Renovar, Instalar y Asignar Certificados a nuestro Edge de Lync Server 2010/2013

Una de las cosas que debemos tener en cuenta es que los certificados tienen  una caducidad, y esto debemos tenerlo muy presente porque una vez que caduquen los  usuarios no podrán conectarse a los servicios que estamos ofreciendo. Lync es uno de los sistemas que más certificados necesita, por lo que debemos tener especial cuidado con sus renovaciones. En el Visor de Eventos nos avisará de que tenemos un certificado que está a punto de expirar:

Está claro que por avisarnos no será y además nos ofrecen todas las guías posibles de como debemos renovarlo con ellos para tenerlo disponible con suficiente antelación para no tener los apuros de última hora. Una vez que lo hemos renovado (estos pasos los omito porque son muy sencillos y se tramitan desde la web de Digicert (http://www.digicert.coom)), lo que nos queda primero es instalarlo en nuestro servidor y posteriormente asignarlos a los servicios correspondientes.  Con DigiCert lo tenemos muy fácil sino queremos realizar el proceso de forma “manual”, simplemente nos descargamos la herramient DigiCertTool la cual nos permite gestionar nuestros certificados de forma centralizada y desde cualquier sitio podemos conectarnos a DigiCert desde las DigiCertTool y podemos subir un CSR  para completar una solicitud y subirlo directamente a DigiCert o simplemente enviarlo a  nuestra CA Interna. Lo único que debemos hacer es descargarnos las DigiCertTool, ejecutarlo y irnos a la opción Account para introducir nuestro usuario y contraseña (el mismo que introducimos en la Web) para que  nos muestra las solicitudes pendientes o los certificados que tenemos contratados preparados para ser instalados:

Si tuviéramos una petición pendiente de completarla nos la mostaría de forma inmediata, en caso contrario debemos habilitar la casilla Show completed orders

Ahora nos mostrará  todos los certificados que hemos adquirido  y vemos que podemos instalarlo directamente desde la opción install, pues pulsamos en install

Volvemos a pulsar en install

En cuestión de segundos ya tenemos el certificado instalado en el almacén de certificados de equipo local

Si volvemos a la consola de certificados del equipo local (certlm.msc) veremos el nuevo certificado instalado:

Ahora que ya tenemos el certificado instalado, únicamente debemos asignarlo a los servicios que sea necesario (IIS, Exchange, etc..)  y en mi caso al EDGE de Lync. Para ello abrimos el Asistente de Implementación de Lync Server – Instalar o actrualizar el sistema Lync Server

Pulsamos en Ejecutar de  nuevo en el Paso 3: Solicitar, instalar o asignar certificados

Elegimos el certificado que queremos renovar, en nuestro caso el externo  y pulsamos en Asignar porque ya lo tenemos instalado en el servidor

Nos avisa de que si tenemos más de un servidor de EDGE ( un pool de EDGE) debemos exportar el certificado con su clave privada e instalarlo en todos los servidores, únicamente debemos pulsar en SÍ

Pulsamos en Siguiente

Elegimos el certificado que queremos asignar, sino tenemos claro cual era podemos pulsa en Ver detalles del certificado para asegurarnos de que elegimos el correcto

Pulsamos en Siguiente

En mi caso me muestra una advertencia porque tengo nombres de dominios configurados en la federación pero que no están asignados en el certificado que voy a instalar, esto es porque he configurado la federación solo con un certificado: Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013). Por lo que esta  advertencia no me afecta en absoluto, otra cosa sería que no lo tuviese configurado como comento en el artículo nombrado, entonces si deberíais asignar más nombres a este certificado (los que fuesen necesarios por dominio)

Como hemos hecho caso omiso a la alerta, igualmente nos lo muestra aunque se ha importado correctamente

Aquí nos muestra los nombres de dominio que no tiene el certificados asignados, pero vamos, me repito en mi caso no sería problema

Ahora ya tenemos el certificado asignado, damos el proceso por finalizado. Esto debemos hacerlo en todos los EDGE de nuestra organización (si tenemos varios claramente), el  proceso es el mismo  a excepción de que debemos exportar el certificado del primer servidor con su clave privada exportable para poder importarlo en el resto de servidores.

Si nos vamos al Visor de Eventos podemos ver que ya tenemos varios alertas informativas de que los distintos servicios ya tienen el  nuevo certificado asignado, por lo que ya hemos finalizado el proceso de renovación de certificado

Como podemos apreciar es un proceso sencillo siempre y cuando se tenga claro, aquí os dejo algunos artículos que había puesto con anterioridad sobre certificados digitales:

• Windows Server 2012, Instalación de una CA
• Creación de CSR para Lync de forma sencilla
• Requisitos que necesita cumplir un Certificiado Digital para reconocerse como válido
• ¿Qué certificados necesitamos para Lync?
• Certificados SAN o Wildcard para nuestra implementación de Lync Server
• Asignar Certificados a un EDGE de Lync Server 2013
• Asignar Certificados a un Front-END de Lync Server 2013
• Lync Server: Modificar el tiempo de validez de un certificado de usuario
• Emitir Certificados con más de 2 años de validez en una CA en Windows
• Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013)
• Lync Server: Reverse-Proxy requisito indispensable
• Federación y Acceso de Usuarios Externos
• Lync Server: Renovación de Certificados y Alertas
• Exportación e Importación Certificados en Windows Server 2012
• Certificados SAN o Wildcard para nuestra implementación de Lync Server
• Certificados Exchange UM: LS Inbound Routing Id. del Evento 45024

Espero que os sea de utilidad!!!