Запрос сертификата Standalone CA
Задачка заключалась в том, чтобы создать сертификат для сервера Lync 2010 на основе stanalone root CA.
Решил написать, процедуру, больше для себя.
1. Настроить ЦС, для того, чтобы он смог работать с сертификатами SAN (только для Windows 2003)
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
2. Помещаем публичный сертификат на сервер Lync в раздел «Доверенных корневых центров сертификации»
3. Создаем .inf файл из которого будет создан запрос:
[Version]
Signature=»$Windows NT$
[NewRequest]
Subject = «CN=corpdc1.fabrikam.com» ; must be the FQDN of domain controller
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 2048 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = «Microsoft RSA SChannel Cryptographic Provider»
ProviderType = 12
RequestType = CMC
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
SAN=»dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com»
4. На основе .inf файла создать запрос
Перейти в каталог, где находится inf файл и создать на его основе запрос
certreq -new ssl.inf ssl.req
5. Утвердить запрос на ЦС
certreq -submit -config «компьютер\названиеЦС» ssl.req
6. Так как в моем случае ЦС Standalone, необходимо перейти в оснастку центра сертификации и в разделе pending request(запрос в ожидании) выпустить сертификат.
7. Экспортировать сертификат на сервер Lync
Способ А. Экспортировать можно вручную с ЦС
Способ Б. Экспортировать с помощью команды
certreq -retrieve RequestID ssl.cer,
где RequestID — это номер, полученный при запросе сертификата в ЦС.
После этого в папке появиться сертификат ssl.cer
8. Установка сертификата в хранилище
certreq -accept ssl.cer
Установка Lync. Front End часть 1
Серия статей на тему развертывания типичной инфраструктуры Lync для малого бизнеса.
Установка Lync. Front End часть1
Установка Lync. Публикация Lync через TMG часть3
Установка Lync. Lync в ресурсном лесу часть4
Топология следующая:
Служба Каталогов состоит из одного леса в состав, которого входит один домен xxx.lync,
где xxx.lync — может быть любое ваше название.
Название внутренней и внешней зоны DNS совпадают.
1. Контроллер домена+сервер сертификации+DNS, FQDN dc.xxx.lync
Сетевые настройки:
IP: 172.16.30.2/24
GW: 172.16.30.1
DNS: 172.16.30.2
2. Lync Front End Standard Edition, FQDN FrontEnd-lync.xxx.lync
Сетевые настройки:
IP: 172.16.30.3/24
GW: 172.16.30.1
DNS: 172.16.30.2
3. Lync Edge, FQDN Edge-lync.xxx.lync.
Сетевые настройки
Внешний сетевой адаптер
IP1: 172.16.40.2/24
IP2: 172.16.40.3/24
IP3: 172.16.40.4/24
GW: 172.16.40.1
DNS: —
Внутренний сетевой адаптер
IP: 172.16.30.4/24
GW: —
DNS: 172.16.30.2
4. TMG сервер
Сетевые настройки:
Внешний сетевой адаптер
IP1: 192.168.0.121/24
IP2: 192.168.0.122/24
IP3: 192.168.0.123/24
IP4: 192.168.0.124/24
GW: 192.168.0.1
DNS: —
Внутренний сетевой адаптер:
IP: 172.16.30.1/24
GW: —
DNS: 172.16.30.2
Сетевой адаптер для DMZ:
IP1: 172.16.40.1/24
GW: —
DNS: —
Совсем кратко об инфраструктуре Lync:
Центральной ролью является Front End Lync, который выполняет роли аутентификации и регистрации пользователей, IM, статуса присутствия, веб-конференций, общего доступа к приложениям, распространения адресной книги. В рассматриваемой инфраструктуре роль Front End совмещена с ролями A/V и Mediation, поэтому кроме перечисленного функционала сервер frontend-lync.xxx.yyy так же обеспечивает аудио/видео конференции, Enterprose Voice и dialin конференции. Роль Edge сервера обеспечивает подключение внешних, анонимных и федеративных пользователей к Lync инфраструктуре, более подробно по ролям можно посмотреть на сайте Technet.
Общая схема архитектуры
Описание развертывания:
Перед тем как начать развертывание Lync необходимо развернуть Active Directory и сервис сертификатов. Установка и развертывание Службы Каталогов Active Directory не является центральным событием этого поста, поэтому эти шаги не описаны. Ниже описаны шаги настройки центра сертификации. Так как представленная инфраструктура применяется в пилотных развертываниях, а значит не предполагает дальнейшего масштабирования и продуктивной эксплуатации, дизайн CA максимально прост и состоит из одного ЦС Enterprise Root CA.
Выбор роли Certification Authority.
В результирующих настройках виден тип центра сертификации Enterprise Root.
После установки центра сертификации следующим шагом является настройка точек распространения отозванных сертификатов:
1. Создать папку, где будут публиковаться списки отзывов сертификатов. В список доступа разрешений для общей папки и NTFS добавить учетную запись компьютера, который будет публиковать CRL.
В разделе Certificate Authority Properties настраиваются способы публикации.
Точки распространения http и file, которые были добавлены изначально можно удалить и создать две точки распространения:
Настройка точки распространения с помощью общей папки:
\\dc\CRL$\<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
Настройка точки распространения с помощью веб-сервера:
http://crl.xxx.lync/CRL/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
После того, как точки распространения настроены осталось настроить web-сервер, для этого необходимо:
Установить IIS с настройками по умолчанию и создать виртуальную директорию CRL.
Включить Directory Browsing для директории CRL.
Перейти в Configuration Editor, из выпадающего списка выбрать system.webServer\security\requestFiltering и установить напротив allowDoubleEscaping значение True.
