locked
Erreur Certificat Liaison Externe Skype Business 2015 RRS feed

  • Question

  • Bonjour,Je viens d'installer SFB2015 sans problème sur un serveur. Les postes internes (PC) se connecte sans problème à SFB.

    Malheureusement, les postes hors domaine (telephone, tablette, pc) ne peuvent se connecter suite à une erreur de certificat.

    Je travail avec le certificat généré par l'installation de SFB, sur une authorité de certification interne. Pour une autre activité j'ai acheté un certificat (fichier CRT) pour un serveur WEB. Par contre, je n'arrive pas à remplacer le certificat de SFB par celui-ci, d'ailleurs je ne sais meme pas si cela est possible.

    Merci de votre aide car je m'arrache les cheveux !! LOL

    Voila le résultat des test de connexions de microsoft :

    mardi 9 février 2016 08:49

Toutes les réponses

  • Bonjour,
    Dans les bonnes pratiques, il faut d'un certificat public pour le reverse proxy et la pate externe du edge.
    cependant si ton budget ne le permet pas tu peux utiliser un certificat générer depuis ta PKI interne en important
    par la suite le certificat de l'authorité de certification interne dans ton magasin de confiance de ta machine.
    Restons dans les bonnes pratique en utilisant un certificat public.
    la liste des SAN et des common name à avoir dans ces certificats son dans cette article technet : https://technet.microsoft.com/en-us/library/dn933910.aspx
    pour faire un topo, tu as besoin de deux certificats:
    Un pour le reverse proxy, il expose le point d'entree des telephone des réunion et web service de SFB, avec les SAN suivant:
    -Meet.<ton domaine>
    -dialin.<ton domaine>
    -lyncdiscover.<ton domaine>
    -lyncweb.<ton domaine> (le nom peut différer à voir dans ton topology builder sur les propriétés de ton FE)
    Et si ton reverse proxy héberge d'autre service:
    -wac.<ton domaine> (url des web services office web apps)
    -autodiscover.<ton domaine>
    -outlook web app...
    -...
    les wildcard sont supportée et plus simple à déployer. tu devra créer ta requete manuellement. voici la procédure https://technet.microsoft.com/fr-fr/library/gg429704(v=ocs.15).aspx

    Sur la pate externe du edge le nom varie en fonction de ta topologie, donc a valider avec le topologie builder mais tu pourra le générer avec l'assistant:
    Il contiendra:
    sip.<ton domaine>*
    webconf.<ton domaine>*
    av.<ton domaine>*
    access.<ton domaine>*
    la procédure : https://technet.microsoft.com/en-us/library/dn951368.aspx
    Cordialement,
    Yannick VILSANS

    mercredi 10 février 2016 03:04
  • Bonjour,

    Je vous remercie de votre réponse. Une précision c'est une vers Standard de SFB donc un seul serveur.

    Les entrée DNS public et interne ont été faites et j'ai un certificat WildCard

    par contre, ce certificat n'apparait pas dans la liste des certificat que je peux assigné dans SFB 2015, alors que l'importation c'est bien passé.

    De plus dans IIS je ne le voit pas non plus.

    Merci de votre aide car la je patauge...


    Sebastien

    jeudi 11 février 2016 09:19
  • Bonjour,

    Comment-avez vous importer le certificat ?

    - Vérifiez s'il est bien présent dans le store personel :
    - Ouvrez une MMC,
    - Ajoutez le composant "Certificats" - "Ordinateur Local"
    - Vérifiez s'il est présent sous Personnel\Certificats

    jeudi 11 février 2016 14:25
  • Bonjour,

    J'ai importé le certificat directement dans le container et également depuis l'outil de gestion des certificats de SFB 2015.


    Sebastien

    jeudi 11 février 2016 14:45
  • Le certificat en question ne dispose pas de clé privée. Elle est nécessaire.
    Votre problème se situe là.

    Vous pouvez exporter le certificat avec la clé privée sur le serveur ayant servit à générer la requête (.CSR).
    Le ré-importer à nouveau sur ce serveur.
    jeudi 11 février 2016 15:06
  • Bonjour,

    Merci pour ce retour, la demande est en cours et je manquerais de revenir vers vous concernant l'issue de cette solution.

    Merci encore


    Sebastien

    vendredi 12 février 2016 15:21
  • Merci Beaucoup

    Cela fonctionne correctement maintenant.

    Bonne Continuation.


    Sebastien

    vendredi 12 février 2016 16:06
  • Parfait ! A vous aussi
    -----
    N'oubliez pas de marquer les réponses ayant été utiles pour orienter les autres membres de la communauté.
    vendredi 12 février 2016 17:21