《统一沟通-微软-实战》-6-部署-5-边缘服务器-2012-07-12-2-B
2012-07-13 22:24
369 查看
作者:刘 金 丰
时间:2012-06-25 7:00
地点:
第一次:D3056 上海虹桥-汉口 动车上
第二次:Z25 武昌-上海南
1. 准备-在外围网络中安装服务器
2. 定义-发布-边缘拓扑
3. 安装边缘服务器
4. 为反向代理设置证书
5. 设置反向代理服务器
6. internet-DNS
7. 配置对外部用户访问的支持
8. 验证边缘部署
3.3.设置边缘证书
此主题尚未评级 评价此主题
上一次修改主题: 2010-11-07
安装边缘服务器时,需要为内部和外部接口请求、安装并分配所需证书。
本部分内容
外部用户访问的证书要求
为内部边缘接口设置证书
为外部边缘接口设置证书
为反向代理设置证书
3.3.1.为内部边缘接口设置证书
此主题尚未评级 评价此主题
上一次修改主题: 2011-10-28
每台边缘服务器的内部接口都需要一个证书。内部接口的证书可以由内部企业证书颁发机构 (CA) 或公共 CA 颁发。如果组织已部署内部 CA,则通过使用内部 CA 为内部接口颁发证书可以节省使用公用证书的开支。可以使用内部 Windows Server 2008 CA 或 Windows Server 2008 R2 CA 创建这些证书。
有关证书的这一要求以及其他要求的详细信息,请参阅外部用户访问的证书要求。
要设置某个站点的内部边缘接口上的证书,请使用本节中的过程执行以下操作:
1. 将内部接口的 CA 证书链下载到每台边缘服务器。
2. 在每台边缘服务器上为内部接口导入 CA 证书链。
3. 在一台边缘服务器(称为第一台边缘服务器)上为内部接口创建证书请求。
4. 在第一台边缘服务器上为内部接口导入证书。
5. 在此站点(或部署在此负载平衡器之后)的其他边缘服务器上导入该证书。
6. 为每台边缘服务器的内部接口分配证书。
如果多个站点都有边缘服务器(即多站点边缘拓扑),或不同组的边缘服务器部署在不同的负载平衡器之后,则需要按照上述步骤对每个有边缘服务器的站点以及每组部署在不同负载平衡器之后的边缘服务器进行操作。
为内部接口下载 CA 证书链
1. 以 Administrators 组的成员身份登录到内部网络中的 Lync Server 2010 服务器(即非边缘服务器)。
2. 在命令提示符下运行以下命令,方法是单击“开始”,再单击“运行”,然后键入以下命令:
复制
https://<name of your Issuing CA Server>/certsrv
3. 在发证 CA 的 certsrv 网页上,在“选择任务”下,单击“下载 CA 证书、证书链或 CRL”。
4. 在“下载 CA 证书、证书链或 CRL”下,单击“下载 CA 证书链”。
5. 在“文件下载”对话框中,单击“保存”。
6. 将 .p7b 文件保存到服务器的硬盘上,然后将其复制到每台边缘服务器的文件夹中。
为内部接口导入 CA 证书链
1. 在每台边缘服务器上打开 Microsoft 管理控制台 (MMC),方法是依次单击“开始”、“运行”,在“打开”框中键入 mmc,然后单击“确定”。
2. 在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
3. 在“添加独立管理单元”框中,单击“证书”,然后单击“添加”。
4. 在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。
5. 在“选择计算机”对话框中,确保选中“本地计算机: (运行此控制台的计算机)”复选框,然后单击“完成”。
6. 单击“关闭”,然后单击“确定”。
7. 在控制台树中,展开“证书(本地计算机)”,右键单击“受信任的根证书颁发机构”,指向“所有任务”,然后单击“导入”。
8. 在向导的“要导入的文件”中,指定证书的文件名(即在前面过程中为内部接口下载 CA 证书链时指定的名称)。
再次-访问:
https://DC.uc-cn.net/Certsrv
已是受信任的网站了。
9. 在每台边缘服务器上重复此过程。
为内部接口创建证书申请
1. 在其中一台边缘服务器上启动部署向导,然后单击“步骤 3: 请求、安装或分配证书”旁边的“运行”。
2. 在“可用的证书任务”页上,单击“创建新的证书请求”。
3. 在“证书请求”页上,单击“下一步”。
4. 在“延迟的请求或即时请求”页上,单击“现在准备请求,但稍后发送”。
5. 在“证书请求文件”页上,键入要向其保存请求的完整路径和文件名(例如,c:\cert_internal_edge.cer)。
6. 在“指定备用证书模板”页上,要使用除默认 WebServer 模板之外的模板,请选中“使用选定证书颁发机构的备用证书模板”复选框。
7. 在“名称和安全设置”页上,执行以下操作:
o 在“友好名称”中,键入证书的显示名称(例如,内部边缘)。
o 在“位长度”中,指定位长度(通常为默认值“2048”)。
o 要使证书可以导出,请选中“将证书的私钥标记为可导出”复选框。
8. 在“组织信息”页上,键入组织名称和组织单位 (OU)(例如分部或部门)。
9. 在“地理信息”页上,指定位置信息。
10. 在“使用者名称/使用者替代名称”页上,将显示向导自动填充的信息。
11. 在“配置其他使用者替代名称”页上,指定所需的任何其他使用者替代名称。
12. 在“请求摘要”页上,检查要用于生成请求的证书信息。
13. 完成命令后,请执行以下操作:
