定需要將該憑證和私密金鑰移動或複製到其他系統,請選擇 [將憑證的私密金鑰標示為可匯岀],然後再按 [下一步]。
附註:Lync Server 2010 對可匯出的私密金鑰的需求最低。例如集區中的 Edge Server,它上面的媒體轉送驗證服務會使用憑證的副本,而不使用集區中各執行個體的個別憑證。 ![[名稱和安全性設定] 頁面](images/gg398995.d5983eaf-6ba2-43e2-990b-2aa230d7bf67(ocs.14).jpg "[名稱和安全性設定] 頁面")
在 [組織資訊] 頁面上,可以提供組織資訊,然後按 [下一步]。
在 [地理資訊] 頁面上,可以提供地理資訊,然後按 [下一步]。
在 [主體名稱 / 主體別名] 頁面上,檢閱將要新增的主體別名,然後按 [下一步]。
![[主體名稱/主體別名] 頁面](images/gg398995.684df4e3-abf5-49cd-9097-b1101e20a21e(ocs.14).jpg "[主體名稱/主體別名] 頁面")
在 [SIP 網域設定] 頁面上,選取 [SIP 網域],然後按 [下一步]。
![[SAN 上的 SIP 網域設定] 對話方塊](images/gg398995.ccfe99bc-b8c6-4831-bb6b-baec792677a9(ocs.14).jpg "[SAN 上的 SIP 網域設定] 對話方塊")
在 [設定其他主體別名] 頁面上,新增任何其他必要的主體別名,包括其他 SIP 網域將來可能需要的主體別名,然後按 [下一步]。
.jpg "設定其他主體別名")
在 [憑證要求摘要] 頁面上,檢閱摘要中的資訊。如果資訊是正確的,請按 [下一步]。如果需要更正或修改某項設定,請按 [上一步],回到相應的頁面進行更正或修改。
![[憑證要求摘要] 頁面](images/gg398995.1f362fc5-8073-452c-b928-1666f97d757e(ocs.14).jpg "[憑證要求摘要] 頁面")
在 [執行命令] 頁面上,按 [下一步]。
![[執行命令] 頁面](images/gg412818.cd42a3ae-176d-4b5c-af0c-b1a7509bb7ee(ocs.14).jpg "[執行命令] 頁面")
在 [線上憑證要求狀態] 頁面上,檢閱傳回的資訊。請注意,憑證已核發並且已安裝到本機憑證存放區。如果報告憑證已核發並安裝,但是無效,則請確保已在伺服器之受信任的根 CA 存放區中安裝了 CA 根憑證。若要瞭解如何擷取受信任的根 CA 憑證,請參閱您的 CA 文件。若需檢視擷取的憑證,請按一下 [檢視憑證的詳細資料]。根據預設,[將此憑證指派到 Lync Server 憑證使用方式] 的核取方塊已核取。如果您希望手動指派憑證,請清除該核取方塊,然後按一下 [完成]。
![[線上憑證要求狀態] 對話方塊](images/gg398995.68532894-b91c-4ca9-b6b8-07809c853d5f(ocs.14).jpg "[線上憑證要求狀態] 對話方塊")
在上一頁中清除 [將此憑證指派到 Lync Server 憑證使用方式] 的核取方塊之後,您將會看到 [憑證指派] 頁面。按 [下一步]。
![[憑證指派] 對話方塊](images/gg398995.bb0aa52e-3ede-48c5-af29-75ced8c77bb3(ocs.14).jpg "[憑證指派] 對話方塊")
在 [憑證存放區] 頁面上,選取要求的憑證。若要檢視憑證,請按一下 [檢視憑證的詳細資料],然後再按 [下一步] 繼續。
附註:如果 [線上憑證要求狀態] 頁面報告一個憑證問題,如憑證無效,則可透過檢視真實憑證來協助解決該問題。上述可導致憑證無效的兩個特定問題為:受信任的根 CA 憑證遺失,與該憑證關聯的私密金鑰遺失。若要解決這兩個問題,請參閱您的 CA 文件。 ![[線上憑證要求狀態] 頁面](images/gg398995.430e9f02-b6fe-4070-b016-a70d4959d3e6(ocs.14).jpg "[線上憑證要求狀態] 頁面")
在 [憑證指派摘要] 頁面上,檢閱提供的資訊,確保該憑證即是要指派的憑證,然後按 [下一步]。
![[憑證指派摘要] 頁面](images/gg398995.acc6a075-1057-4fae-a98a-c812a16e8fbf(ocs.14).jpg "[憑證指派摘要] 頁面")
在 [執行命令] 頁面上,檢閱命令的輸出。若要檢閱指派程序或如果發岀了錯誤或警告,請按一下 [檢視記錄檔]。檢閱記錄檔完成後,按一下 [完成]。
![[執行命令] 頁面](images/gg398995.e7c5f0cd-e8fe-4079-893e-8f6a2c30370a(ocs.14).jpg "[執行命令] 頁面")
在 [憑證精靈] 頁面上,驗證憑證的 [狀態] 是否為「已指派」,然後按一下 [關閉]。
![[憑證精靈] 頁面](images/gg398995.f6804db7-b39f-49bc-bbf0-49b0024e6a55(ocs.14).jpg "[憑證精靈] 頁面")