none
Ошибка при получении сертификата RRS feed

  • Вопрос

  •   Помогите плиз решить такую ситуацию: Пользователь Lync, подключается с интернета на Edge сервер. При подключении выводиться ошибка.  На компьютер с которого идет подключение, добавлены все необходимые сертификаты (т.е. root и edge external). Настройки подключения следующие:


    17 ноября 2011 г. 17:02

Ответы

  • Проблема с выдачей сертификата компьютеру пользователя (поправка, сертификат на E-mail пользователя). Если используется внутренний центр сертификации, то извне он, естественно, недоступен. Аутентификация на основе сертификатов включается/выключается в панели управления Security=>Registrar, проверьте, включены ли другие способы аутентификации, лучше Kerberos и NTLM

    Можно также попробовать войти хотя бы один раз через VPN, чтобы получить сертификат.

    Если тоже самое возникает при входе через VPN, то проблемы в самом центре сертификации, например, нет прав на шаблон выдачи сертификата пользователям в самом центре сертификации.


    http://www.useto.ru
    • Предложено в качестве ответа Sergey Trofimov 18 ноября 2011 г. 7:13
    • Отменено предложение в качестве ответа StаnvyModerator 18 ноября 2011 г. 7:18
    • Изменено Sergey Trofimov 18 ноября 2011 г. 9:23
    • Помечено в качестве ответа Nasirjanov 19 ноября 2011 г. 7:43
    18 ноября 2011 г. 7:11
  • У меня изначально стояло галочка напротив аутентификация по сертификату. Потом после, того как  Sergey Trofimov посоветовал, я убрал его и поставил на NTLM и Kerberos. После этого все заработало!!! Больше значимых изменений я не делал.

    Аутентификация по сертификату стояло на Front End сервере.

    • Помечено в качестве ответа StаnvyModerator 21 ноября 2011 г. 7:39
    21 ноября 2011 г. 3:54
  • Вот и я о том же написал.

    NTLM выключен, сертификаты включены. Чтоб скачать сертификат нужно один раз аутентифицироваться по NTLM. Замкунутый круг :-)

    • Помечено в качестве ответа Nasirjanov 22 ноября 2011 г. 9:09
    • Снята пометка об ответе Nasirjanov 22 ноября 2011 г. 9:09
    • Помечено в качестве ответа Nasirjanov 22 ноября 2011 г. 9:10
    21 ноября 2011 г. 8:47

Все ответы

  • Устанавливать сертификат Edge'а совершенно не требуется да и бессмысленно - доверие организуется за счёт установки сертификата корневого центра.

    Честно говоря, впервые в жизни вижу такую ошибку :) . Но так как выдавать пользовательские сертификаты умеет исключительно Front-End, можно сделать однозначный вывод, что у вас проблемы с публикацией его Web-сервисов. Видимо, клиенту не удаётся подключиться через Edge по NTLM'у и он сваливается на аутентификацию через сертификат, а получить его не может.

    17 ноября 2011 г. 21:10
    Модератор
  • Станки посоветуйте пожалуйста, какие шаги мне предпринять.
    18 ноября 2011 г. 4:55
  • Проблема с выдачей сертификата компьютеру пользователя (поправка, сертификат на E-mail пользователя). Если используется внутренний центр сертификации, то извне он, естественно, недоступен. Аутентификация на основе сертификатов включается/выключается в панели управления Security=>Registrar, проверьте, включены ли другие способы аутентификации, лучше Kerberos и NTLM

    Можно также попробовать войти хотя бы один раз через VPN, чтобы получить сертификат.

    Если тоже самое возникает при входе через VPN, то проблемы в самом центре сертификации, например, нет прав на шаблон выдачи сертификата пользователям в самом центре сертификации.


    http://www.useto.ru
    • Предложено в качестве ответа Sergey Trofimov 18 ноября 2011 г. 7:13
    • Отменено предложение в качестве ответа StаnvyModerator 18 ноября 2011 г. 7:18
    • Изменено Sergey Trofimov 18 ноября 2011 г. 9:23
    • Помечено в качестве ответа Nasirjanov 19 ноября 2011 г. 7:43
    18 ноября 2011 г. 7:11
  • Что за ерунду вы написали, да ещё и пометили её как ответ?