o 要查看证书请求的日志,请单击“查看日志”。
o 要完成证书请求,请单击“下一步”。
14. 在“证书请求文件”页上,执行以下操作:
o 要查看生成的证书签名请求 (CSR) 文件,请单击“查看”。
o 要关闭向导,请单击“完成”。
15. 将此文件提交给 CA(通过电子邮件或组织对企业 CA 支持的其他方法),并在收到回复文件时将新证书复制到此计算机,以使该证书可供导入。
注意:
1)如果你未购买公网证书,则将此文件复制到你的CA服务器,申请,导出,再复制到边缘服务器,导入,分配证书
2)如果你已购买公网证书,则将此文件中内容复制到公网证书颁发机构的网站中,申请证书、导出证书,再复制到边缘服务器,导入,分配证书
将-申请-到-证书-复制-到-边缘服务器。
为内部接口导入证书
1. 以本地 Administrators 组成员的身份登录到在其上创建了证书请求的边缘服务器。
2. 在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
首次运行步骤 3 后,按钮会更改为“重新运行”,但只有在请求、安装和分配所有所需证书后,才会显示绿色复选标记(指示任务成功完成)。
3. 在“可用的证书任务”页上,单击“从 .P7b, .pfx 或 .cer 文件导入证书”。
4. 在“导入证书”页上,键入为此边缘服务器的内部接口请求并接收的证书的完整路径和文件名(或单击“浏览”找到并选择该证书)。
5. 如果要为池中的其他成员导入证书,且证书包含私钥,请选中“证书文件包含证书的私钥”复选框并指定密码。
、
为池中的边缘服务器导出包含私钥的证书
1. 以 Administrators 组成员的身份登录到导入了证书的同一台边缘服务器。
2. 依次单击“开始”和“运行”,再键入 MMC。
3. 从 MMC 控制台中,单击“文件”,再单击“添加/删除管理单元”。
4. 从“添加或删除管理单元”页中,单击“证书”,再单击“添加”。
5. 在“证书管理单元”对话框中,选择“计算机帐户”。单击“下一步”。在“选择计算机”中,选择“本地计算机: (运行此控制台的计算机)”。单击“完成”。单击“确定”完成对 MMC 控制台的配置。
6. 双击“证书(本地计算机)”扩展证书存储。双击“个人”,然后双击“证书”。
7. 在本地计算机的证书个人存储中,右键单击要导出的证书。单击“所有任务”,再单击“导出”。
8. 在证书导出向导中,单击“下一步”。选择“是,导出私钥”。单击“下一步”。
9. 在“导出文件格式”对话框中,选择“个人信息交换 - PKCS #12 (.PFX)”,然后选择以下选项:
o 如果可能,则数据包括证书路径中的所有证书
o 导出所有扩展属性
10. 单击“下一步”继续。
11. 键入私钥的密码。重新输入该密码以进行确认。单击“下一步”。
12. 为导出的证书键入路径和文件名,并使用文件扩展名 .pfx。该路径必须可由池中的所有其他边缘服务器访问,或者可通过可移动媒体(例如,USB 闪存驱动器)传输。单击“下一步”。
13. 查看“正在完成证书导出向导”对话框中的摘要。单击“完成”。
14. 在成功导出对话框中单击“确定”。
15. 按照为外部边缘接口设置证书过程中所述的步骤进行操作,将导出的证书文件导入其他边缘服务器中。
在边缘服务器上分配内部证书
1. 对于每台边缘服务器,在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
2. 在“可用的证书任务”页上,单击“分配现有证书”。
3. 在“证书分配”页上,选择列表中的“边缘内部”。
4. 在“证书存储”页上,选择为内部边缘导入的证书(在前面过程中)。
5. 在“证书分配摘要”页上,检查设置,然后单击“下一步”以分配证书。
6. 在向导完成页上,单击“完成”。
7. 使用此过程分配内部边缘证书后,在每台服务器上打开“证书”管理单元,依次展开“证书(本地计算机)”、“个人”,单击“证书”,然后确认详细信息窗格中是否列出了内部边缘证书。
8. 如果部署中包含多台边缘服务器,请对每台边缘服务器重复此过程。
3.3.2.为外部边缘接口设置证书
此主题尚未评级 评价此主题
上一次修改主题: 2011-10-28
每台边缘服务器都要求外围网络和 Internet 之间的接口上有一个公共证书,且证书的使用者替代名称必须包含访问边缘服务的外部名称和 Web 会议边缘服务的完全限定的域名 (FQDN)。
有关证书的这一要求以及其他要求的详细信息,请参阅外部用户访问的证书要求。
有关提供符合统一通信证书的特定要求的证书,并与 Microsoft 具有伙伴关系以确保其可以使用 Lync Server 证书向导的公共证书颁发机构 (CA) 列表,请参阅 Microsoft 知识库文章 929395“Exchange Server 和 Communications Server 的统一通信证书合作伙伴”,网址为 http://go.microsoft.com/fwlink/?linkid=202834&clcid=0x804。
在外部接口上配置证书
要在站点的外部边缘接口上设置证书,请使用本节中的过程执行下列操作:
为边缘服务器的外部接口创建证书请求。
将请求提交给公共 CA。
为每台边缘服务器的外部接口导入证书。
为每台边缘服务器的外部接口分配证书。
如果部署中包含多台边缘服务器,请导出证书及其私钥,并将其复制到其他边缘服务器。然后,在每台边缘服务器上导入证书及其私钥,并按之前描述的方法进行分配。在每台边缘服务器上重复此过程。