Опубликовать CRL в созданную точку распространения.
Для проверки публикации можно зайти на сайт http://crl.xxx.lync/crl/
Перейдем непосредственно к развертыванию Lync, первое что предстоит выполнить это установка необходимых компонентов для Front End сервера:
PS C:\> Import-Module ServerManager
PS C:\> Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Static-Content,Web-Default-Doc,Web-Http-Errors,Web-Http-Redirect,Web-Asp-Net,Web-Net-Ext,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Http-Logging,Web-Log-Libraries,Web-Http-Tracing,Web-Windows-Auth,Web-Client-Auth,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Console,Web-Scripting-Tools –Restart
Далее установить Windows Media Format Runtime:
cd c:\windows\system32\
dism.exe /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.mum /ignorecheck
Далее установить очередь сообщений Message Queuing и там же вручную включить доп. компонент Directory Service Integration.
После того, как компоненты установлены и компьютер перезагружен можно начать установку Lync с инсталляции Topology Builder
Вторым шагом является подготовка Active Directory(Prepare Active Directory). Необходимо помнить, что после каждого шага подготовки есть возможность тестирования на предмет ошибок, более подробно подготовка AD и проверка описаны на сайте Technet. В продуктивной среде при подготовки AD обычно используется Powershell, что дает возможность больше контролировать процесс подготовки. На тестовом стенде я использовал графический интерфейс.
Подготовить Active Directory
После того, как среда AD подготовлена нужно будет добавить учетную запись пользователя, которая будет администрировать Lync в группы CsAdministrator и RTCUniversalServerAdmins.
Перед тем как создавать и публиковать топологию нужно создать Central Management Store, этот шаг называется Prepare first Standard Edition server
В процессе настройки топологии нужно будет указать заранее созданную общую папку:
На FrontEnd создать «LyncShare» общую папку и предоставить к ней доступ следующим группам: Everyone -Read, CSAdministrators — Full Control.
Создание топологии начинается с запуска Topology Builder и выбора новой конфигурации топологии:
В процессе настройки необходимо:
-определить SIP домен(Дополнительных SIP доменов не создается):
-определить центральный сайт:
-определить дополнительные параметры для сайта(город, страна)
-определить новый пул Front End серверов:
-выбрать тип пула Front End серверов. В случае если пул состоит из одного сервера Standard Edition указать FQDN сервера.
-включить компоненты(компоненты, которые не определены на этом этапе можно добавить в любой момент)
-определить какие роли будут совмещаться:
-определить дополнительные роли
-для Standard Edition Lync используется сервер БД SQL Express, который уже был установлен на этапах подготовки Lync.
-определить общую папку для Lync, созданную заранее.
-определить Web Services URL:
-определить IP адрес, протокол и порт для PSTN Gateway(в случае если шлюз или IP PBX не развернуты, можно пропустить):
-добавить в топологию Edge сервер
-определить пул серверов Edge:
-определить расположение сервера Edge. Настройка «The external IP address of this Edge pool translated by NAT» — определяет что внешние IP-адреса определены на устройстве NAT (в нашем случае это TMG сервер) и транслируются на внешний сетевой адаптер Edge.
В текущей конфигурации трансляция NAT следующая:
acceess 192.168.0.121->172.16.40.2
webconf 192.168.0.122->172.16.40.3
AV 192.168.0.123->172.16.40.4
Для сервисов необходимо определить FQDN по которым внешние пользователи будут обращаться к Lync из сети Интернет:
-определить внутренний IP для Edge сервера. Под внутренним IP следует понимать IP-адрес сетевого адаптера Edge, который будет подключен к внутренней инфраструктуре:
-определить IP-адреса на внешнем сетевом адаптере сервера Edge для сервисов: SIP, веб-конференций и аудио/видео. В данном случае под «внешними IP» понимаются IP адреса Edge сервера.
-определить внешний IP адрес, заведенный на TMG для AV сервера:
-определить с каким пулом FrontEnd серверов будет работать Edge сервер
-настройка топологии на это шаге практически завершена:
-после того, как начальная топология определена, нужно настроить admin URL и определить сервер Central Management Server:
-после того как все настройки определены, можно опубликовать топологию:
Для URL meet, dialin, admin создать записи в DNS.
meet.xxx.lync CNAME frontend-lync.xxx.lync
dialin.xxx.lync CNAME frontend-lync.xxx.lync
admin.xxx.lync CNAME frontend-lync.xxx.lync
После определения и публикации топологии можно установить файлы Lync:
В процессе установки Lync нужно определить следующие параметры:
Локальное хранилище для синхронизации конфигураций с Central Management Store
Определить источник данных, в нашем случае для Front End это Central Management Store:
С помощью создания топологии и установки локального хранилища на сервер, мы определили все настройки сервера и сейчас осталось только установить файлы Lync.
Сервер установлен осталось запросить сертификаты и запустить сервисы Lync. Запрос сертификатов у Enterprise CA (RootECA) лучше всего выполнить с помощью помощника, таким образом исключив возможные ошибки в сертификатах.
В процессе запроса сертификатов необходимо указать центр сертификатов, которому отправляется запрос на выдачу сертификатов:
Указать имя сертификата:
Помощник сам предложит имена в сертификате, о чем я писал выше.
После создания сертификата его нужно назначить:
Финальным шагом настройки Front End сервера является запуск сервисов.
Для того, чтобы клиенты во внутренней сети могли подключаться к службе Registrar(Front End) автоматически, необходимо добавить в DNS зону xxx.lync запись SRV.
Для проверки подключения клиентов к серверу необходимо создать пользователя Lync, подключиться с помощью клиента и протестировать все основные сценарии связи.