    Для справки - Lync сам выдаёт сертификаты, причём пользовательские, а не компьютерные, с помощью которых выполняется аутентификация.

    18 ноября 2011 г. 7:18
    Модератор
  • Всё зависит от того, что вы хотите получить ;) . Если вам просто нужен удалённый доступ через Edge без публикации Web-сервисов - это одно, если полный функционал - немного другое.

    А вообще, вы же, вроде, знакомы с нашим творчеством?

    18 ноября 2011 г. 7:22
    Модератор
  • Что за ерунду вы написали, да ещё и пометили её как ответ?

    Для справки - Lync сам выдаёт сертификаты, причём пользовательские, а не компьютерные, с помощью которых выполняется аутентификация.

    Какая еще ерунда? И какой ответ? Вы про что вообще я не понял.
    18 ноября 2011 г. 9:15
  • Просто одни из постов удалили - не обращайте внимания.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    18 ноября 2011 г. 9:20
    Модератор
  • Это был мой ответ на сообщение от "Sergey Trofimov", которое он потом удалил. Первоначальное сообщение вернул обратно.
    18 ноября 2011 г. 9:21
    Модератор
  • Вообще то, мне нужно чтоб Lync работал между федерациями. Мне коллеги с другой федерации посоветовали, чтоб для начало я проверил удаленный доступ через Edge и потом настраивали федерации.

    На счет Вашего творчества, да я знаком и я все делал по Вашим инструкциям, но пока Edge не работает :). 

    18 ноября 2011 г. 9:29
  • Если кое-то не сталкивался с проблемой, то это не значит, что все остальные пишут ерунду.

    У нас была проблема именно с центром сертификации, выглядела аналогично. В центре сертификации были попытки выдать сертификат пользователю, но они заканчивались неудачей и пользователь войти не мог. Проблема возникала и на аппаратных телефонах, которые без сертификата вообще работать не могут, именно потому что на шаблон по умолчанию в центре сертификации небыло достаточного прав на выдачу сертификатов пользователям. 

    А теперь можно всю переписку удалить, если  Nasirjanov прочитал, пусть сам пробует.


    http://www.useto.ru
    18 ноября 2011 г. 9:30
  • Во-первых - я не говорил, что ерунду пишут все. Претензия была только к вашему ответу ;) .

    Во-вторых - не надо выдавать желаемое за действительное. Слышать звон и понимать его источник - разные вещи. Вы же всё смешали в одну кучу!

    Телефоны, как и програмный клиент Lync получают сертификаты ТОЛЬКО от самого Lync'а - внутренний центр сертификации здесь ни коим образом никогда не участвует. Единственное, что требуется телефону - скачать сертификат корневого центра, дабы доверять сертификату (если он выдан внутренним CA), который установлен на самом Front-End'е. После того, как MTLS между ними установлен, все клиентские сертификаты выдаёт только сам Lync ;) . Как происходит скачивание корневого сертификата описано здесь.

    В-третьих - если уж вас на чём-то "поймали", не надо прилагать массу усилий, чтоб выкрутиться и хоть как-то "оправдаться". Нужно банально признать свою неправоту - всё знать невозможно, да и просто вредно ;) . Не ставьте правду своего авторитета выше авторитета правды.

    P. S. Если вы аргументированно докажете, что всё происходит именно так как вы написали, обещаю прилюдно посыпать голову (свою) пеплом...

    P. P. S. А удалять переписку - вообще последнее дело!

    18 ноября 2011 г. 10:55
    Модератор
  • Я правильно понимаю, что удалённо вы подключаетесь с Windows XP?