可以直接向公共证书颁发机构 (CA) 请求公共证书(例如从公共 CA 的网站)。本节中的过程使用证书向导执行大部分证书任务。如果选择直接向公共 CA 请求证书,则需要适当修改每个步骤,以请求、传输和导入证书及导入证书链。
向外部 CA 请求证书时,提供的凭据必须具有向该 CA 请求证书的权限。每个 CA 都具有定义允许哪些凭据(即特定用户名和组名称)请求、颁发、管理或读取证书的安全策略。
如果决定使用证书 Microsoft 管理控制台 (MMC) 导入证书链和证书,则必须将其导入计算机的证书存储。如果将其导入用户证书存储或服务证书存储,将无法在 Lync Server 证书向导中分配证书。
为边缘服务器的外部接口创建证书请求
1. 对于边缘服务器,在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
2. 在“可用的证书任务”页上,单击“创建新的证书请求”。
3. 在“证书请求”页上,单击“外部边缘证书”。
4. 在“延迟的请求或即时请求”页上,选中“现在准备请求,但稍后发送”复选框。
5. 在“证书请求文件”页上,键入要向其保存请求的文件的完整路径和文件名(例如,c:\cert_exernal_edge.cer)。
6. 在“指定备用证书模板”页上,要使用除默认 WebServer 模板之外的模板,请选中“使用选定证书颁发机构的备用证书模板”复选框。
7. 在“名称和安全设置”页上,执行以下操作:
o 在“友好名称”中,键入证书的显示名称。
o 在“位长度”中,指定位长度(通常为默认值“2048”)。
o 验证是否选中了“将证书私钥标记为可导出”复选框。
8. 在“组织信息”页上,键入组织和组织单位(例如,分部或部门)的名称。
9. 在“地理信息”页上,指定位置信息。
10. 在“使用者名称/使用者替代名称”页上,将显示向导自动填充的信息。如果需要其他使用者替代名称,可以在接下来的两个步骤中指定。
11. 在“使用者替代名称(SAN)的 SIP 域设置”页上,选中域复选框以向使用者替代名称列表中添加 sip.<sipdomain> 条目。
12. 在“配置其他使用者替代名称”页上,指定所需的任何其他使用者替代名称。
13. 在“请求摘要”页上,检查要用于生成请求的证书信息。
14. 命令运行完成后,执行以下操作:
o 要查看证书请求的日志,请单击“查看日志”。
o 要完成证书请求,请单击“下一步”。
15. 在“证书请求文件”页上,执行以下操作:
o 要查看生成的证书签名请求 (CSR) 文件,请单击“查看”。
o 要关闭向导,请单击“完成”。
16. 将输出文件复制到从中可将该文件提交给公共 CA 的位置。
将-申请-到-证书-复制-到-边缘服务器。
为边缘服务器的外部接口创建证书请求以支持与 AOL 的公共 IM 连接
1. 如果所需模板可供 CA 使用,请使用以下 Windows PowerShell cmdlet 在边缘服务器上请求证书:
复制
Request-CsCertificate -New -Type AccessEdgeExternal -Output C:\ <certfilename.txt or certfilename.csr> -ClientEku $true -Template <template name>
Lync Server 2010 中提供的模板的默认证书名称是 Web Server。仅当需要使用与默认模板不同的模板时指定 <模板名称>。
向公共证书颁发机构提交请求
1. 打开输出文件。
2. 复制并粘贴证书签名请求 (CSR) 的内容。
3. 如果出现提示,请指定以下各项:
o Microsoft 作为服务器平台。
o IIS 作为版本。
o Web Server 作为使用类型。
o PKCS7 作为响应格式。
4. 公共 CA 验证了您的信息之后,您会收到一封电子邮件,其中包含证书所需的文本。
5. 将电子邮件中的文本复制并保存到本地计算机上的一个文本文件 (.txt) 中。
为边缘服务器的外部接口导入证书
1. 以 Administrators 组成员的身份登录在其中创建了证书请求的边缘服务器。
2. 在部署向导中的“部署边缘服务器”页上,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
3. 在“可用的证书任务”页上,单击“从 .p7b、pfx 或 .cer 文件导入证书”。
4. 在“导入证书”页上,单击“浏览”以查找和选择为边缘服务器的外部接口请求的证书(或者,您也可以键入完整路径和文件名)。如果该证书包含私钥,请选择“证书文件包含证书的私钥”并键入该私钥的密码。单击“下一步”。
5. 在“导入证书摘要”页上,查看摘要,然后单击“下一步”。
6. 在“执行命令”上,查看导入的结果,单击“查看日志”以按需了解更多信息,然后单击“完成”以完成证书导入。
7. 如果配置的是边缘服务器池,可以按照本主题后面的“为池中的边缘服务器导出包含私钥的证书”部分所述的操作导出包含私钥的证书。将导出的证书复制到其他边缘服务器,然后导入到每台边缘服务器上的计算机存储。
为池中的边缘服务器导出包含私钥的证书
1. 以 Administrators 组成员的身份登录到导入了证书的同一台边缘服务器。
2. 依次单击“开始”和“运行”,再键入 MMC。
3. 在 Microsoft 管理控制台 (MMC) 中,单击“文件”,然后单击“添加/删除管理单元”。
4. 在“添加或删除管理单元”中,单击“证书”,然后单击“添加”。
5. 在“证书”对话框中,选择“计算机帐户”,单击“下一步”,在“选择计算机”中选择“本地计算机: (运行此控制台的计算机)”,单击“完成”,然后单击“确定”以完成 MMC 控制台的配置。
