Lync Server: Modificar el tiempo de validez de un certificado de usuario
Hace ya algún tiempo, había publicado un artículo que me había parecido muy interesante sobre la diferencia entre deshabilitar un usuario en el Directorio Activo y no en Lync: Deshabilitar un usuario en el Directorio Activo y en Lync
Aqui os dejo el texto incial del artículo para que veáis de que se trata:
En más de una ocasión os habréis encontrado con la situación de tener que deshabilitar un usuario en el Directorio Activo que tiene cuenta de Lync. Sin embargo esto no evita que el usuario pueda iniciar sesión en Lync durante un periodo máximo de 6 meses, y siempre en función de otros factores. Esto puede llegar a ser un problema muy importante para las organizaciones, puesto que el usuario podría estar realizando llamadas a la PSTN sin control o incluso hablar con gente de la organización y poder sacar información de la empresa sin que nadie de cuenta de ello.
Pues ahora vamos a ver como podemos manejar el tiempo de expiración de un certificado de usuario emitido por nuestro servidor de Lync. Por defecto, como os había comentado los certificados tienen una fecha de expiración de 6 meses, esto en algunos casos puede ser excesivo, por lo que debemos poder manejar estas ventanas temporales de alguna forma. Y por supuesto que podemos hacerlo, para ello tenemos el siguiente cmdlet para establecer el tiempo máximo de duración de un certificado de usuario:
Set-CsWebServiceConfiguration –DefaultValidityPeriodHours
Pues si queremos que en vez de 6 meses, los certificados caduquen a los 90 días el valor de DefaultValidityPeriodHours deberá ser de 2160:
Set-CsWebServiceConfiguration –DefaultValidityPeriodHours 2160
A partir de este momento, todos los usuarios que inicien sesión en Lync recibirán un certificado de usuario por parte del servidor con una duración máxima antes de caducar de 90 días. Pero claro, que ocurrirá con los usuarios que un día antes de este cambio ya se las había emitido el certificado, pues que seguirán utilizando este certificado hasta que caduque. Y claramente, esto no es lo que queremos, para ello lo que podemos hacer es revocar todos los certificados de usuarios, y la próxima vez que los usuarios inicien sesión ya tendrán el nuevo certificado con una caducidad de 90 días. Para ello tenemos el siguiente cmdlet que revocará todos los certificados asignados a los usuarios:
Get-CsClientCertificate | Revoke-CsClientCertificate
También podemos establecer el valor mínimo y máximo de validez de un certificado pero con las siguientes limitaciones:
- Mínimo –> 1 Hora
- Máximo –> 8760 Horas (1 año)
Para establecer estos valores, debemos utilizar los siguientes cmdlets:
Set-CsWebServiceConfiguration –MinValidityPeriodHours 1
Set-CsWebServiceConfiguration –MaxValidityPeriodHours 2880
Así que ya sabéis, que si necesitáis cambiar la fecha de caducidad de vuestros certificados de usuario, dos comandos y todo arreglado.
Espero que os sea de utilidad!!!
Excelente informacion / Autor / 30 agosto, 2013
Que buen dato Santiago, gracias por eso.
Si el usuario no solo es deshabilitado del AD sino que es removido del servidor Lync, asi tenga el certificado igual no se va a poder conectar, cierto?
Santiago / Autor / 31 agosto, 2013
Hola Juan,
Exactamente, si lo deshabilitas en Lync ya no podrá iniciar sesión en Lync claramente. Siempre es bueno que si deshabilitas un usuario en Lync aproveches para eliminar su certificado en el servidor de Lync.
Un saludo