    У вас, судя по всему, не работает не Edge, а публикация Web-служб Front-End'а ;) .

    18 ноября 2011 г. 11:03
    Модератор
  • Сделал все как советовали, но к сожалению без изменений
    18 ноября 2011 г. 12:11
  • А кто и что вам советовал и  что именно вы сделали?

    18 ноября 2011 г. 12:13
    Модератор
  • Подключался с XP и с семерки. Щас покопался в настройках и теперь просит авторизацию. Вбиваю данные и выводиться: "Не удается войти в Lync. Проверьте учетные данные для входа и повторите попытку ... ". Что радует, то что уже авторизацию начал просить))) 
    18 ноября 2011 г. 12:18
  • Сергей спасибо за ответ, но к сожалению без изменений.
    18 ноября 2011 г. 12:20
  • Давайте так, для начала, вы опишите максимально детально вашу топологию и произведённые настройки, а потом уже будем думать что и где не так. А то вы практически ни чего не предоставили, чтоб можно было хоть как-то приблизиться к решению проблемы ;) .

    18 ноября 2011 г. 12:24
    Модератор
  • Проблема проявляется только при входе с indows XP? Если так, то посмотрите это http://social.technet.microsoft.com/Forums/en-US/ocsplanningdeployment/thread/48100ddb-ec5c-4324-9f6c-103bf9106243/

    Сталкивался с таким, помогало. Но был случай, когда с 7-ки снаружи все ОК, а с ХР - не работало.

    18 ноября 2011 г. 21:02
  • УРА! Все работает. По моему все таки повлияло изменения настроек аутентификации, т.е убрал аутентификации по сертификату и поставил галочки на Kerberos и NTLM.

     

    19 ноября 2011 г. 7:42
  • Всем большое спасибо за ответы!!! 
    19 ноября 2011 г. 7:43
  • То есть, раньше у вас галки напротив Kerberos и NTLM не стояли?

    Если так, то причина ошибки очевидна. Можете снова поставить аутентификацию по сертификату. Теперь она будет работать :-)

    19 ноября 2011 г. 8:12
  • На самом деле, Kerberos через интернет никогда работать не будет. А вот с NTLM'ом прошу раскрыть тему более подробно, так как с вашей пометкой ответа я кардинильно не согласен ;) !

    Что именно вы изменяли у себя в настройках? NTLM изначально был выключен на Edge'е? Изменяли ли вы параметры безопасности NTLM SSP?

    19 ноября 2011 г. 10:11
    Модератор
  • Если в плане публикации ни чего не изменилось, то аутентификация по сертификатам работать так и не будет - просто всё пойдёт через NTLM ;) ...
    19 ноября 2011 г. 10:11
    Модератор
  • У меня изначально стояло галочка напротив аутентификация по сертификату. Потом после, того как  Sergey Trofimov посоветовал, я убрал его и поставил на NTLM и Kerberos. После этого все заработало!!! Больше значимых изменений я не делал.

    Аутентификация по сертификату стояло на Front End сервере.

    • Помечено в качестве ответа StаnvyModerator 21 ноября 2011 г. 7:39
    21 ноября 2011 г. 3:54
  • То есть, NTLM у вас изначально был выключен?
    21 ноября 2011 г. 7:38
    Модератор
  • Вот и я о том же написал.

    NTLM выключен, сертификаты включены. Чтоб скачать сертификат нужно один раз аутентифицироваться по NTLM. Замкунутый круг :-)

    • Помечено в качестве ответа Nasirjanov 22 ноября 2011 г. 9:09
    • Снята пометка об ответе Nasirjanov 22 ноября 2011 г. 9:09
    • Помечено в качестве ответа Nasirjanov 22 ноября 2011 г. 9:10
    21 ноября 2011 г. 8:47
  • Извиняюсь у меня браузер как то глючит.

    Alexander Donin Вы совершенно правы! 

    22 ноября 2011 г. 9:12