6. 双击“证书(本地计算机)”以展开证书存储,双击“个人”,然后双击“证书”。
7. 在“本地计算机的证书个人存储”中,右键单击要导出的证书,单击“所有任务”,然后单击“导出”。
8. 在证书导出向导中,单击“下一步”,选择“是,导出私钥”,然后单击“下一步”。
9. 在“导出文件格式”对话框中,选择“个人信息交换 - PKCS #12 (.PFX)”,然后选择以下选项:
o 如果可能,则数据包括证书路径中的所有证书
o 导出所有扩展属性
10. 单击“下一步”。
11. 键入私钥的密码,再次键入该密码以进行确认,然后单击“下一步”。
12. 为导出的证书键入路径和文件名,并使用文件扩展名 .pfx。该路径必须可由池中的所有其他边缘服务器访问,或者可通过可移动媒体(例如,USB 闪存驱动器)传输。单击“下一步”。
13. 在“完成证书导出向导”中查看摘要,然后单击“完成”。
14. 在“成功导出”对话框中,单击“确定”。
15. 按照本主题后面的“为边缘服务器的外部接口导入证书”过程中所述的步骤将导出的证书文件导入其他边缘服务器。
为边缘服务器的外部接口分配证书
1. 对于每台边缘服务器,在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
2. 在“可用的证书任务”页上,单击“分配现有证书”。
3. 在“证书分配”页上,单击“外部边缘证书”,并选中“高级证书用法”复选框。
4. 在“高级证书用法”页上,选中所有复选框以为所有用法分配证书。
5. 在“证书存储”页上,选择为边缘服务器的外部接口请求和导入的公共证书。
6. 在“证书分配摘要”页上,检查设置,然后单击“下一步”以分配证书。
7. 在向导完成页上,单击“完成”。
8. 使用此过程分配边缘证书后,请在每台服务器上打开“证书”管理单元,依次展开“证书(本地计算机)”、“个人”,单击“证书”,然后确认详细信息窗格中是否列出了该证书。
9. 如果部署中包含多台边缘服务器,请对每台边缘服务器重复此过程。
3.4.启动边缘服务器
此主题尚未评级 评价此主题
上一次修改主题: 2010-12-07
边缘服务器和负载平衡器设置完成后,需要在每台边缘服务器上启动服务。
启动服务
1. 对于每台边缘服务器,在部署向导中,单击“步骤 4: 启动服务”旁边的“运行”。
2. 在“启动 Lync Server 2010 服务”页上检查服务列表,然后单击“下一步”以启动服务。
3. 启动服务后,单击“完成”关闭向导。
4. 在“步骤 4: 启动服务”下,单击“服务状态(可选)”。
5. 在服务器上的 Services Microsoft Management Console (MMC) 中,确认所有 Lync Server 2010 服务都在运行。
部署-成功!
本文出自 “学无止境” 博客,请务必保留此出处http://dynamic.blog.51cto.com/711418/930493
时间:2012-06-25 7:00
地点:
第一次:D3056 上海虹桥-汉口 动车上
第二次:Z25 武昌-上海南
1. 准备-在外围网络中安装服务器
2. 定义-发布-边缘拓扑
3. 安装边缘服务器
4. 为反向代理设置证书
5. 设置反向代理服务器
6. internet-DNS
7. 配置对外部用户访问的支持
8. 验证边缘部署
3.3.设置边缘证书
此主题尚未评级 评价此主题
上一次修改主题: 2010-11-07
安装边缘服务器时,需要为内部和外部接口请求、安装并分配所需证书。
本部分内容
外部用户访问的证书要求
为内部边缘接口设置证书
为外部边缘接口设置证书
为反向代理设置证书
3.3.1.为内部边缘接口设置证书
此主题尚未评级 评价此主题
上一次修改主题: 2011-10-28
 重要提示: |
| 在运行证书向导时,请确保您使用作为组(已为其分配您将使用的证书模板类型的适当权限)的成员的帐户进行登录。默认情况下,Lync Server 证书请求将使用 Web Server 证书模板。如果您使用作为 RTCUniversalServerAdmins 组的成员的帐户来通过此模板请求证书,则请确保已为该组分配使用此模板所需的注册权限。 |
有关证书的这一要求以及其他要求的详细信息,请参阅外部用户访问的证书要求。
要设置某个站点的内部边缘接口上的证书,请使用本节中的过程执行以下操作:
1. 将内部接口的 CA 证书链下载到每台边缘服务器。
2. 在每台边缘服务器上为内部接口导入 CA 证书链。
3. 在一台边缘服务器(称为第一台边缘服务器)上为内部接口创建证书请求。
4. 在第一台边缘服务器上为内部接口导入证书。
5. 在此站点(或部署在此负载平衡器之后)的其他边缘服务器上导入该证书。
6. 为每台边缘服务器的内部接口分配证书。
如果多个站点都有边缘服务器(即多站点边缘拓扑),或不同组的边缘服务器部署在不同的负载平衡器之后,则需要按照上述步骤对每个有边缘服务器的站点以及每组部署在不同负载平衡器之后的边缘服务器进行操作。
 注意: |
| 本节中这些过程的步骤是以使用 Windows Server 2008 Enterprise CA 或 Windows Server 2008 R2 CA 为每台边缘服务器创建证书为前提的。有关任何其他 CA 的分步指南,请参考该 CA 的文档。默认情况下,所有通过身份验证的用户都具有请求证书的适当用户权限。 本节中的过程是以在部署边缘服务器的过程中在边缘服务器上创建证书请求为前提的。可以使用前端服务器创建证书请求。可以在开始部署边缘服务器之前执行此操作,以在规划和部署过程早期完成证书请求。为此,必须确保请求的证书可供导出。 本节中的过程介绍使用 .cer 文件作为证书。如果使用其他类型的文件,请根据需要修改这些过程。 |
