Receber e publicar certificado
Tópico modificado em: 2010-12-13
Na próxima etapa do processo de conexão, o dispositivo envia uma solicitação de assinatura de certificado ao Web Services. O dispositivo usa esse certificado para fornecer um canal de comunicação mais seguro, que utiliza o protocolo TLS com o Web Services ou Registrador.
O dispositivo envia uma solicitação de assinatura do certificado SOAP para o Web Services. O Web Services responde retornando um certificado para o usuário nesse dispositivo assinado pela chave privada do Web Services. Além disso, esse certificado será publicado no repositório de dados do pool inicial do usuário.
Problema 1: Não é possível publicar o certificado
Problema: O Web Services não pode publicar o certificado solicitado pelo dispositivo porque ele não pode se conectar ao repositório de dados de Serviços do Usuário no pool de onde o usuário está hospedado. Um evento é registrado no log de eventos do IIS, observando que o repositório de dados não pode ser alcançado: "repositório de dados indisponível". Isso pode ocorrer a qualquer momento que o repositório de Serviços do Usuário não estiver localizado no mesmo servidor que o Web Services.
Resolução: Isto pode ser um erro esporádico indicando um problema de conectividade entre o Registrador e o dispositivo que está se conectando ou pode indicar um problema contínuo. No caso de um erro esporádico, repita a solicitação do dispositivo reiniciando-o. Para fazer isso, desconecte a fonte de alimentação do dispositivo, aguarde alguns segundos e reconecte a energia. O dispositivo passa pelo processo de conexão antes de enviar a solicitação de publicação do certificado novamente. Dessa vez, o Web Services pode publicar o certificado do usuário no pool inicial do usuário e retorna o certificado para o dispositivo. Para determinar se este é um problema maior e não específico do dispositivo, execute a transação sintética test-CsPhoneBootstrap:
test-CsPhoneBootstrap -PhoneorExt <phone or ext of user> -PIN <user's PIN> -UserSipAddress <user's SIP URI> -verbose
Esta transação demonstra que o número de telefone do usuário e o PIN corresponde ao URI do usuário.
É possível adicionar os parâmetros –TargetCertProvWSURL <web services URL> e –TargetFqdn <Registrar FQDN> para ignorar a descoberta de DHCP.
Problema 2: Não é possível publicar o certificado devido a problema no Registrador
Problema: O certificado gerado pelo Web Services não pode ser gerado ou publicado devido a um problema no Registrador.
Resolução: Verifique a integridade do Registrador examinando primeiro o Pacote de Gerenciamento de Operações do Microsoft System Center para qualquer alerta referente ao Registrador que o dispositivo está se conectando. No System Center Operations Manager, vá para o Registrador e exiba os alertas críticos ou alterações de estado que indicam um problema que não é crítico. Siga as instruções para resolver o problema. Se o Operations Manager não estiver disponível, use a seguinte transação sintética para verificar.
$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN
.gif "note") Observação: |
|---|
| Se você quiser usar a descoberta DHCP, não especifique -TargetFQDN. Se não quiser usar a descoberta DHCP, forneça o nome de domínio totalmente qualificado (FQDN) do destino para a transação sintética e a descoberta DHCP será ignorada. O resultado deve mostrar qual autenticação de ponto falhou (por exemplo, uma mensagem de descoberta DHCP pode não receber uma resposta). Siga as instruções no resultado da transação para resolver o problema. É possível verificar se o web server está executando, observando o certprov.log no Ocslogger (isto é, gerado em cada uma das instâncias rtcsrv dentro do pool). É necessário obter logs de cada servidor do pool porque neste momento não sabemos para qual dispositivo está sendo direcionado. Após os problemas serem resolvidos, reinicie o dispositivo para acionar uma nova tentativa de conexão. Desta vez, o certificado deve ser publicado para o pool no qual o usuário está hospedado e retornado para o dispositivo. |
Problema 3: Não é possível verificar o certificado do Web Services
Problema: O dispositivo não pode verificar o certificado apresentado pelo Web Services para comunicações de TLS. O dispositivo usa a cadeia de certificados raiz baixada quando o dispositivo se conecta pela primeira vez ao servidor da Web. Se esta cadeia não tiver um caminho completo de confiança da autoridade de certificação (CA) raiz para o servidor da Web, não é possível verificar o certificado apresentado pelo servidor da Web.
Resolução: O dispositivo tem um número de certificados de CAs bem conhecidas quando ele for lançado. É importante que o certificado usado para identificar o servidor da Web seja emitido por uma autoridade de certificação que possui uma cadeia de confiança até uma dessas autoridades de certificação raiz. Se esse não for o caso, o dispositivo não poderá validar o certificado que do servidor apresenta para comunicações TLS.
Informações adicionais
É possível ignorar a etapa Receber e publicar certificado usando um cabo USB para conectar o dispositivo a um computador executando o Lync. Este processo realiza a obtenção e publicação do certificado e também instalará o certificado no dispositivo.