none
Skype for Business 2015 - Errore certificati RRS feed

  • Domanda

  • Ciao,

    in questi giorni sto implementando la soluzione S4B per verificarne le funzionalità. La mia architettura è semplice uno standard server, un edge e un Reverse Proxy (IIS ARR).

    Sono fermo all' implementazione del FE.

    Premetto che non ho a disposizione una CA windows nel dominio in cui il FE server è attestato. Il SIP address domain ha un namespace diverso rispetto al namespace del dominio in cui sono presenti i server e gli utenti. Per intenderci:

    AD domain: omega.local

    SIP domain: delta.gamma.it

    I certificati interni e il certificato Oauth sono stati validati da una CA interna non Windows che non pubblica e non popola gli attributi CDP e CRL.

    Dopo aver seguito tutto il processo di deployment e installato i certificati, quando un client tenta di accedere al server ottiene il seguente errore nonostante il certificato pubblico di chi ha emesso il certificato server sia presente nel Trusted CA Store:

    The certificate received from the remote server has not validated
    correctly. The error code is 0x80092012. The SSL connection request has failed.
    The attached data contains the server certificate

    Aggiungo che in precedenza per far partire il servizio server di S4B (RTCSRV) ho dovuto modificare un file XML impostando il bypass del check CRL.

    ‘<S4B installation folder>\Server\Core\ClusterManifest.Xml.Template’

    modificando il seguente paramentro:

    <Parameter Name=”CrlCheckingFlag” Value=”0″ />

    Vi ringrazio per il supporto,

    Simone Reale

     


    Simone

    venerdì 3 febbraio 2017 06:06

Risposte

  • Purtroppo Simone per S4B il discorso certificati è molto delicato. Tutte le comunicazioni ne richiedono uno e anche S4B utilizza certificati per autenticare i propri endpoint.

    Quello che puoi fare è recuperare la CRL dalla CA e caricarla a mano sui server Lync (la importi come un certificato normale).

    Siccome immagino sia una Root, devi installarla sotto Trusted Root Certification Authorities.

    Fatto questo rimetterei anche a posto la modifica che hai fatto sul file XML (non ufficialmente supportata e modificabile da un futuro update senza avviso).

    Fammi sapere se risovli.

    Corrado


    Corrado Mollica

    lunedì 6 febbraio 2017 14:49

Tutte le risposte

  • Ciao Simone,

    puoi provare a modificare le impostazioni in Internet Explorer per non validare la CRL.

    Tieni conto però che quella modifica abbassa la sicurezza del sistema in generale perchè non controllare le CRL vuol dire avere certificati praticamente sempre validi e quindi più facilmente "bucabili".

    Non riesci ad installare una CA nella foresta di S4B in modo da risolvere questo problema? Sarebbe la soluzione migliore.

    C.


    Corrado Mollica

    lunedì 6 febbraio 2017 12:12
  • Ciao,

    ho già provato a fare quello che suggerisci ma non è risolutivo.

    Installare una CA Windows è possibile ma per motivi di sicurezza e policy interne devo sottostare ad un iter autorizzativo piuttosto lungo......

    Grazie,

    Simone Reale


    Simone

    lunedì 6 febbraio 2017 14:23
  • Purtroppo Simone per S4B il discorso certificati è molto delicato. Tutte le comunicazioni ne richiedono uno e anche S4B utilizza certificati per autenticare i propri endpoint.

    Quello che puoi fare è recuperare la CRL dalla CA e caricarla a mano sui server Lync (la importi come un certificato normale).

    Siccome immagino sia una Root, devi installarla sotto Trusted Root Certification Authorities.

    Fatto questo rimetterei anche a posto la modifica che hai fatto sul file XML (non ufficialmente supportata e modificabile da un futuro update senza avviso).

    Fammi sapere se risovli.

    Corrado


    Corrado Mollica

    lunedì 6 febbraio 2017 14:49
  • Ciao Corrado,

    stiamo preparando una nuova CA, non Microsoft, non discuto la scelta dei colleghi, con tutti gli attributi richiesti. Appena pronto il tutto ti faccio sapere.

    Grazie,

    Simoen Reale


    Simone

    martedì 7 febbraio 2017 08:32