为内部接口下载 CA 证书链
1. 以 Administrators 组的成员身份登录到内部网络中的 Lync Server 2010 服务器(即非边缘服务器)。
2. 在命令提示符下运行以下命令,方法是单击“开始”,再单击“运行”,然后键入以下命令:
复制
https://<name of your Issuing CA Server>/certsrv
 注意: |
| 如果您使用的是 Windows Server 2008 或 Windows Server 2008 R2 企业 CA,则必须使用 https,而非 http。 |
https://DC.uc-cn.net/Certsrv  |
4. 在“下载 CA 证书、证书链或 CRL”下,单击“下载 CA 证书链”。
5. 在“文件下载”对话框中,单击“保存”。
6. 将 .p7b 文件保存到服务器的硬盘上,然后将其复制到每台边缘服务器的文件夹中。
 注意: |
| .p7b 文件包含证书路径中的所有证书。若要查看证书路径,请打开服务器证书,然后单击证书路径。 |
为内部接口导入 CA 证书链
1. 在每台边缘服务器上打开 Microsoft 管理控制台 (MMC),方法是依次单击“开始”、“运行”,在“打开”框中键入 mmc,然后单击“确定”。
2. 在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
3. 在“添加独立管理单元”框中,单击“证书”,然后单击“添加”。
4. 在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。
5. 在“选择计算机”对话框中,确保选中“本地计算机: (运行此控制台的计算机)”复选框,然后单击“完成”。
6. 单击“关闭”,然后单击“确定”。
7. 在控制台树中,展开“证书(本地计算机)”,右键单击“受信任的根证书颁发机构”,指向“所有任务”,然后单击“导入”。
8. 在向导的“要导入的文件”中,指定证书的文件名(即在前面过程中为内部接口下载 CA 证书链时指定的名称)。
再次-访问:
https://DC.uc-cn.net/Certsrv
已是受信任的网站了。
9. 在每台边缘服务器上重复此过程。
为内部接口创建证书申请
1. 在其中一台边缘服务器上启动部署向导,然后单击“步骤 3: 请求、安装或分配证书”旁边的“运行”。
 注意: |
| 如果多台边缘服务器位于一个池中的同一个位置,则可以在任意一台边缘服务器上运行证书向导。 首次运行步骤 3 后,按钮会更改为“重新运行”,且只有在请求、安装和分配全部所需证书后,才会显示指示任务成功完成的绿色复选标记。 |
2. 在“可用的证书任务”页上,单击“创建新的证书请求”。
3. 在“证书请求”页上,单击“下一步”。
4. 在“延迟的请求或即时请求”页上,单击“现在准备请求,但稍后发送”。
5. 在“证书请求文件”页上,键入要向其保存请求的完整路径和文件名(例如,c:\cert_internal_edge.cer)。
6. 在“指定备用证书模板”页上,要使用除默认 WebServer 模板之外的模板,请选中“使用选定证书颁发机构的备用证书模板”复选框。
7. 在“名称和安全设置”页上,执行以下操作:
o 在“友好名称”中,键入证书的显示名称(例如,内部边缘)。
o 在“位长度”中,指定位长度(通常为默认值“2048”)。
 注意: |
| 较高的位长度更为安全,但是会对速度产生负面影响。 |
8. 在“组织信息”页上,键入组织名称和组织单位 (OU)(例如分部或部门)。
9. 在“地理信息”页上,指定位置信息。
10. 在“使用者名称/使用者替代名称”页上,将显示向导自动填充的信息。
11. 在“配置其他使用者替代名称”页上,指定所需的任何其他使用者替代名称。
12. 在“请求摘要”页上,检查要用于生成请求的证书信息。
13. 完成命令后,请执行以下操作:
o 要查看证书请求的日志,请单击“查看日志”。
o 要完成证书请求,请单击“下一步”。
14. 在“证书请求文件”页上,执行以下操作:
o 要查看生成的证书签名请求 (CSR) 文件,请单击“查看”。
o 要关闭向导,请单击“完成”。
15. 将此文件提交给 CA(通过电子邮件或组织对企业 CA 支持的其他方法),并在收到回复文件时将新证书复制到此计算机,以使该证书可供导入。
注意:
1)如果你未购买公网证书,则将此文件复制到你的CA服务器,申请,导出,再复制到边缘服务器,导入,分配证书
2)如果你已购买公网证书,则将此文件中内容复制到公网证书颁发机构的网站中,申请证书、导出证书,再复制到边缘服务器,导入,分配证书
将-申请-到-证书-复制-到-边缘服务器。
为内部接口导入证书
1. 以本地 Administrators 组成员的身份登录到在其上创建了证书请求的边缘服务器。
2. 在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
首次运行步骤 3 后,按钮会更改为“重新运行”,但只有在请求、安装和分配所有所需证书后,才会显示绿色复选标记(指示任务成功完成)。
3. 在“可用的证书任务”页上,单击“从 .P7b, .pfx 或 .cer 文件导入证书”。
