Affectation d’un certificat d’authentification de serveur à serveur à Microsoft Lync Server 2013
Rubrique Dernière modification : 2013-10-24
Pour déterminer si un certificat d’authentification de serveur à serveur a déjà été affecté à Microsoft Lync Server 2013, exécutez la commande suivante à partir de Lync Server 2013 Management Shell :
Get-CsCertificate -Type OAuthTokenIssuer
Si aucune information de certificat n’est retournée, vous devez attribuer un certificat d’émetteur de jeton avant de pouvoir utiliser l’authentification de serveur à serveur. En règle générale, tout certificat Lync Server 2013 peut être utilisé comme certificat OAuthTokenIssuer ; Par exemple, votre certificat par défaut Lync Server 2013 peut également être utilisé comme certificat OAuthTokenIssuer. (Le certificat OAUthTokenIssuer peut également être n’importe quel certificat de serveur web qui inclut le nom de votre domaine SIP dans le champ Objet.) Les deux principales conditions requises pour le certificat utilisé pour l’authentification de serveur à serveur sont les suivantes : 1) le même certificat doit être configuré en tant que certificat OAuthTokenIssuer sur tous vos serveurs frontaux ; et, 2) le certificat doit être d’au moins 2 048 bits.
Si vous n’avez pas de certificat à même de servir pour l’authentification de serveur à serveur, vous pouvez obtenir un nouveau certificat, l’importer, puis l’utiliser pour l’authentification de serveur à serveur. Une fois que vous avez demandé et obtenu le nouveau certificat, vous pouvez vous connecter à l’un de vos serveurs frontaux et utiliser une commande Windows PowerShell similaire à celle-ci pour importer et affecter ce certificat :
Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx -Password "P@ssw0rd"
Dans la commande précédente, le paramètre Path représente le chemin d’accès complet au fichier du certificat et le paramètre Password correspond au mot de passe affecté au certificat. Cette procédure ne doit être exécutée qu’une seule fois : le service de réplication de Lync Server crée automatiquement un ensemble de tâches planifiées qui déchiffrent et déploient le certificat sur tous vos serveurs frontaux.
Une autre solution consiste à utiliser un certificat existant comme certificat pour votre authentification de serveur à serveur. (Comme indiqué, le certificat par défaut peut être utilisé comme certificat d’authentification de serveur à serveur.) La paire de commandes Windows PowerShell suivante récupère la valeur de la propriété d’empreinte numérique du certificat par défaut, puis utilise cette valeur pour faire du certificat par défaut le certificat d’authentification de serveur à serveur :
$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x
Dans la commande précédente, le certificat récupéré est configuré pour fonctionner en tant que certificat d’authentification de serveur à serveur global ; cela signifie que le certificat sera répliqué et utilisé par tous vos serveurs frontaux. Là encore, cette commande ne doit être exécutée qu’une seule fois, et uniquement sur l’un de vos serveurs frontaux. Bien que tous les serveurs frontaux doivent utiliser le même certificat, vous ne devez pas configurer le certificat OAuthTokenIssuer sur chaque serveur frontal. Au lieu de cela, configurez le certificat une seule fois, puis laissez le serveur de réplication de Lync Server s’occuper de copier ce certificat sur chaque serveur.
L’applet de commande Set-CsCertificate prend le certificat en question et configure immédiatement ce certificat pour qu’il agisse comme le certificat OAuthTokenIssuer actuel. (Lync Server 2013 conserve deux copies d’un type de certificat : le certificat actuel et le certificat précédent.) Si vous avez besoin du nouveau certificat pour commencer immédiatement à agir en tant que certificat OAuthTokenIssuer, vous devez utiliser l’applet de commande Set-CsCertificate.
Vous pouvez également utiliser l’applet de commande Set-CsCertificate pour « transmettre » un nouveau certificat. « Transmettre » un certificat revient simplement à configurer un nouveau certificat pour qu’il devienne le certificat OAuthTokenIssuer actif à un moment précis. Par exemple, cette commande récupère le certificat par défaut, puis configure ce certificat pour qu’il remplace le certificat OAuthTokenIssuer actuel à compter du 1er juillet 2012 :
$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2012" -Roll
Le 1er juillet 2012, le nouveau certificat sera configuré en tant que certificat OAuthTokenIssuer actuel et l'« ancien » certificat OAuthTokenIssuer sera configuré comme certificat précédent.
Si vous ne souhaitez pas utiliser Windows PowerShell, vous pouvez également utiliser la console Certificates MMC pour exporter un certificat à partir d’un serveur frontal, puis importer ce même certificat sur tous vos autres serveurs frontaux. En pareil cas, veillez à exporter la clé privée en plus du certificat proprement dit.
Avertissement
Dans ce cas, la procédure doit être effectuée sur chaque serveur frontal. Lors de l’exportation et de l’importation de certificats de cette manière, Lync Server 2013 ne réplique pas ce certificat sur chaque serveur frontal.
Une fois le certificat importé sur tous vos serveurs frontaux, ce certificat peut être affecté à l’aide de l’Assistant Déploiement de Lync Server au lieu de Windows PowerShell. Pour affecter un certificat par le biais de l’Assistant Déploiement, effectuez la procédure ci-dessous sur un ordinateur sur lequel l’Assistant est installé :
Cliquez sur Démarrer, sur Tous les programmes, sur Microsoft Lync Server 2013, puis sur l’Assistant Déploiement de Lync Server.
Dans l’Assistant Déploiement, cliquez sur Installer ou mettre à jour le système de serveur Lync.
Dans la page Microsoft Lync Server 2013, cliquez sur le bouton Exécuter sous l’en-tête Étape 3 : Demander, installer ou affecter des certificats. (Remarque : Si vous avez déjà installé des certificats sur cet ordinateur, le bouton Exécuter s’appelle Réexécuter.)
Dans l’Assistant Certificat, sélectionnez le certificat OAuthTokenIssuer, puis cliquez sur Affecter.
Dans l’Assistant Assignation de certificat, dans la page Affectation de certificat, cliquez sur Suivant.
Dans la page Magasin de certificats, sélectionnez le certificat à utiliser pour l’authentification de serveur à serveur, puis cliquez sur Suivant.
Dans la page Résumé de l’affectation du certificat, cliquez sur Suivant.
Dans la page Exécution de commandes, cliquez sur Terminer.
Fermez l’Assistant Certificat et l’Assistant Déploiement.