Запрос сертификата Standalone CA

Задачка заключалась в том, чтобы создать сертификат для сервера Lync 2010 на основе stanalone root CA.

Решил написать, процедуру, больше для себя.

1. Настроить ЦС, для того, чтобы он смог работать с сертификатами SAN (только для Windows 2003)

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

2.  Помещаем публичный сертификат на сервер Lync в раздел «Доверенных корневых центров сертификации»

3. Создаем .inf файл из которого будет создан запрос:

[Version]

Signature=»$Windows NT$

[NewRequest]
Subject = «CN=corpdc1.fabrikam.com» ; must be the FQDN of domain controller
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 2048 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = «Microsoft RSA SChannel Cryptographic Provider»
ProviderType = 12
RequestType = CMC

; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

[RequestAttributes]
SAN=»dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com»

4. На основе .inf файла создать запрос

Перейти в каталог, где находится inf файл и создать на его основе запрос

certreq -new ssl.inf ssl.req

5.  Утвердить запрос на ЦС

certreq -submit -config «компьютер\названиеЦС» ssl.req

6. Так как в моем случае ЦС Standalone, необходимо перейти в оснастку центра сертификации и в разделе pending request(запрос в ожидании) выпустить сертификат.

7. Экспортировать сертификат на сервер Lync

Способ А. Экспортировать можно вручную с ЦС

Способ Б. Экспортировать с помощью команды

certreq -retrieve RequestID ssl.cer,

где RequestID — это номер, полученный при запросе сертификата в ЦС.

После этого в папке появиться сертификат ssl.cer

8. Установка сертификата в хранилище

certreq -accept ssl.cer

Установка Lync. Front End часть 1

Серия статей на тему развертывания типичной инфраструктуры Lync для малого бизнеса.

Установка Lync. Front End часть1

Установка Lync. Edge часть2

Установка Lync. Публикация Lync через TMG часть3

Установка Lync. Lync в ресурсном лесу часть4

Топология следующая:

Служба Каталогов состоит из одного леса в состав, которого входит один домен xxx.lync,

где xxx.lync — может быть любое ваше название.

Название внутренней и внешней зоны DNS совпадают.

1.  Контроллер домена+сервер сертификации+DNS, FQDN dc.xxx.lync

Сетевые настройки:

IP: 172.16.30.2/24

GW: 172.16.30.1

DNS: 172.16.30.2

2. Lync Front End Standard Edition, FQDN  FrontEnd-lync.xxx.lync

Сетевые настройки:

IP: 172.16.30.3/24

GW: 172.16.30.1

DNS: 172.16.30.2

3. Lync Edge, FQDN Edge-lync.xxx.lync.

Сетевые настройки

Внешний сетевой адаптер

IP1: 172.16.40.2/24

IP2: 172.16.40.3/24

IP3: 172.16.40.4/24

GW: 172.16.40.1

DNS: —

Внутренний сетевой адаптер

IP: 172.16.30.4/24

GW: —

DNS: 172.16.30.2

4. TMG сервер

Сетевые настройки:

Внешний сетевой адаптер

IP1: 192.168.0.121/24

IP2: 192.168.0.122/24

IP3: 192.168.0.123/24

IP4: 192.168.0.124/24

GW: 192.168.0.1

DNS: —

Внутренний сетевой адаптер:

IP: 172.16.30.1/24

GW: —

DNS: 172.16.30.2

Сетевой адаптер для DMZ:

IP1: 172.16.40.1/24

GW: —

DNS: —

Совсем кратко об инфраструктуре Lync:

Центральной ролью является Front End Lync, который выполняет роли аутентификации и регистрации пользователей, IM, статуса присутствия, веб-конференций, общего доступа к приложениям, распространения адресной книги. В рассматриваемой инфраструктуре роль Front End совмещена с ролями A/V и Mediation, поэтому кроме перечисленного функционала сервер frontend-lync.xxx.yyy так же обеспечивает аудио/видео конференции, Enterprose Voice и dialin конференции. Роль Edge сервера обеспечивает подключение внешних, анонимных и федеративных пользователей к Lync инфраструктуре, более подробно по ролям можно посмотреть на сайте Technet.

Общая схема архитектуры

Описание развертывания:

Перед тем как начать развертывание Lync необходимо развернуть Active Directory и сервис сертификатов. Установка и развертывание Службы Каталогов Active Directory не является центральным событием этого поста, поэтому эти шаги не описаны.  Ниже описаны шаги настройки центра сертификации. Так как представленная инфраструктура применяется в пилотных развертываниях, а значит не предполагает дальнейшего масштабирования и продуктивной эксплуатации, дизайн CA максимально прост и состоит из одного ЦС Enterprise Root CA.

Выбор роли Certification Authority.

В результирующих настройках виден тип центра сертификации Enterprise Root.

После установки центра сертификации следующим шагом является настройка точек распространения отозванных сертификатов:

1. Создать папку, где будут публиковаться списки отзывов сертификатов.  В список доступа разрешений для общей папки и NTFS добавить учетную запись компьютера, который будет публиковать CRL.

В разделе Certificate Authority Properties настраиваются способы публикации.

Точки распространения http и file, которые были добавлены изначально можно удалить и создать две точки распространения:

Настройка точки распространения с помощью общей папки:

\\dc\CRL$\<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl

Настройка точки распространения с помощью веб-сервера:

http://crl.xxx.lync/CRL/<CAName><CRLNameSuffix><DeltaCRLAllowed&gt;.crl

После того, как точки распространения настроены осталось настроить web-сервер, для этого необходимо:

Установить IIS с настройками по умолчанию и создать виртуальную директорию CRL.

Включить Directory Browsing для директории CRL.

