none
【教程】更新Skype for Business边缘服务器证书 RRS feed

  • 常规讨论

  • Skype for Business边缘服务器中存在内外部两张网卡,承载多个服务(如下图)。其中需要配置证书的服务有:访问边缘服务,Web 会议边缘服务,A/V 身份验证服务(区别于“AV边缘服务”),边缘服务器内部服务。

    本文将介绍一下各个证书以及更新步骤。

    介绍:

    边缘内部服务证书可以使用由内部企业CA颁发的证书;访问边缘服务、Web 会议边缘服务、A/V 身份验证服务这三个服务需要使用公网CA颁发的证书。

    边缘内部服务的证书中需要使用边缘服务器FQDN作为证书的SN(使用者名称),如果组织拓扑中有多台边缘服务器组成边缘池,则使用边缘池FQDN作为证书的SN,不需要将各台边缘服务器FQDN作为证书的SAN(使用者替代名称)

    公网证书通常包含以下SAN access.<sip-domain>, sip.<sip-domain>, conf.<sip-domain> (见下图)。在生成证书请求文件过程中,部署向导会根据拓扑中所配置的信息自动配置这些信息。

    注:Skype for Business边缘服务器不支持使用通配符证书。

    更新:

    由于边缘服务器通常部署在DMZ区域,是非加域的服务器,一般先通过证书向导生成证书请求文件,再使用请求文件向CA申请证书,之后将申请好的证书导入服务器,最后将证书分配给服务。对于边缘内部和外部边缘证书,都可以按照以下步骤来更新证书。

    一、生成证书请求文件:(以外部边缘证书为例)

    1. 在边缘服务器中打开部署向导, 选择 “安装或更新 Skype for Business Server 系统” ,点击 “步骤 3 请求、 安装或分配证书。” 选项旁 “再次运行” 按钮,进入证书向导页面,选择需要更新的证书,单击 “请求” ;在延迟的请求或即时请求页上,选中现在准备请求,但稍后发送复选框。

    2. 证书请求文件页面中,指定证书请求文件的完整路径和文件名。

    3. 在接下来的 指定替代证书模板页面中,一般默认使用 “WebServer” 模板,不需要做修改。如果有特殊需求要使用其他模板,则需选中 使用选定证书颁发机构的备用证书模板复选框,指定模板名称。

    4. 在之后的页面中,设置证书的 友好名称 “位长度” (默认2048), “组织信息”

    ,“地理信息”等。注:一般可勾选将证书私钥标记为可导出复选框。

    5. 使用者名称/使用者替代名称页面中,向导将根据拓扑配置自动填充信息。

    6. 如果需要其他SAN或存在多个SIP域,可以在随后的步骤中指定。在使用者替代名称(SAN) SIP 域设置页面中,选中域复选框以向SAN列表中添加条目;在之后的配置其他使用者替代名称页面中,添加其他所需的SAN条目。

    7. 请求摘要页上,检查要用于生成请求的证书信息。确认无误后执行下一步命令,待命令运行成功后,系统会生成证书请求文件,存放在证书请求文件步骤中指定的路径下。

    至此,证书请求文件制作完毕,重复上述步骤申请“边缘内部“的证书请求文件。之后可通过这些文件向CA 申请证书。



    • 已编辑 ForumFAQ 2019年4月12日 8:52
    2019年4月12日 8:46

全部回复

  • 二、通过CA申请证书

    边缘内部证书可以使用企业CA颁发,外部边缘证书需要向公网CA提交请求。以下以内部CA为例:

    1. 打开CA页面,导航至申请证书页面,选择通过请求文件申请,打开证书请求文件,复制并粘贴证书签名请求 (CSR) 的内容,模板选择“Web Server”,提交申请。

    2. 提交请求后,CA会根据请求颁发证书,之后可以下载该证书(一般为*.cer格式)。

    外部边缘证书申请可联系公网CA供应商,如果其申请页面有其他选项,请指定以下信息:

    Microsoft 作为服务器平台;

    IIS 作为版本;

    Web Server 作为使用类型;

    PKCS7 作为响应格式。

     

    三、导入证书

    将从CA申请得到的证书(一般为*.cer)复制到提交申请的边缘服务器上,按以下步骤导入服务器中。

    1. 在证书向导页面中,选择“导入证书”选项;

    2. 导入证书页面中,单击浏览以查找到下载的证书文件,进行下一步。

    注:一般*.p7b *.cer证书不带私钥,*.pfx证书带私钥

    3. 在之后的 导入证书摘要页上,查看证书摘要,随后执行命令导入证书,检查命令执行结果,单击 完成以完成证书导入。

    重复以上步骤导入其他申请的证书。

     

    待证书导入完成后,在服务器上打开证书管理单元,依次展开证书(本地计算机)个人,单击证书,确认详细信息页面中该证书信息(带私钥)。

    四、分配证书

    待证书都导入完成后,可参照以下步骤给各个服务分配证书:

    1. 在证书向导页面中,选中需要分配证书的服务(边缘内部/外部边缘证书),点击右侧“分配”按钮,在“证书存储”页面中选择对应的证书。

    2. 查看“证书分配摘要”界面信息,确认证书信息无误后,单击 “下一步” ;运行命令分配证书, 在“正在执行命令” 界面中等待命令执行完毕,单击 “完成” ,返回证书向导。

    重复以上步骤给其他服务分配新的证书。

     

    3. 在证书向导中查看证书信息,确认信息无误后,关闭证书向导和部署向导。

     

    如果组织中包含多台边缘服务器,请在“证书控制台中将所需证书导出(带私钥),然后参照证书导入过程,将证书导入至其他边缘服务器,重复以上过程给服务分配证书。

     

    参考文档:

    https://docs.microsoft.com/zh-cn/lyncserver/lync-server-2013-plan-for-edge-server-certificates

    https://docs.microsoft.com/zh-cn/skypeforbusiness/deploy/deploy-edge-server/deploy-edge-servers#certificates

     

    希望以上内容对您有所帮助。如果您对此还有其他问题,欢迎随时来我们论坛提问 (点击文章页面左上角的“提出问题”按钮快速发帖)。

     

    关键字: LyncSkype for BusinessEdgecertificate,边缘服务器,证书,更新


    如果帖子有帮到您的话,请点击左上方“投票”按钮。这将帮到阅读到这个帖子的其他用户。

    • 已编辑 ForumFAQ 2019年4月12日 9:21
    2019年4月12日 8:50