Compartilhar via

Solicitar e configurar um certificado para seu proxy HTTP reverso no Lync Server 2013

  • Artigo

 

Tópico última modificação: 14/02/2014

Você precisa instalar o certificado de AC (autoridade de certificação) raiz no servidor que executa o Microsoft Forefront Threat Management Gateway 2010 ou o ARR do IIS para a infraestrutura de AC que emitiu os certificados do servidor para os servidores internos que executam o Microsoft Lync Server 2013.

Você também deve instalar um certificado de servidor Web público no servidor proxy reverso. Os nomes alternativos da entidade desse certificado devem conter os FQDNs (nomes de domínio totalmente qualificados) externos publicados de cada pool que é o lar dos usuários habilitados para acesso remoto e os FQDNs externos de todos os diretores ou pools de diretores que serão usados dentro dessa infraestrutura do Edge. O nome alternativo da entidade também deve conter a URL simples da reunião, a URL simples de discagem e, se você estiver implantando aplicativos móveis e planeja usar a descoberta automática, a URL externa do Serviço de Descoberta Automática, conforme mostrado na tabela a seguir.

Valor Exemplo

Nome da entidade

FQDN do pool

webext.contoso.com

Nome alternativo de entidade

FQDN do pool

webext.contoso.com

Importante

O nome da entidade também deve estar presente no nome alternativo da entidade.

Nome alternativo de entidade

Serviços Web de Diretor Opcional (se o Diretor for implantado)

webdirext.contoso.com

Nome alternativo de entidade

URL simples de reunião

Nota

Todas as URLs simples de reunião devem estar no nome alternativo da entidade. Cada domínio SIP deve ter pelo menos uma URL simples de reunião ativa.

meet.contoso.com

Nome alternativo de entidade

URL simples de discagem

dialin.contoso.com

Nome alternativo de entidade

Servidor Office Web Apps

officewebapps01.contoso.com

Nome alternativo de entidade

URL do Serviço de Descoberta Automática Externa

lyncdiscover.contoso.com

Nota

Se você também estiver usando Microsoft Exchange Server também precisará configurar regras de proxy reverso para a Descoberta Automática do Exchange e URLs de serviços Web.

Nota

Se sua implantação interna consistir em mais de um servidor Standard Edition ou pool de Front-Ends, você deverá configurar regras de publicação na Web para cada FQDN de farm externo e precisará de um certificado e ouvinte da Web para cada um deles, ou deverá obter um certificado cujo nome alternativo da entidade contenha os nomes usados por todos os pools, atribua-o a um ouvinte da Web e compartilhe-o entre várias regras de publicação na Web.

Criar uma solicitação de certificado

Você cria uma solicitação de certificado no proxy reverso. Você cria uma solicitação em outro computador, mas deve exportar o certificado assinado com a chave privada e importá-lo para o proxy reverso depois de receber da autoridade de certificação pública.

Nota

Uma solicitação de certificado ou uma CSR (solicitação de assinatura de certificado) é uma solicitação a uma AC (autoridade de certificação) pública confiável para validar e assinar a chave pública do computador solicitante. Quando um certificado é gerado, uma chave pública e uma chave privada são criadas. Somente a chave pública é compartilhada e assinada. Como o nome indica, a chave pública é disponibilizada para qualquer solicitação pública. A chave pública é para uso por clientes, servidores e outros solicitantes que precisam trocar informações com segurança e validar a identidade de um computador. A chave privada é mantida protegida e é usada somente pelo computador que criou o par de chaves para descriptografar mensagens criptografadas com sua chave pública. A chave privada pode ser usada para outras finalidades. Para fins de proxy reverso, a codificação de dados é o uso principal. Secundáriamente, a autenticação de certificado no nível da chave de certificado é outro uso e é limitada apenas à validação de que um solicitante tem a chave pública do computador ou que o computador para o qual você tem uma chave pública é, na verdade, o computador que ele declara ser.

Ponta

Se você planejar seus certificados do Servidor de Borda e seus certificados de proxy reverso ao mesmo tempo, deverá observar que há uma grande semelhança entre os dois requisitos de certificado. Ao configurar e solicitar o certificado do Servidor de Borda, combine o Servidor de Borda e os nomes alternativos da entidade de proxy reverso. Você pode usar o mesmo certificado para o proxy reverso se exportar o certificado e a chave privada e copiar o arquivo exportado para o proxy reverso e, em seguida, importar o par certificado/chave e atribuí-lo conforme necessário nos próximos procedimentos. Consulte os requisitos de certificado para o Plano do Servidor de Borda para certificados do Servidor de Borda no Lync Server 2013 e o resumo do certificado de proxy reverso – proxy reverso no Lync Server 2013. Certifique-se de criar o certificado com uma chave privada exportável. A criação do certificado e da solicitação de certificado com uma chave privada exportável é necessária para servidores de borda em pool, portanto, essa é uma prática normal e o Assistente de Certificado no Assistente de Implantação do Lync Server para o Servidor de Borda permitirá que você defina o sinalizador Tornar chave privada exportável. Depois de receber a solicitação de certificado de volta da autoridade de certificação pública, você exportará o certificado e a chave privada. Consulte a seção "Para exportar o certificado com a chave privada para servidores de borda em um pool" no tópico Configurar certificados para a interface de borda externa do Lync Server 2013 para obter detalhes sobre como criar e exportar seu certificado com uma chave privada. A extensão do certificado deve ser do tipo .pfx.

