locked
Certificats pour serveur Edge et reverse proxy RRS feed

  • Question

  • Bonjour,

    Je déploie actuellement un réseau Lync avec un serveur standard édition avec un serveur Edge et un reverse proxy. Mon réseau fonctionne correctement pour connecter des utilisateurs en interne mais lorsque je souhaite connecter un utilisateur externe j'ai l'erreur suivante qui s'affiche : "un problème s'est produit lors de la vérification du certificat à partir du serveur.".

    Je pense que mon problème vient du fait que je n'ai pas assigné un certificat public sur l'interface externe du serveur Edge. J'ai créé moi même le certificat avec une autorité de certification que je possédais. J'ai fait cela car si je demande un certificat public il faut que je déclare mon domaine au préalable ce qui est payant... Je souhaiterai éviter cela et faire fonctionner Lync avec un certificat privé car je suis encore en phase de test. Cela est-il possible et si oui comment ? 
    De plus, je ne suis pas sûr de moi sur le type de certificat à assigner au reverse proxy. Doit-il être le même que celui de l'interface externe du serveur Edge ?

    Merci d'avance pour vos réponses, ça fait un moment que je cherche sur internet mais que je ne trouve pas la réponse à ma question.

    Laurent

    vendredi 11 juillet 2014 07:57

Réponses

  • Bonjour,

    Pour que Lync puisse se connecter, il est nécessaire que toutes les communications soient vérifiées. Pour cela il est nécessaire que votre PC vérifie l'autorité de certification.

    Si celle ci est installée en mode "Enterprise" (Sur votre windows 2012), le certificat racine est déployé automatiquement sur les PC du domaine. Si c'est le PC est hors domaine ou s'il s'agit d'une autorité Standalone, il est donc nécessaire de le déployer manuellement.

    Pour vérifier que vous avez le certificat racine, lancez la commande "mmc" et ajoutez le composant Certificat. 

    Dans la section "Autorités Racines de confiance" vous devez avoir un certificat portant le nom de votre autorité.

    Si vous avez besoin de précision, n'hésitez pas !

    Cordialement,


    Alexis CONIA - Neitiv - http://www.techandprog.fr / http://www.xpandlync.com

    mardi 15 juillet 2014 20:42

Toutes les réponses

  • Bonjour,

    on peut toujours utiliser des certificats générés par une PKI interne, même si ce n'est pas ce qui est préférable.

    Quand cela est bien fait, on peut utiliser le même certificat sous réserve qu'il contienne tous les noms utilisés (Internes/Externes).

    L'élément le plus important est d'installer l'autorité qui a généré le certificat sur les périphériques qui vont utiliser cet accès de type "Utilisateur Externe".

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 11 juillet 2014 12:09
  • Bonjour,

    Merci pour votre réponse rapide.
    Si je comprends bien, une PKI est une autorité de certification ? Lorsque j'ai déployé le serveur Edge j'ai créé une autorité de certification sur un windows server 2012 pour générer un certificat à partir de la demande que j'avais fait pour l'interface externe du serveur Edge. J'avais ensuite ajouté cette autorité dans les autorités de certifications de confiance sur le serveur Edge et sur le client. Mais cela n'a pas fonctionné non plus. "installer l'autorité qui a généré le certificat sur les périphériques" cela correspond à l'ajouter aux autorités de certification de confiance sur les clients externes ? Je suis désolé j'ai un peu de mal à voir comment bien gérer les certificats, c'est la première fois que j'utilise Lync...

    Laurent

    vendredi 11 juillet 2014 12:48
  • Bonjour,

    Pour que Lync puisse se connecter, il est nécessaire que toutes les communications soient vérifiées. Pour cela il est nécessaire que votre PC vérifie l'autorité de certification.

    Si celle ci est installée en mode "Enterprise" (Sur votre windows 2012), le certificat racine est déployé automatiquement sur les PC du domaine. Si c'est le PC est hors domaine ou s'il s'agit d'une autorité Standalone, il est donc nécessaire de le déployer manuellement.

    Pour vérifier que vous avez le certificat racine, lancez la commande "mmc" et ajoutez le composant Certificat. 

    Dans la section "Autorités Racines de confiance" vous devez avoir un certificat portant le nom de votre autorité.

    Si vous avez besoin de précision, n'hésitez pas !

    Cordialement,


    Alexis CONIA - Neitiv - http://www.techandprog.fr / http://www.xpandlync.com

    mardi 15 juillet 2014 20:42
  • Bonjour,

    Merci beaucoup pour votre explication. J'ai recréé les certificats et fait une nouvelle autorité de certification pour les utilisateurs externes que j'ai mis dans les autorités de confiance, du coup je n'ai plus d'erreur de certificat. En revanche, maintenant lorsque j'essaie de me connecter avec un utilisateur externe j'ai l'erreur suivante : "le serveur est temporairement indisponible". Je précise que les clients internes peuvent toujours se connecter sans problème. J'ai analysé les trames avec wireshark et le client discute bien avec le serveur Edge. Je ne vois pas ce qui ne lui convient pas ?

    Merci d'avance pour votre aide.

    Cordialement,

    Laurent

    mercredi 16 juillet 2014 09:08
  • Bonjour,

    J'ai finalement trouvé mon erreur, c'était un problème de configuration du pare-feu de Windows qui bloquait la connexion.

    Laurent

    mercredi 16 juillet 2014 12:34
  • Bonjour,

    Lors du passage en production, je vous conseille de passer sur des certificats publics. Microsoft tient a jour une liste de partenaires certifiés pour fonctionner avec les solutions UC : http://support.microsoft.com/kb/929395

    Cordialement,


    Alexis CONIA - Neitiv - http://www.techandprog.fr / http://www.xpandlync.com

    mercredi 16 juillet 2014 12:37
  • Bonjour,

    Ok, merci pour l'information.

    Cordialement,

    Laurent

    mercredi 16 juillet 2014 14:42