4. 在“导入证书”页上,键入为此边缘服务器的内部接口请求并接收的证书的完整路径和文件名(或单击“浏览”找到并选择该证书)。
5. 如果要为池中的其他成员导入证书,且证书包含私钥,请选中“证书文件包含证书的私钥”复选框并指定密码。
、
为池中的边缘服务器导出包含私钥的证书
1. 以 Administrators 组成员的身份登录到导入了证书的同一台边缘服务器。
2. 依次单击“开始”和“运行”,再键入 MMC。
3. 从 MMC 控制台中,单击“文件”,再单击“添加/删除管理单元”。
4. 从“添加或删除管理单元”页中,单击“证书”,再单击“添加”。
5. 在“证书管理单元”对话框中,选择“计算机帐户”。单击“下一步”。在“选择计算机”中,选择“本地计算机: (运行此控制台的计算机)”。单击“完成”。单击“确定”完成对 MMC 控制台的配置。
6. 双击“证书(本地计算机)”扩展证书存储。双击“个人”,然后双击“证书”。
 重要提示: |
| 如果本地计算机的证书个人存储中没有证书,则表示未导入与证书关联的私钥。请检查请求和导入步骤。如果问题仍然存在,请联系您的证书颁发机构管理员或提供商。 |
8. 在证书导出向导中,单击“下一步”。选择“是,导出私钥”。单击“下一步”。
 注意: |
| 如果“是,导出私钥”选择不可用,则没有将与该证书关联的私钥标记为导出。您将需要再次请求该证书,并确保该证书已标记为允许导出私钥,然后您才能继续导出操作。请与您的证书颁发机构管理员或提供商联系。 |
o 如果可能,则数据包括证书路径中的所有证书
o 导出所有扩展属性
 警告: |
| 从边缘服务器导出证书时,请勿选择“如果导出成功,删除密钥”。如果选择此选项,您将需要将证书和私钥导入到此边缘服务器。 |
11. 键入私钥的密码。重新输入该密码以进行确认。单击“下一步”。
12. 为导出的证书键入路径和文件名,并使用文件扩展名 .pfx。该路径必须可由池中的所有其他边缘服务器访问,或者可通过可移动媒体(例如,USB 闪存驱动器)传输。单击“下一步”。
13. 查看“正在完成证书导出向导”对话框中的摘要。单击“完成”。
14. 在成功导出对话框中单击“确定”。
15. 按照为外部边缘接口设置证书过程中所述的步骤进行操作,将导出的证书文件导入其他边缘服务器中。
在边缘服务器上分配内部证书
1. 对于每台边缘服务器,在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
2. 在“可用的证书任务”页上,单击“分配现有证书”。
3. 在“证书分配”页上,选择列表中的“边缘内部”。
4. 在“证书存储”页上,选择为内部边缘导入的证书(在前面过程中)。
5. 在“证书分配摘要”页上,检查设置,然后单击“下一步”以分配证书。
6. 在向导完成页上,单击“完成”。
7. 使用此过程分配内部边缘证书后,在每台服务器上打开“证书”管理单元,依次展开“证书(本地计算机)”、“个人”,单击“证书”,然后确认详细信息窗格中是否列出了内部边缘证书。
8. 如果部署中包含多台边缘服务器,请对每台边缘服务器重复此过程。
3.3.2.为外部边缘接口设置证书
此主题尚未评级 评价此主题
上一次修改主题: 2011-10-28
 重要提示: |
| 在运行证书向导时,请确保您使用作为组(已为其分配您将使用的证书模板类型的适当权限)的成员的帐户进行登录。默认情况下,Lync Server 证书请求将使用 Web Server 证书模板。如果您使用作为 RTCUniversalServerAdmins 组的成员的帐户来通过此模板请求证书,则请确保已为该组分配使用此模板所需的注册权限。 |
有关证书的这一要求以及其他要求的详细信息,请参阅外部用户访问的证书要求。
有关提供符合统一通信证书的特定要求的证书,并与 Microsoft 具有伙伴关系以确保其可以使用 Lync Server 证书向导的公共证书颁发机构 (CA) 列表,请参阅 Microsoft 知识库文章 929395“Exchange Server 和 Communications Server 的统一通信证书合作伙伴”,网址为 http://go.microsoft.com/fwlink/?linkid=202834&clcid=0x804。
在外部接口上配置证书
要在站点的外部边缘接口上设置证书,请使用本节中的过程执行下列操作:
为边缘服务器的外部接口创建证书请求。
将请求提交给公共 CA。
为每台边缘服务器的外部接口导入证书。
为每台边缘服务器的外部接口分配证书。
如果部署中包含多台边缘服务器,请导出证书及其私钥,并将其复制到其他边缘服务器。然后,在每台边缘服务器上导入证书及其私钥,并按之前描述的方法进行分配。在每台边缘服务器上重复此过程。
可以直接向公共证书颁发机构 (CA) 请求公共证书(例如从公共 CA 的网站)。本节中的过程使用证书向导执行大部分证书任务。如果选择直接向公共 CA 请求证书,则需要适当修改每个步骤,以请求、传输和导入证书及导入证书链。
向外部 CA 请求证书时,提供的凭据必须具有向该 CA 请求证书的权限。每个 CA 都具有定义允许哪些凭据(即特定用户名和组名称)请求、颁发、管理或读取证书的安全策略。
如果决定使用证书 Microsoft 管理控制台 (MMC) 导入证书链和证书,则必须将其导入计算机的证书存储。如果将其导入用户证书存储或服务证书存储,将无法在 Lync Server 证书向导中分配证书。
为边缘服务器的外部接口创建证书请求
1. 对于边缘服务器,在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
