Empfangen und Veröffentlichen von Zertifikaten

Lync Server 2010
 

Letztes Änderungsdatum des Themas: 2010-12-13

Im nächsten Schritt des Verbindungsprozesses sendet das Gerät eine Zertifikatsignieranforderung an die Webdienste. Mithilfe dieses Zertifikats kann das Gerät einen sichereren Kommunikationskanal bereitstellen, der TLS (Transport Layer Security) mit den Webdiensten oder der Registrierungsstelle verwendet.

Das Gerät sendet eine SOAP (Simple Object Access-Protokoll)-Zertifikatsignieranforderung (Certificate Signing Request, CSR) an die Webdienste. Die Webdienste antworten durch das Senden eines Zertifikats für den Benutzer auf diesem Gerät, das mit dem privaten Schlüssel der Webdienste signiert ist. Darüber hinaus wird dieses Zertifikat im Datenspeicher des Home-Pools des Benutzers veröffentlicht.

Problem: Die Webdienste können das von dem Gerät angeforderte Zertifikat nicht veröffentlichen, da keine Verbindung mit dem Benutzerdienste-Datenspeicher im Home-Pool des Benutzers hergestellt werden kann. Im IIS-Ereignisprotokoll wird ein Ereignis protokolliert und darauf hingewiesen, dass der Datenspeicher nicht verfügbar ist. Dies kann jederzeit passieren, wenn sich der Benutzerdienstespeicher nicht auf demselben Server wie die Webdienste befindet.

Lösung: Dies kann ein sporadischer Fehler sein, der auf ein Problem bei der Verbindung zwischen der Registrierungsstelle, mit dem das Gerät eine Verbindung herstellt, hinweist. Es kann sich jedoch auch um ein ständiges Problem handeln. Bei einem sporadischen Fehler versuchen Sie es erneut mit der Anforderung des Geräts, indem Sie das Gerät erneut starten. Stecken Sie dazu das Gerät aus, warten Sie ein paar Sekunden, und stecken Sie das Gerät erneut ein. Das Gerät durchläuft den Verbindungsprozess, bevor die Zertifikatveröffentlichungsanforderung erneut gesendet wird. Dieses Mal kann das Zertifikat des Benutzers von den Webdiensten im Home-Pool des Benutzers veröffentlicht werden, und das Zertifikat wird an das Gerät zurückgesendet. Führen Sie die synthetische Transaktion test-CsPhoneBootstrap aus, um festzustellen, ob es sich um ein größeres Problem handelt, dass nicht nur dieses spezielle Gerät betrifft:

test-CsPhoneBootstrap -PhoneorExt <phone or ext of user> -PIN <user's PIN> -UserSipAddress <user's SIP URI> -verbose

Diese Transaktion zeigt, dass die Telefonnummer und die PIN des Benutzers mit dem URI des Benutzers übereinstimmen.

Sie können die Parameter –TargetCertProvWSURL <Webdienste-URL> und –TargetFqdn <FQDN der Registrierungsstelle> hinzufügen, um die DHCP-Ermittlung zu umgehen.

Problem: Das von den Webdiensten generierte Zertifikat kann aufgrund eines Registrierungsstellenproblems nicht generiert oder veröffentlicht werden.

Lösung: Überprüfen Sie die Integrität der Registrierungsstelle, indem Sie zuerst im Microsoft System Center Operations Manager Management Pack nach Benachrichtigungen im Zusammenhang mit der Registrierungsstelle suchen, mit der das Gerät eine Verbindung herstellt. Navigieren Sie in System Center Operations Manager zur Registrierungsstelle, und zeigen Sie kritische Benachrichtigungen oder Statusänderungen, die auf ein nicht kritisches Problem hinweisen, an. Befolgen Sie die Anweisungen zum Beheben des Problems. Verwenden Sie die folgende synthetische Transaktion zur Überprüfung, falls Operations Manager nicht verfügbar ist.

$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN
noteHinweis:
Wenn Sie die DHCP-Ermittlung verwenden möchten, geben Sie –TargetFQDN nicht an. Wenn Sie die DHCP-Ermittlung nicht verwenden möchten, geben Sie den vollqualifizierten Zieldomänennamen (Fully Qualified Domain Name, FQDN) zur synthetischen Transaktion an. Die DHCP-Ermittlung wird dann umgangen. Anhand der Ausgabe sollten Sie erkennen, an welchem Punkt bei der Authentifizierung ein Fehler aufgetreten ist (z. B. könnte auf die DHCP-Suchmeldung keine Antwort eingehen). Befolgen Sie die Anweisungen in der Transaktionsausgabe zum Beheben des Problems. Anhand des Protokolls certprov.log in OCSLogger (wird für jede RTCSRV-Instanz im Pool generiert) können Sie überprüfen, ob der Webserver ausgeführt wird. Sie benötigen Protokolle von jedem Server im Pool, da zu diesem Zeitpunkt nicht bekannt ist, an welchen Server das Gerät weitergeleitet wird. Nachdem die Probleme behoben wurden, starten Sie das Gerät neu, um einen neuen Verbindungsversuch auszulösen. Dieses Mal sollte das Zertifikat im Home-Pool des Benutzers veröffentlicht und an das Gerät zurückgesendet werden.

Problem: Das von den Webdiensten für die TLS-Kommunikation präsentierte Zertifikat kann vom Gerät nicht überprüft werden. Das Gerät verwendet die Stammzertifikatkette, die heruntergeladen wird, wenn das Gerät zum ersten Mal eine Verbindung mit dem Webserver herstellt. Falls diese Kette keinen vollständigen Vertrauenspfad von der Stammzertifizierungsstelle bis zum Webserver aufweist, kann das vom Webserver präsentierte Zertifikat nicht überprüft werden.

Lösung: Das Gerät verfügt bei der Auslieferung über eine Reihe von Zertifikaten von bekannten Zertifizierungsstellen. Es gilt zu beachten, dass das zum Identifizieren des Webservers verwendete Zertifikat von einer Zertifizierungsstelle ausgestellt wird, die eine Vertrauenskette bis hin zu einem dieser Stammzertifizierungsstellen aufweist. Sollte dies nicht der Fall sein, kann das vom Server für die TLS-Kommunikation präsentierte Zertifikat nicht überprüft werden.

Den Schritt zum Empfangen und Veröffentlichen eines Zertifikats können Sie umgehen, indem Sie das Gerät mithilfe eines USB-Kabels an einen Computer mit Lync anschließen. Dadurch wird das Zertifikat abgerufen und veröffentlicht, und außerdem wird das Zertifikat auf dem Gerät installiert.

 
Anzeigen: