none
Сертификат и корневой сертификат ЦС

    Question

  • Добрый вечер.
    Тестирую Lync 2010. Дошло дело до сертификатов. Читаю эту статью. ЦС и Lync сервер - разные сервера, в одном домене.
    Так вот на 16 шаге у меня по-другому...

    A certificate with thumbprint 014B9AE7DC71C0807ECE173612A2051543526FEE has been added to the local certificate store.
    The certificate has been issued by the online certification authority and is installed to the local certificate store, however it is not valid. Make sure that the Root certificate, and necessary certificate chain is installed on this server.

    Я так понимаю, мне нужен корневой сертификат ЦС добавить в локальное хранилище сервера Lync. Не могу найти, где найти корневой сертификат?
    Вспоминается, что его можно было загрузить из http://server_ca.localnet/certsrv

    Для этого установил дополнительно WWW publishing service. Однако при входе по данной ссылке получаю отлуп: 403.4 Forbidden.
    Для этого виртуального каталога включил анонимную авторизацию - не помогло. Как правильно дать разрешение на этот виртуальный каталог?

    Или может есть способ получить корневой сертификат без веб-интерфейса?

    Спасибо!

    Wednesday, June 13, 2012 5:36 PM

Answers

  • Доброе утро. Можно. Как вариант (общепринятый) назначается политика распространения сертификата CA в домене, но если нет такой необходимости, то сам файл сертификата (с расширением .cer) можно отыскать по адресу: C:\Windows\System32\certsrv\CertEnroll  (естественно на компьютере с ролью CA). Скопировать файлик на сервер Lync и обязательно положить его в хранилище довереренных корневых центров сертификации


    Do not multiply entities beyond what is necessary


    • Edited by Dmitry.I Thursday, June 14, 2012 4:47 AM
    • Marked as answer by Anahaym Thursday, June 14, 2012 8:38 AM
    Thursday, June 14, 2012 4:46 AM
  • Добрый день!

    Корневой сертификат вашего ЦС, если он является доменным (enterprise CA) и корневым (root), проще всего установить на все компьютеры в домене через групповую политику, а именно default domain policy. Computer congiguration-->Policies-->Security settings-->Public Key policies--> trusted root certification authorities и добавить туда сертификат вашего ЦС, а если у вас иерархическая структура центров сертификации, то необходимо добавить сертификаты всех ЦС.

    Без веб-интерфейса сертификат достать можно.

    Открывайте MMC на Lync сервере, добавляйте оснастку Certificates, выбирайте computer account, локальный компьютер, раскрывайте контейнер personal, далее откройте  сертификат, который вы получили через wizard установки Lync. в окне просмотра сертификата выбирете вкладку certification path, далее необходимо выбрать сертификат ЦС (должен быть с красным крестиком), затем нажать view certificate, перейти на вкладку details, выбрать copy to file, скопировать. затем в той же оснастке выполнить импорт скопированного сертификата в хранилище trusted root certifications authorities, либо распространить его через GPO.

    PS: через GPO делать все равно придется, т.к. клиентские компьютеры также должны доверять ЦС, выдавшему сертификат Lync сервера.

    PPS: В IIS делать ничего не нужно для того, чтобы зайти по ссылке в веб-интерфейс ЦС. Нужно просто установить сервис Certification Authority Web Enrollment роли AD CS (2008 Windows) и все роли Windows, которые мастер установки для этого запросит. Ссылка у вас верная.


    • Edited by Kishkinskiy Anton Thursday, June 14, 2012 5:00 AM
    • Marked as answer by Anahaym Thursday, June 14, 2012 8:38 AM
    Thursday, June 14, 2012 4:59 AM

All replies

  • Доброе утро. Можно. Как вариант (общепринятый) назначается политика распространения сертификата CA в домене, но если нет такой необходимости, то сам файл сертификата (с расширением .cer) можно отыскать по адресу: C:\Windows\System32\certsrv\CertEnroll  (естественно на компьютере с ролью CA). Скопировать файлик на сервер Lync и обязательно положить его в хранилище довереренных корневых центров сертификации


    Do not multiply entities beyond what is necessary


    • Edited by Dmitry.I Thursday, June 14, 2012 4:47 AM
    • Marked as answer by Anahaym Thursday, June 14, 2012 8:38 AM
    Thursday, June 14, 2012 4:46 AM
  • Добрый день!