Para gerar uma solicitação de assinatura de certificado no computador em que o certificado e a chave privada serão atribuídos, faça o seguinte:

Criando uma solicitação de assinatura de certificado

  1. Abra o MMC (Console de Gerenciamento Microsoft), adicione o snap-in Certificados e selecione Computadores e, em seguida, expanda Pessoal. Para obter detalhes sobre como criar um console de certificados no MMC (Console de Gerenciamento Microsoft), consulte https://go.microsoft.com/fwlink/?LinkId=282616.

  2. Clique com o botão direito do mouse em Certificados, clique em Todas as Tarefas, em Operações Avançadas e em Criar Solicitação Personalizada.

  3. Na página Registro de Certificado , clique em Avançar.

  4. Na página Selecionar Política de Registro de Certificado em Solicitação Personalizada, selecione Continuar sem política de registro. Click Next.

  5. Na página Solicitação Personalizada , para a chave Herdada de seleção de modelo (sem modelo). A menos que seja direcionado de outra forma pelo provedor de certificado, deixe Suprimir extensões padrão desmarcadas e a seleção de formato de solicitação no PKCS nº 10. Click Next.

  6. Na página Informações do Certificado , clique em Detalhes e em Propriedades.

  7. Na página Propriedades do Certificado, na guia Geral , no campo Nome Amigável, digite um nome para esse certificado. Opcionalmente, digite uma descrição no campo Descrição . O Nome Amigável e a descrição normalmente são usados pelo Administrador para identificar qual é a finalidade do certificado, como o Ouvinte de Proxy Reverso para o Lync Server.

  8. Selecione a guia Assunto. Em Nome da entidade do Tipo, selecione Nome comum para o tipo de nome da entidade. Para o Valor, digite o nome da entidade que você usará para o proxy reverso e clique em Adicionar. No exemplo fornecido na tabela neste tópico, o nome da entidade é webext.contoso.com e seria digitado no campo Valor para o nome da entidade.

  9. Na guia Assunto , em Nome alternativo, selecione DNS na lista suspensa para Tipo. Para cada nome alternativo de assunto definido que você precisa no certificado, digite o nome de domínio totalmente qualificado e clique em Adicionar. Por exemplo, na tabela há três nomes alternativos de assunto, meet.contoso.com, dialin.contoso.com e lyncdiscover.contoso.com. No campo Valor , digite meet.contoso.com e clique em Adicionar. Repita para cada nome alternativo de assunto que você precisa definir.

  10. Na página Propriedades do Certificado, clique na guia Extensões. Nesta página, você definirá as finalidades de chave de criptografia no uso de chave e o uso estendido de chave no Uso Estendido de Chave (políticas de aplicativo).

  11. Clique na seta de uso da chave para mostrar as opções disponíveis. Em Opções disponíveis, clique em Assinatura digital e, em seguida, clique em Adicionar. Clique em Codificação de chave e, em seguida, clique em Adicionar. Se a caixa de seleção Tornar esses usos de chave críticos estiver desmarcada , marque a caixa de seleção.

  12. Clique na seta Uso Estendido de Chave (políticas de aplicativo) para mostrar as opções disponíveis. Em Opções disponíveis, clique em Autenticação de Servidor e, em seguida, clique em Adicionar. Clique em Autenticação de Cliente e, em seguida, clique em Adicionar. Se a caixa de seleção Tornar os Usos de Chave Estendida críticos estiver marcada, desmarque a caixa de seleção. Ao contrário da caixa de seleção Uso de chave (que deve ser marcada), você deve ter certeza de que a caixa de seleção Uso estendido de chave não está marcada.

  13. Na página Propriedades do Certificado, clique na guia Chave Privada. Clique na seta Opções de tecla. Para o tamanho da chave, selecione 2048 na lista suspensa. Se você estiver gerando esse par de chaves e CSR em um computador diferente do proxy reverso para o qual esse certificado se destina, selecione Tornar a chave privada exportável.

    segurança Observação de segurança:
    Selecionar Tornar uma chave privada exportável geralmente é recomendável quando você tem mais de um proxy reverso em um farm, pois você copiará o certificado e a chave privada para cada computador no farm. Se você permitir uma chave privada exportável, deverá tomar cuidado extra com o certificado e o computador no qual ele é gerado. A chave privada, se comprometida, renderizará o certificado inútil, bem como potencialmente exporá o computador ou computadores a acesso externo e outras vulnerabilidades de segurança.

  14. Na guia Chave Privada , clique na seta de tipo de tecla. Selecione a opção Exchange .

  15. Clique em OK para salvar as Propriedades do Certificado que você definiu.

  16. Na página Registro de Certificado , clique em Avançar.

  17. Na página Onde você desejasalvar a solicitação offline? Você será solicitado a fornecer um Nome de Arquivo e um Formato de Arquivo para salvar a solicitação de assinatura de certificado.

  18. No campo de entrada Nome do Arquivo, digite um caminho e um nome de arquivo para a solicitação ou clique em Procurar para selecionar um local para o arquivo e digite o nome do arquivo para a solicitação.

  19. Para formato de arquivo, clique em Base 64 ou Binário. Selecione Base 64 , a menos que você seja instruído de outra forma pelo fornecedor para seus certificados.

  20. Localize o arquivo de solicitação que você salvou na etapa anterior. Envie para sua autoridade de certificação pública.

    Importante

    A Microsoft identificou ACs públicas que atendem aos requisitos para fins de Comunicação Unificada. Uma lista é mantida no artigo base de dados de conhecimento seguir. https://go.microsoft.com/fwlink/?LinkId=282625