L'assistant de certificats proposé pendant l'installation d'Office Communications Server 2007 facilite la création des certificats en préparant le contenu du certificats, et notamment les champs Subject Name et Subject Alternate Name. Cependant, si les certificats doivent être émis par une autorité de certification publique (VeriSign, Thawte, DigiCert...), il peut être intéressant de préparer la requête de certificat avant l'installation d'OCS.
De plus, dans le cas où plusieurs certificats sont à générer (et donc plusieurs requêtes), l'assistant de certificats n'est pas le meilleur outil puisqu'il ne permet pas de générer plusieurs requêtes en parallèle.
Pour parvenir à générer plusieurs requêtes de certificats en parallèle, la solution est d'utiliser l'outil LCSCmd, présent sur le CD d'installation d'OCS 2007 dans le répertoire setup\i386, qui permet avec les options /Cert /Action:Request, de générer plusieurs requêtes en parallèle afin de les soumettre via fichier texte à l'autorité de certification. La documentation de LCSCmd est très bien faite pour parvenir à générer le bon certificat.
Attention cependant, pour une requête hors ligne, ne pas oublier de mettre l'option /Online:FALSE.
Pour plus d'informations sur l'utilisation de LCSCmd, référez-vous à sa documentation : http://www.microsoft.com/downloads/details.aspx?familyid=84651696-1368-4700-aacf-de9bd4456595&displaylang=en&tm
La fiche technique suivant référence les autorités de certification publiques qui ont travaillé étroitement avec Microsoft de manière à proposer aux sociétés des certificats conformes aux besoin d'Exchange Server 2007 et / ou Office Communications Server 2007 : http://support.microsoft.com/kb/929395/en-us
Globalement, le besoin supplémentaire par rapport à un certificat serveur classique est le support du champ Subject Alternate Name dans le certificat.
Il est aussi intéressant de noter que d'autres autorités de certifications que celles listées dans la fiche technique peuvent proposer les bons certificats.
Les clients Office Communications Server 2007 qui ne sont autres que Office Communicator 2007, Live Meeting Console 2007 ainsi que le Tanjay (le téléphone IP autonome - Office Communicator Phone Edition) accèdent au serveur OCS qui héberge le role Web Components via un reverse proxy lorsqu'ils sont connectés sur l'Internet.
Afin de sécuriser au maximum les accès (HTTPS est le minimum), il est possible de configurer la règle de publication des Web Components sur ISA Server de manière à n'autoriser que les chemins suivants :
- /Abs/Ext/*
- /Conf/Ext/*
- /Etc/*
- /GroupExpansion/Ext/*
- /RequestHandler/ucdevice.aspx
Le dernier élément permet aux téléphones Office Communicator Phone Edition se vérifier si des mises à jour sont disponibles. Donc si le service Device Update Service n'est pas installé, ce dernier élément n'est pas nécessaire. Bien sûr, dans le cas où il serait installé, il faut aussi penser à publier l'URL permettant d'accéder au site WSS 3.0 contenant les mises à jour...