Главная > Lync > Как Lync Phone Edition скачивает корневой сертификат

Как Lync Phone Edition скачивает корневой сертификат

Ниже статья, подготовленная Александром Станкевичем, ранее опубликованная в качестве ответа на пост на форуме Microsoft TechNet — http://social.technet.microsoft.com/Forums/ru-RU/lync2010ru/thread/82ec9dc1-170f-4778-8eed-d239e4da7e16/ и опыт решения мной проблемы с невозможностью Lync Phone Edition подключиться к Exchange Server (к календарю и т.п.).
———————————

Готовьтесь к очередной порции тайного знания 🙂 …

Итак, я его «сделал»!

Но, для начала, о самой проблеме…
При первом подключении, телефон поочерёдно выдаёт следующие сообщения:

LPhECert_Connecting

LPhECert_Locating

LPhECert_Installing

LPhECert_Validate

Потом, по кругу, он выдаёт первое и последнее и так до посинения.
Иногда, правда (когда именно я так и не понял 🙂 ), ему это надоедает и он выдаёт следующее:

LPhECert_Error

Причём, данное сообщение не совсем точно сообщает об ошибке и вводит в заблуждение.
Если же телефон подключается не по имени и паролю (через USB), а по Extension’у и PIN’у, то ошибка будет такой:

LPhECert_Error 2

Теперь об исследовании рабочей конфигурации…

Как я и обещал (в обсуждении проблемы на форуме TechNet — прим. ред.) — установил на Front-End сертификат, выданный сторонним центром сертификации, который не имеет ни малейшего отношения к моей инфраструктуре. Телефон, после этого, подключался, как ни в чём не бывало! И это при том, что корневой сертификат я установил только на Front-End!

Я чуть глаза не сломал, пока просматривал дамп сетевого трафика 🙂 !
Девушки в красном я (типа намёк на фильм «Матрица» — прим. ред.), конечно же, не увидел, но среди потока данных, обнаружил корневой сертификат того самого стороннего центра сертификации.
Причём, закодирован он был в Base-64 и находился в XML-ответе сервера в тэгах «<RootCertChains><Chain>»:

LPhECert_NetworkDump

Ну и, собственно, мораль сей басни такова…

При первом подключении, телефон скачивает корневой сертификат центра сертификации, которым был выпущен сертификат Front-End’а.

Но делает он это не совсем так, как об этом говорит документация (видимо, эхо OCS + Tanjay) (а вот на моей практике при работе с телефоном Polycom Sound Point IP 331 с прошивкой 4.1.0B действо происходило в точности с документацией — телефон скачивал сертификат именно из Active Directory — прим. ред.).

На самом же деле, корневой сертификат (или всю цепочку) телефон пытается получить через Web-сервисы Front-End’а (ну или Director’а) при обращении по » http://%PoolFQDN%/CertProv/CertProvisioningService.svc/anon » и только после этого, если скачать сертификат не удалось, телефон обращается к AD и то только в том случае, если вход происходит по имени и паролю (через USB) (в моём случае Polycom Sound Point IP 331 не умеет аутентифицироваться по PIN, а умеет по логину и паролю, поэтому он очевидно и лез сразу в Active Directory — прим. ред.).

Если же вход производится по Extension’у и PIN’у, то у телефона нет доступа к AD и скачать корневой сертификат он не может, так что единственным вариантом, в этом случае, являются Web-службы.

В общем, если сертификат у вас не скачивается, значит, внутренний сайт Lync’а не работает на 80-м порту, для него включено обязательное шифрование или вы ещё каким либо образом зарубили данное подключение 🙂 .

P. S. Я, мягко говоря, сильно удивлён, что документация Microsoft’а не описывает полноценно данный механизм!

P. P. S. Свой блог я не веду, но считаю, что данный ответ вполне достоин, чтоб поселиться в чьём-нибудь 🙂  (сбылось желание — статья размещена здесь 😉 — прим. ред.).

Александр Станкевич, 2012 год.
———————————

Дополнительно (уже полностью от редактора):
Мне в ходе решения проблемы с невозможностью Lync Phone Edition подключиться к Exchange Server очень не помешало знание того как Lync Phone Edition скачивает сертификаты корневых центров сертификации.

Список центров сертификации, которым доверяет Lync Phone Edition «из коробки» представлен в документации по ссылке, ранее уже приводившейся — http://technet.microsoft.com/en-us/library/gg398270(v=ocs.14).aspx

Как в итоге выяснилось (прямо сейчас, когда я писал эту статью 😉 ) в ходе решения проблемы с подключением к Exchange Server, публичный сертификат, установленный на Exchange Server при всей своей публичности ничуть не доверенный для Lync Phone-а.

Решить эту проблему можно установив сертификат этого ЦС на Lync Phone Edition.
Как это сделать?
Кратко, так (пример):
$cert = new-cswebtrustedCACertificate -thumbprint «?02ac5c266a0b409b8f0b79f2ae462577» -castore TrustedRootCA
Get-CsWebServiceConfiguration
set-cswebserviceConfiguration -trustedCACerts @{Add=$cert}
Get-CsWebServiceConfiguration
, где 02ac5c266a0b409b8f0b79f2ae462577 — это thumbprint (или серийный номер) корневого ЦС (самого «верхнего» в цепочке ЦС, в моём случае это был DigiCert High Assurance EV Root CA
).
Подробнее — в дополнительных материалах — в ссылках на статьи по данной проблеме, см.ниже.

Дополнительные материалы:
Connection to Microsoft Exchange is Unavailable on Lync 2010 Phone Edition (EN, html)
Lync Phone Edition: Connection to Microsoft Exchange is unavailable (EN, html)

З.Ы.:
Скачать эту же статью в формате Microsoft Word.

Реклама
Рубрики:Lync
  1. Комментариев нет.
  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: