將伺服器對伺服器驗證憑證指派給商務用 Skype Server

  • 發行項

總結: 指派商務用 Skype Server 的伺服器對伺服器驗證憑證。

若要判斷伺服器對伺服器驗證憑證是否已指派給商務用 Skype Server,請從商務用 Skype Server 管理命令介面執行下列命令:

Get-CsCertificate -Type OAuthTokenIssuer

如果未傳回憑證資訊,您必須先指派令牌發行者憑證,才能使用伺服器對伺服器驗證。 一般而言,任何商務用 Skype Server 憑證都可以做為您的 OAuthTokenIssuer 憑證;例如,您的商務用 Skype Server 預設憑證也可以做為 OAuthTokenIssuer 憑證。 (OAUthTokenIssuer 憑證也可以是任何 Web 伺服器憑證,其中包含主旨欄位中的 SIP 網域名稱。) 伺服器對伺服器驗證所用憑證的主要兩個需求如下:1) 同一個憑證必須在所有前端伺服器上設定為 OAuthTokenIssuer 憑證;而且,2) 憑證必須至少為 2048 位。

如果您沒有可用於伺服器對伺服器驗證的憑證,您可以取得新的憑證、匯入新憑證,然後使用該憑證進行伺服器對伺服器驗證。 在您要求並取得新憑證之後,您可以登入任何一個前端伺服器,並使用類似此憑證的 Windows PowerShell 命令匯入及指派憑證:

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

在上述命令中,Path 參數代表憑證檔案的完整路徑,而密碼參數代表指派給憑證的密碼。 這個程式應該只執行一次:商務用Skype Server複寫服務會自動建立一組排程工作,將憑證解密並部署到所有前端伺服器。

或者,您可以使用現有的憑證做為伺服器對伺服器驗證憑證。 (如所述,默認憑證可以做為伺服器對伺服器驗證憑證使用。) 下列一組 Windows PowerShell 命令會擷取預設憑證的 ThumbPrint 屬性值,然後使用該值將預設憑證設為伺服器對伺服器驗證憑證:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

在上述命令中,擷取的憑證設為全域伺服器對伺服器驗證憑證;這表示憑證會複製到您所有的 Front End Server 並加以使用。 同樣地,此命令應該只會在其中一個前端伺服器上執行一次。 雖然所有前端伺服器都必須使用相同的憑證,但您不應該在每個前端伺服器上設定 OAuthTokenIssuer 憑證。 請改為設定一次憑證,然後讓商務用Skype Server複寫伺服器負責將該憑證複製到每個伺服器。

Set-CsCertificate Cmdlet 會取得有問題的憑證,並立即將該憑證設定為目前的 OAuthTokenIssuer 憑證。 (商務用 Skype Server 會保留兩個憑證類型的複本:目前的憑證和先前的憑證。) 如果您需要新憑證立即開始做為 OAuthTokenIssuer 憑證,那麼您應該使用 Set-CsCertificate Cmdlet。

您也可以使用 Set-CsCertificate Cmdlet 來「捲起」新的憑證。 「卷動」憑證只是表示您在指定的時間點設定新憑證,以成為目前的 OAuthTokenIssuer 憑證。 例如,此命令會擷取預設憑證,然後將該憑證設定為截至 2015 年 7 月 1 日的目前 OAuthTokenIssuer 憑證:

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2015" -Roll

新憑證將於 2015 年 7 月 1 日設定為目前的 OAuthTokenIssuer 憑證,而「舊」OAuthTokenIssuer 憑證將設為上一個憑證。

如果您不想使用 Windows PowerShell,也可以使用憑證 MMC 主機從一個前端伺服器導出憑證,然後在所有其他前端伺服器上匯入相同的憑證。 如果您這麼做,請務必連同憑證本身一起匯出私鑰。

謹慎

在此情況下,必須在每個前端伺服器上執行程式。 以這種方式導出及匯入憑證時,商務用Skype Server不會將該憑證複製到每個前端伺服器。

將憑證匯入到所有前端伺服器之後,該憑證就可以使用商務用 Skype Server 部署精靈來指派,而不是使用 Windows PowerShell。 若要使用部署精靈指派憑證,請在已安裝部署精靈的計算機上完成下列步驟:

  1. 選取 [開始],選取 [所有程式],按兩下 [商務用Skype Server],然後按兩下 [ 商務用Skype Server 部署精靈]

  2. 在部署精靈中,按兩下 [安裝或更新商務用Skype Server系統]

  3. 在商務用 Skype Server 頁面上,按下步驟 3:要求、安裝或指派憑證標題底下的 [執行] 按鈕。 (注意:如果您已經在這台計算機上安裝憑證,則 [ 執行 ] 按鈕會標示為 [ 再次執行]。)

  4. 在 [憑證精靈] 中,選取 OAuthTokenIssuer 憑證 ,然後按兩下 [ 指派]

  5. 在 [憑證指派] 精靈的 [ 憑證指派 ] 頁面上,按兩下 [ 下一步]

  6. 在 [ 憑證存放區 ] 頁面上,選取要用於伺服器對伺服器驗證的憑證,然後按 [ 下一步]

  7. 在 [憑證作業摘要] 頁面上,按兩下 [ 下一步]

  8. 在 [執行命令] 頁面上,按兩下 [ 完成]

  9. 關閉憑證精靈和部署精靈。