Перейти в Configuration Editor, из выпадающего списка выбрать system.webServer\security\requestFiltering и установить напротив allowDoubleEscaping  значение True.

Опубликовать CRL в созданную точку распространения.

Для проверки публикации можно зайти на сайт http://crl.xxx.lync/crl/

Перейдем непосредственно к развертыванию Lync, первое что предстоит выполнить это установка необходимых компонентов для Front End сервера:

PS C:\> Import-Module ServerManager

PS C:\> Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Static-Content,Web-Default-Doc,Web-Http-Errors,Web-Http-Redirect,Web-Asp-Net,Web-Net-Ext,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Http-Logging,Web-Log-Libraries,Web-Http-Tracing,Web-Windows-Auth,Web-Client-Auth,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Console,Web-Scripting-Tools –Restart

Далее установить Windows Media Format Runtime:

cd c:\windows\system32\

dism.exe /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.mum /ignorecheck

Далее установить очередь сообщений Message Queuing и там же вручную включить доп. компонент Directory Service Integration.

После того, как компоненты установлены и компьютер перезагружен можно начать установку Lync с инсталляции Topology Builder

Вторым шагом является подготовка Active Directory(Prepare Active Directory).  Необходимо помнить, что после каждого шага подготовки есть возможность тестирования на предмет ошибок, более подробно подготовка AD и проверка описаны на сайте Technet. В продуктивной среде при подготовки AD обычно используется Powershell, что дает возможность больше контролировать процесс подготовки. На тестовом стенде я использовал графический интерфейс.

Подготовить Active Directory

После того, как среда AD подготовлена нужно будет добавить учетную запись пользователя, которая будет администрировать Lync в группы CsAdministrator и RTCUniversalServerAdmins.

Перед тем как создавать и публиковать топологию нужно создать Central Management Store, этот шаг называется Prepare first Standard Edition server

В процессе настройки топологии нужно будет указать заранее созданную общую папку:

На FrontEnd создать «LyncShare» общую папку и предоставить к ней доступ следующим группам: Everyone -Read, CSAdministrators — Full Control.

Создание топологии начинается с запуска Topology Builder и выбора новой конфигурации топологии:

В процессе настройки необходимо:

-определить SIP домен(Дополнительных SIP доменов не создается):

-определить центральный сайт:

-определить дополнительные параметры для сайта(город, страна)

-определить новый пул Front End серверов:

-выбрать тип пула Front End серверов. В случае если пул состоит из одного сервера Standard Edition указать FQDN сервера.

-включить компоненты(компоненты,  которые не определены на этом этапе можно добавить в любой момент)

-определить какие роли будут совмещаться:

-определить дополнительные роли

-для Standard Edition Lync используется сервер БД SQL Express, который уже был установлен на этапах подготовки Lync.

-определить общую папку для Lync, созданную заранее.

-определить Web Services URL:

-определить IP адрес, протокол и порт для PSTN Gateway(в случае если шлюз или IP PBX не развернуты, можно пропустить):

-добавить в топологию Edge сервер

-определить пул серверов Edge:

-определить расположение сервера Edge.  Настройка «The external IP address of this Edge pool translated by NAT» — определяет что внешние IP-адреса определены на устройстве NAT (в нашем случае это TMG сервер) и транслируются на внешний сетевой адаптер   Edge.

В текущей конфигурации трансляция NAT следующая:

acceess 192.168.0.121->172.16.40.2

webconf 192.168.0.122->172.16.40.3

AV 192.168.0.123->172.16.40.4

Для сервисов необходимо определить FQDN по которым внешние пользователи будут обращаться к Lync из сети Интернет:

-определить внутренний IP для Edge сервера. Под внутренним IP следует понимать IP-адрес сетевого адаптера Edge, который будет подключен к внутренней инфраструктуре:

-определить IP-адреса на внешнем сетевом адаптере сервера Edge для сервисов:  SIP, веб-конференций и аудио/видео. В данном случае под  «внешними IP» понимаются IP адреса Edge сервера.

-определить внешний IP адрес, заведенный на TMG  для AV сервера:

-определить с каким пулом FrontEnd серверов будет работать Edge сервер

-настройка топологии на это шаге практически завершена:

-после того, как  начальная топология определена, нужно настроить admin URL и определить сервер Central Management Server:

-после того как все настройки определены, можно опубликовать топологию:

Для URL meet, dialin, admin создать записи в DNS.

meet.xxx.lync    CNAME frontend-lync.xxx.lync

dialin.xxx.lync CNAME frontend-lync.xxx.lync

admin.xxx.lync CNAME frontend-lync.xxx.lync

После определения и публикации топологии можно установить файлы Lync:

В процессе установки Lync нужно определить следующие параметры:

Локальное хранилище для синхронизации конфигураций с Central Management Store

Определить источник данных, в нашем случае для Front End это Central Management Store:

С помощью создания топологии и установки локального хранилища на сервер, мы определили все настройки сервера и сейчас осталось только установить файлы Lync.

Сервер установлен осталось запросить сертификаты и запустить сервисы Lync. Запрос сертификатов у Enterprise CA (RootECA) лучше всего выполнить с помощью помощника, таким образом исключив возможные ошибки в сертификатах.

В процессе запроса сертификатов необходимо указать центр сертификатов, которому отправляется запрос на выдачу сертификатов:

Указать имя сертификата:

Помощник сам предложит имена в сертификате, о чем я писал выше.

После создания сертификата его нужно назначить:

Финальным шагом настройки Front End сервера является запуск сервисов.

Для того, чтобы клиенты во внутренней сети могли подключаться к службе Registrar(Front End) автоматически, необходимо добавить в DNS зону xxx.lync запись SRV.

Для проверки подключения клиентов к серверу необходимо создать пользователя Lync, подключиться с помощью клиента и протестировать все основные сценарии связи.