 注意: |
| 如果组织希望支持与 AOL 的公共即时消息 (IM) 连接,则不能使用 Lync Server 部署向导请求证书,而应执行本主题后面的“为边缘服务器的外部接口创建证书请求以支持与 AOL 的公共 IM 连接”过程中的步骤。 如果多台边缘服务器位于一个池中的同一个位置,则可以在任意一台边缘服务器上运行 Lync Server 证书向导。 |
3. 在“证书请求”页上,单击“外部边缘证书”。
4. 在“延迟的请求或即时请求”页上,选中“现在准备请求,但稍后发送”复选框。
5. 在“证书请求文件”页上,键入要向其保存请求的文件的完整路径和文件名(例如,c:\cert_exernal_edge.cer)。
6. 在“指定备用证书模板”页上,要使用除默认 WebServer 模板之外的模板,请选中“使用选定证书颁发机构的备用证书模板”复选框。
7. 在“名称和安全设置”页上,执行以下操作:
o 在“友好名称”中,键入证书的显示名称。
o 在“位长度”中,指定位长度(通常为默认值“2048”)。
o 验证是否选中了“将证书私钥标记为可导出”复选框。
8. 在“组织信息”页上,键入组织和组织单位(例如,分部或部门)的名称。
9. 在“地理信息”页上,指定位置信息。
10. 在“使用者名称/使用者替代名称”页上,将显示向导自动填充的信息。如果需要其他使用者替代名称,可以在接下来的两个步骤中指定。
11. 在“使用者替代名称(SAN)的 SIP 域设置”页上,选中域复选框以向使用者替代名称列表中添加 sip.<sipdomain> 条目。
12. 在“配置其他使用者替代名称”页上,指定所需的任何其他使用者替代名称。
13. 在“请求摘要”页上,检查要用于生成请求的证书信息。
14. 命令运行完成后,执行以下操作:
o 要查看证书请求的日志,请单击“查看日志”。
o 要完成证书请求,请单击“下一步”。
15. 在“证书请求文件”页上,执行以下操作:
o 要查看生成的证书签名请求 (CSR) 文件,请单击“查看”。
o 要关闭向导,请单击“完成”。
16. 将输出文件复制到从中可将该文件提交给公共 CA 的位置。
将-申请-到-证书-复制-到-边缘服务器。
为边缘服务器的外部接口创建证书请求以支持与 AOL 的公共 IM 连接
1. 如果所需模板可供 CA 使用,请使用以下 Windows PowerShell cmdlet 在边缘服务器上请求证书:
复制
Request-CsCertificate -New -Type AccessEdgeExternal -Output C:\ <certfilename.txt or certfilename.csr> -ClientEku $true -Template <template name>
Lync Server 2010 中提供的模板的默认证书名称是 Web Server。仅当需要使用与默认模板不同的模板时指定 <模板名称>。
 注意: |
| 如果组织希望支持与 AOL 的公共 IM 连接,则必须使用 Windows PowerShell(而非证书向导)请求要分配给访问边缘服务的外部边缘的证书。这是因为证书向导用于请求证书的 Lync Server 2010 Web Server 模板不支持客户端 EKU 配置。使用 Windows PowerShell 创建证书之前,CA 管理员必须创建和部署支持客户端 EKU 的新模板。 |
向公共证书颁发机构提交请求
1. 打开输出文件。
2. 复制并粘贴证书签名请求 (CSR) 的内容。
3. 如果出现提示,请指定以下各项:
o Microsoft 作为服务器平台。
o IIS 作为版本。
o Web Server 作为使用类型。
o PKCS7 作为响应格式。
4. 公共 CA 验证了您的信息之后,您会收到一封电子邮件,其中包含证书所需的文本。
5. 将电子邮件中的文本复制并保存到本地计算机上的一个文本文件 (.txt) 中。
为边缘服务器的外部接口导入证书
1. 以 Administrators 组成员的身份登录在其中创建了证书请求的边缘服务器。
2. 在部署向导中的“部署边缘服务器”页上,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
3. 在“可用的证书任务”页上,单击“从 .p7b、pfx 或 .cer 文件导入证书”。
4. 在“导入证书”页上,单击“浏览”以查找和选择为边缘服务器的外部接口请求的证书(或者,您也可以键入完整路径和文件名)。如果该证书包含私钥,请选择“证书文件包含证书的私钥”并键入该私钥的密码。单击“下一步”。
5. 在“导入证书摘要”页上,查看摘要,然后单击“下一步”。
6. 在“执行命令”上,查看导入的结果,单击“查看日志”以按需了解更多信息,然后单击“完成”以完成证书导入。
7. 如果配置的是边缘服务器池,可以按照本主题后面的“为池中的边缘服务器导出包含私钥的证书”部分所述的操作导出包含私钥的证书。将导出的证书复制到其他边缘服务器,然后导入到每台边缘服务器上的计算机存储。
为池中的边缘服务器导出包含私钥的证书
1. 以 Administrators 组成员的身份登录到导入了证书的同一台边缘服务器。
2. 依次单击“开始”和“运行”,再键入 MMC。
3. 在 Microsoft 管理控制台 (MMC) 中,单击“文件”,然后单击“添加/删除管理单元”。
4. 在“添加或删除管理单元”中,单击“证书”,然后单击“添加”。
