Teams / Skype & Office 365

Partage et Collaboration par David HAEGEL

Certificats – Créer une demande personnalisée pour le reverse proxy incluant des SAN

Dans un environnement Lync publié via le couple Reverse Proxy/Edge, il est nécessaire de mettre en place des certificats pour les interfaces publiques.

Lync vous offre une interface et un assistant vous permettant aisément de créer vos requêtes (csr). Or en fonction du reverse proxy que vous mettez en place, celui-ci peut ne pas offrir d’assistant ou alors un assistant ne permettant pas l’intégration de champs SAN (champs DNS alternatifs nécessaires à l’environnement Lync, exemple lyncdiscover, meet, etc.).

Voici donc une méthode vous permettant de générer une demande de certificat incluant tous les champs dont vous avez besoin pour votre reverse proxy (SAN, O, CN, C, etc.).

Tout d’abord il faut ouvrir une MMC sur le serveur Windows du Reverse proxy (dans le cas de IIS ARR) ou sur un autre serveur Windows.

Ajouter la console Certificats pour l’ordinateur local. Aller dans l’arboerescence et choisir dans Personnel/Certificats. Faites un clic droit sur Certificats -> Toutes les tâches -> Opérations avancées -> Créer une demande personnalisée.14_RP_perso_mmc

L’assistant s’ouvre et cliquez sur suivant.14_RP_perso_init

Sélectionnez le champ Demande Personnalisée -> Continuer sans stratégie d’inscription (cela vous permet de générer un csr que vous pouvez transmettre à l’autorité de certification).14_RP_perso_init_ssinscri

Sélectionnez le modèle Clé héritée et PKCS #1014_RP_perso_type

Cliquez sur Propriétés pour configurer les options avancées.14_RP_perso_proprietes

Une fois la fenêtre de propriétés, il faudra configurer dans chaque onglet des options propres à l’environnement.

Dans Général mettez le Nom  & Description que vous voir apparaitre dans les affichages (cela n’a pas d’impact technique »).14_RP_perso_Nom

Dans Objet, sélectionnez à gauche les options que vous voulez renseigner. C’est ici qu’on mets le CN, les SAN, O, etc. Soyez bien vigilant dans les valeurs que vous renseignez

Dans Nom du sujet, positionnez les champs suivants

Nom commun (=CN)

OU (Unité d’organisation) , O (Société/Entité), L (Ville), ST (Etat/Région), C (Pays)

Dans Autre nom, positionnez les champs suivants

DNS (=SAN) -> Y mettre tous les noms alternatifs (meet, dialin, etc.) que vous avez dans votre infrastructure14_RP_perso_SAN

Dans Extension, ajoutez les options Signature numérique & Chiffrement de la clé. Cochez aussi la case, rendre ces utilisations de clés critiques. 14_RP_perso_Clef

Dans Clé Privée, Sélectionnez les champs suivants :

Type de Clé -> Echange

Options de clé -> Taille de clé 2048 & Cochez Permettre l’exportation de la clé privée

Attention, quand vous choisissez Type de Clé -> Echange, cela réinitialise les champs Options de clé (vérifiez bien que cela ressemble à la capture à la fin de la manipulation).14_RP_perso_Taille

Validez en cliquant sur OK la fenêtre propriétés et cliquez sur suivant pour générer le CSR.14_RP_perso_Validation

Le système vous demande ou vous voulez positionnez le fichier générer.  En l’ouvrant vous devez obtenir quelque chose commençant par —–BEGIN NEW14_RP_perso_csr

Envoyez le fichier à votre autorité de certification ou copier/coller le texte dans l’interface de votre autorité.

Une fois que l’autorité de certification vous renvoi le certificat, importez le sur le serveur ayant effectué la demande. Si vous souhaitez le mettre en place sur un autre serveur, il faut exporter celui-ci de la même manière via la MMC.

David

Share

Précédent

Certificats – Autoriser l’accès en HTTP à la CRL / CRT de votre PKI

Suivant

Lync – Résoudre le problème d’affichage des présentations

  1. Vincent Wlo

    Merci, au top !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fièrement propulsé par WordPress & Thème par Anders Norén