Dans un environnement Lync publié via le couple Reverse Proxy/Edge, il est nécessaire de mettre en place des certificats pour les interfaces publiques.
Lync vous offre une interface et un assistant vous permettant aisément de créer vos requêtes (csr). Or en fonction du reverse proxy que vous mettez en place, celui-ci peut ne pas offrir d’assistant ou alors un assistant ne permettant pas l’intégration de champs SAN (champs DNS alternatifs nécessaires à l’environnement Lync, exemple lyncdiscover, meet, etc.).
Voici donc une méthode vous permettant de générer une demande de certificat incluant tous les champs dont vous avez besoin pour votre reverse proxy (SAN, O, CN, C, etc.).
Tout d’abord il faut ouvrir une MMC sur le serveur Windows du Reverse proxy (dans le cas de IIS ARR) ou sur un autre serveur Windows.
Ajouter la console Certificats pour l’ordinateur local. Aller dans l’arboerescence et choisir dans Personnel/Certificats. Faites un clic droit sur Certificats -> Toutes les tâches -> Opérations avancées -> Créer une demande personnalisée.
L’assistant s’ouvre et cliquez sur suivant.
Sélectionnez le champ Demande Personnalisée -> Continuer sans stratégie d’inscription (cela vous permet de générer un csr que vous pouvez transmettre à l’autorité de certification).
Sélectionnez le modèle Clé héritée et PKCS #10
Cliquez sur Propriétés pour configurer les options avancées.
Une fois la fenêtre de propriétés, il faudra configurer dans chaque onglet des options propres à l’environnement.
Dans Général mettez le Nom & Description que vous voir apparaitre dans les affichages (cela n’a pas d’impact technique »).
Dans Objet, sélectionnez à gauche les options que vous voulez renseigner. C’est ici qu’on mets le CN, les SAN, O, etc. Soyez bien vigilant dans les valeurs que vous renseignez
Dans Nom du sujet, positionnez les champs suivants
– Nom commun (=CN)
– OU (Unité d’organisation) , O (Société/Entité), L (Ville), ST (Etat/Région), C (Pays)
Dans Autre nom, positionnez les champs suivants
– DNS (=SAN) -> Y mettre tous les noms alternatifs (meet, dialin, etc.) que vous avez dans votre infrastructure
Dans Extension, ajoutez les options Signature numérique & Chiffrement de la clé. Cochez aussi la case, rendre ces utilisations de clés critiques.
Dans Clé Privée, Sélectionnez les champs suivants :
– Type de Clé -> Echange
– Options de clé -> Taille de clé 2048 & Cochez Permettre l’exportation de la clé privée
Attention, quand vous choisissez Type de Clé -> Echange, cela réinitialise les champs Options de clé (vérifiez bien que cela ressemble à la capture à la fin de la manipulation).
Validez en cliquant sur OK la fenêtre propriétés et cliquez sur suivant pour générer le CSR.
Le système vous demande ou vous voulez positionnez le fichier générer. En l’ouvrant vous devez obtenir quelque chose commençant par —–BEGIN NEW
Envoyez le fichier à votre autorité de certification ou copier/coller le texte dans l’interface de votre autorité.
Une fois que l’autorité de certification vous renvoi le certificat, importez le sur le serveur ayant effectué la demande. Si vous souhaitez le mettre en place sur un autre serveur, il faut exporter celui-ci de la même manière via la MMC.
David
Vincent Wlo
Merci, au top !