    Корневой сертификат вашего ЦС, если он является доменным (enterprise CA) и корневым (root), проще всего установить на все компьютеры в домене через групповую политику, а именно default domain policy. Computer congiguration-->Policies-->Security settings-->Public Key policies--> trusted root certification authorities и добавить туда сертификат вашего ЦС, а если у вас иерархическая структура центров сертификации, то необходимо добавить сертификаты всех ЦС.

    Без веб-интерфейса сертификат достать можно.

    Открывайте MMC на Lync сервере, добавляйте оснастку Certificates, выбирайте computer account, локальный компьютер, раскрывайте контейнер personal, далее откройте  сертификат, который вы получили через wizard установки Lync. в окне просмотра сертификата выбирете вкладку certification path, далее необходимо выбрать сертификат ЦС (должен быть с красным крестиком), затем нажать view certificate, перейти на вкладку details, выбрать copy to file, скопировать. затем в той же оснастке выполнить импорт скопированного сертификата в хранилище trusted root certifications authorities, либо распространить его через GPO.

    PS: через GPO делать все равно придется, т.к. клиентские компьютеры также должны доверять ЦС, выдавшему сертификат Lync сервера.

    PPS: В IIS делать ничего не нужно для того, чтобы зайти по ссылке в веб-интерфейс ЦС. Нужно просто установить сервис Certification Authority Web Enrollment роли AD CS (2008 Windows) и все роли Windows, которые мастер установки для этого запросит. Ссылка у вас верная.


    • Edited by Kishkinskiy Anton Thursday, June 14, 2012 5:00 AM
    • Marked as answer by Anahaym Thursday, June 14, 2012 8:38 AM
    Thursday, June 14, 2012 4:59 AM
  • Сделал всё из ММС. Только сертификат ЦС у меня не был помечен красным крестиком. Добавил его в root - при назначении сертификата нашёл свои (уже три) сертификаты! Единственное, получил предупреждение:

    Warning: Revocation status unknown. Cannot contact the revocation server specified in certificate "4BF5942EE54ED42E7B9DD4328F963FEB28EBECE8" for the issuer "CN=mydomain-EXCHANGE-CA, DC=mydomain, DC=localnet".

    Что это означает?

    По поводу назначения сертификата клиентам через GPO. Я смотрел это видео. Так вот там, как-то мудрёно публиковали сертификат. Или это только для внешних клиентов?

    Thursday, June 14, 2012 8:38 AM
  • А ещё вопрос появился... Сертификаты для MAC нужно тоже импортировать?

    У меня когда на виндовом клиенте не было сертификата - ругнулся на него во время подключения. А в МАС просто говорит - сервис не доступен.

    Thursday, June 14, 2012 4:43 PM
  • 1) В каждом сертификате в поле CRL distribution points (CDP, certificate revocation list distribution point, CDP) содержится адрес (URL или Ldap или и то и то) для доступа к спискам отзыва сертфикатов. Т.е. идет проверка активен ли этот сертификат, либо его отозвал администратор центра сертификации и он более не может быть использован. Когда адрес CDP недоступен, возникает подобная ошибка.

    2) с MAС не работал, но сертификат там по-любому нужен, т.к. Lync работает по TLS. В iPhone импортированные сертификаты называются Profiles. в общем, тут Google в помощь :)

    Friday, June 15, 2012 10:30 AM
  • 1) т.е. его всё-таки нужно будет опубликовать на веб-сервере ? Если это для внешних клиентов, т.к. внутренних можно через GPO контролировать...
    Friday, June 15, 2012 11:06 AM
  • да, для доступности снаружи достаточно опубликовать CRL через http.

    Изнутри достаточно и ldap пути, но лучше использовать http.

    Вот статья про публикацию CRL на выделенный веб-сервер

    http://blogs.technet.com/b/configmgrteam/archive/2009/05/01/how-to-publish-the-crl-on-a-separate-web-server.aspx

    И публикация через TMG/ISA

    http://www.isaserver.org/tutorials/Secure-CDP-publishing-Forefront-TMG-HTTP-filter.html

    PS: тема уже давно не про Lync, а уже и ответ получен ;)
    Friday, June 15, 2012 11:22 AM
  • спасибо. намек понял )
    Friday, June 15, 2012 11:31 AM