Renovando certificados do Lync Server 2010/2013

English version (também publicado em): UCLobby
TechNet Wiki

Uma coisa muito comum que os clientes perguntam é “Como eu renovo certificados para o Lync Server?”. Se isto não é perguntado, atendemos casos de clientes com problemas de certificado ou com os serviços do Lync Server parados por causa de um erro na criação ou renovação de certificados (ou até mesmo de pessoas que esquecem de renovar os certificados).

Deste modo, decidi criar este artigo “how-to”.

O processo envolvido na renovação do certificado Lync é praticamente o mesmo envolvido na criação. O que é recomendado é que você verifique as entradas SAN que estão sendo utilizadas o certificado antigo, e anote elas. Isso vai evitar que você crie um certificado sem todas as entradas necessárias, o que poderia trazer um problema com um endereço SIP determinado. 

renew1

  • Use o Lync Deployment Wizard e vá até  “Install or Update Lync Server System”, “Request Install or Assign Certificates” , e clique no certificado desejado e clique no botão “View” e anote as entradas atuais.
  •  Depois de anotar, você pode clicar em OK e voltar ao Certificate Wizard e clicar em “Request”.

renew2

  • Na próxima tela, clique em OK.
  • Estamos focando aqui na renovação do Certificado Interno, selecione a opção  “Send the Request immediately to an online certification authority“.
  • Na próxima tela, seleciona a autoridade certificadora interna que sera usada para criar o certificado.

renew3

  • Na próxima tela, você só precisa preencher os dados se for necessário usar credenciais diferentes para a autoridade certificadora e avance.
  • Agora, de forma similar, você terá que alterar o modelo de certificado apenas se você precisar de um modelo diferente do de “WebServer”. Normalmente, nenhuma alteração é necessária aqui.
  • Preencha os dados do certificado conforme necessário, e marque a caixa “Private Key as exportable”.

renew4

  • Preencha as informações locais.
  • Agora, verifique se os dados estão de acordo com o esperado. Pode acontecer de alguma entrada SAN faltar, você poderá adicioná-las depois.

    renew5

  • Na próxima tela, selecione os domínios SIP necessários – tenha certeza de verificar as notas que você realizou no início ao verificar o certificado que vai expirar ou verificando sua topologia. 
  • Como dito anteriormente, na próxima tela você sera capaz de adicionar as SAN’s que estão faltando. Lembre, use o certificado antigo como referência. Não esqueça de clicar em Add depois de cada URL inserida. 

    renew6

  • Na próxima tela, verifique se os resultados estão como esperados, já que estas informações estarão no certificado.
  • Agora o certificado sera solicitado, e se tudo funcionar, o resultado “Completed” irá aparecer e você poderá continuar.
  • O Lync agora irá pedir que você associe o certificado, clique em Next.
  • Novamente, ele irá exibir as informações do novo certificado, então se tudo estiver correto, clique em Next.
  • O certificado sera associado, e você poderá concluir o processo.
  • No fim, você irá voltar para o Certificate Wizard, verifique no campo “Friendly Name”, se o nome do novo certificado está associado e a data de expiração.

    renew7

  • Depois de finalizar o processo, você precisa reiniciar os serviços do FE. Este é o maior impacto no ambiente, já que causa indisponibilidade. Se você tem mais de um FE, isto não causará impacto real, mas recomendamos que você agende o processo para sua janela de manutenção.
  • Ao reiniciar os serviços, você pode utilizar o cmdlet Stop-CsWindowsService para parar os serviços, e então Start-CsWindowsService para iniciar novamente. 
  • Este processo precisa ser realizado em cada FE, já que o mesmo certificado não pode ser utilizado em todos os FE.

Dica: Eventualmente, o Lync não abre o assistente para associar o certificado depois de criá-lo. Neste caso, verifique se o certificado está presente no servidor FE no container “Personal”. Se for este o caso, utilize o Certificate Wizard para associar o certificado, usando o botão “Assign”. Se o certificado não está no container “Personal”, verifique se a CA criou o certificado e copie o certificado para este container, e então você será capaz de visualizar o novo certificado no Certificate Wizede para associá-lo.

Requisição de Certificado Externo (Edge)

O mesmo processo pode ser seguido para a Requisição/Renovação de Certificados Externos. A única grande diferença é que ao invés de enviar a requisição para a CA imediatamente, você tem que escolher “Prepare the request now, but send it later (offline certificate request). No fim, um arquivo offline para a requisição do certificado será gerado. Você pode compartilhar este arquivo com a autoridade certificadora externa. Quando a CA enviar o certificado para você, você será capaz de associar o certificado utilizando o Certificate Wizard.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s