5. 在“证书”对话框中,选择“计算机帐户”,单击“下一步”,在“选择计算机”中选择“本地计算机: (运行此控制台的计算机)”,单击“完成”,然后单击“确定”以完成 MMC 控制台的配置。
6. 双击“证书(本地计算机)”以展开证书存储,双击“个人”,然后双击“证书”。
 重要提示: |
| 如果本地计算机的证书个人存储中没有证书,则表示未导入与证书关联的私钥。请检查请求和导入步骤。如果问题仍然存在,请联系您的证书颁发机构管理员或提供商。 |
8. 在证书导出向导中,单击“下一步”,选择“是,导出私钥”,然后单击“下一步”。
 注意: |
| 如果“是,导出私钥”选择不可用,则没有将与该证书关联的私钥标记为导出。您将需要再次请求该证书,并确保该证书已标记为允许导出私钥,然后您才能继续导出操作。请与您的证书颁发机构管理员或提供商联系。 |
o 如果可能,则数据包括证书路径中的所有证书
o 导出所有扩展属性
 警告: |
| 从边缘服务器导出证书时,请勿选择“如果导出成功,删除密钥”。如果选择此选项,您将需要将证书和私钥导入到此边缘服务器。 |
11. 键入私钥的密码,再次键入该密码以进行确认,然后单击“下一步”。
12. 为导出的证书键入路径和文件名,并使用文件扩展名 .pfx。该路径必须可由池中的所有其他边缘服务器访问,或者可通过可移动媒体(例如,USB 闪存驱动器)传输。单击“下一步”。
13. 在“完成证书导出向导”中查看摘要,然后单击“完成”。
14. 在“成功导出”对话框中,单击“确定”。
15. 按照本主题后面的“为边缘服务器的外部接口导入证书”过程中所述的步骤将导出的证书文件导入其他边缘服务器。
为边缘服务器的外部接口分配证书
1. 对于每台边缘服务器,在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“重新运行”。
2. 在“可用的证书任务”页上,单击“分配现有证书”。
3. 在“证书分配”页上,单击“外部边缘证书”,并选中“高级证书用法”复选框。
4. 在“高级证书用法”页上,选中所有复选框以为所有用法分配证书。
5. 在“证书存储”页上,选择为边缘服务器的外部接口请求和导入的公共证书。
 注意: |
| 如果请求和导入的证书不在列表中,解决方法之一是验证证书的使用者名称和使用者替代名称是否满足证书的所有要求,如果是以手动方式导入证书和证书链,而不是使用上述过程导入,则还应验证证书是否位于正确的证书存储(应为计算机证书存储,而非用户证书存储或服务证书存储)中。 |
7. 在向导完成页上,单击“完成”。
8. 使用此过程分配边缘证书后,请在每台服务器上打开“证书”管理单元,依次展开“证书(本地计算机)”、“个人”,单击“证书”,然后确认详细信息窗格中是否列出了该证书。
9. 如果部署中包含多台边缘服务器,请对每台边缘服务器重复此过程。
3.4.启动边缘服务器
此主题尚未评级 评价此主题
上一次修改主题: 2010-12-07
边缘服务器和负载平衡器设置完成后,需要在每台边缘服务器上启动服务。
启动服务
1. 对于每台边缘服务器,在部署向导中,单击“步骤 4: 启动服务”旁边的“运行”。
2. 在“启动 Lync Server 2010 服务”页上检查服务列表,然后单击“下一步”以启动服务。
3. 启动服务后,单击“完成”关闭向导。
4. 在“步骤 4: 启动服务”下,单击“服务状态(可选)”。
5. 在服务器上的 Services Microsoft Management Console (MMC) 中,确认所有 Lync Server 2010 服务都在运行。
部署-成功!
本文出自 “学无止境” 博客,请务必保留此出处http://dynamic.blog.51cto.com/711418/930493
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 《统一沟通-微软-实战》-6-部署-5-边缘服务器-2012-07-12-1
- 《统一沟通-微软-实战》-6-部署-5-边缘服务器-2012-07-12-2-A
- 《统一沟通-微软-实战》-6-部署-5-边缘服务器-2012-07-12-3
- 《统一沟通-微软-实战》-6-部署-1-前端服务器-1-准备 Active Directory 域服务
- 《统一沟通-微软-实战》-6-部署-1-前端服务器-2-准备基础结构和系统
- 《统一沟通-微软-实战》-6-部署-2-中介服务器-4-语音路由-PSTN用法
- 《统一沟通-微软-实战》-6-部署-2-中介服务器-5-语音路由-语音策略
- 《统一沟通-微软-实战》-6-部署-2-中介服务器-6-语音路由-路由
- 《统一沟通-微软-实战》-6-部署-6-群聊服务器-2
- 《统一沟通-微软-实战》-6-部署-1-前端服务器-4-设置前端服务器和前端池
- 《统一沟通-微软-实战》-6-部署-5-边缘服务器-2012-07-12-4
- 《统一沟通-微软-实战》-6-部署-7-部署移动功能-2
- 《统一沟通-微软-实战》-8-部署-Microsoft Dynamics CRM 2011
- 《统一沟通-微软-实战》-3-部署-Exchange 2010-1-先决条件
- 【微软统一沟通系列】Exchange Server 2010安装部署记录
- 《微软-统一沟通-UC 2013》-1-部署-基础架构-2-Add a domain controller
- 《统一沟通-微软-实战》-6-部署-1-前端服务器-3-拓扑设计
- 《统一沟通-微软-实战》-6-部署-2-中介服务器-1-定义中介服务器