Ricevere e pubblicare il certificato
Ultima modifica dell'argomento: 2010-12-13
Il passaggio successivo del processo di connessione è rappresentato dall'invio da parte del dispositivo di una richiesta di firma del certificato ai servizi Web. Il dispositivo si avvale di tale certificato per offrire un canale di comunicazione più sicuro basato su TLS (Transport Layer Security) con i servizi Web o il registrar.
Il dispositivo invia una richiesta di firma del certificato SOAP (Simple Object Access Protocol) ai servizi Web. I servizi Web rispondono restituendo un certificato per l'utente su tale dispositivo, firmato con la chiave privata dei servizi Web. Questo certificato inoltre verrà pubblicato nell'archivio dati del pool principale dell'utente.
Problema 1: impossibile pubblicare il certificato
Problema: i servizi Web non possono pubblicare il certificato richiesto dal dispositivo perché è impossibile connettersi all'archivio dati Servizi utente nel pool in cui è situato l'utente. Nel registro eventi IIS viene registrato un evento in cui viene indicato che è impossibile raggiungere l'archivio dati e che pertanto l'archivio dati non è disponibile. Questo problema può verificarsi se l'archivio di Servizi utente non è contenuto nello stesso server dei servizi Web.
Soluzione: questo può essere un errore sporadico che indica un problema di connettività tra la funzione di registrazione e il dispositivo utilizzato per la connessione o può segnalare l'esistenza di un problema in corso. Nel caso di un errore sporadico, ripetere la richiesta del dispositivo riavviandolo. A tale scopo, scollegarlo dall'alimentazione, attendere alcuni secondi e quindi ricollegarlo. Il dispositivo esegue ciclicamente il processo di connessione prima di inviare di nuovo la richiesta di pubblicazione del certificato. Questa volta i servizi Web sono in grado di pubblicare il certificato dell'utente nel pool principale dell'utente e restituiscono il certificato nel dispositivo. Per determinare se si tratta di un problema più ampio non specifico del dispositivo, eseguire la transazione sintetica test-CsPhoneBootstrap:
test-CsPhoneBootstrap -PhoneorExt <phone or ext of user> -PIN <user's PIN> -UserSipAddress <user's SIP URI> -verbose
Questa transazione dimostra che il numero di telefono e il PIN dell'utente corrispondono all'URI dell'utente.
È possibile aggiungere i parametri -TargetCertProvWSURL <URL servizi Web> e -TargetFqdn <FQDN funzione di registrazione> per ignorare l'individuazione DHCP.
Problema 2: impossibile pubblicare il certificato per problemi della funzione di registrazione
Problema: il certificato generato dai servizi Web non può essere generato né pubblicato a causa di un problema della funzione di registrazione.
Soluzione: verificare l'integrità della funzione di registrazione cercando innanzitutto in Microsoft System Center Operations Manager Management Pack eventuali avvisi relativi alla funzione di registrazione a cui si connette il dispositivo. In System Center Operations Manager passare alla funzione di registrazione e visualizzare eventuali avvisi critici o cambiamenti di stato che indicano un problema non critico. Seguire le istruzioni per risolvere il problema. Se Operations Manager non è disponibile, utilizzare la transazione sintetica seguente per effettuare la verifica.
$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN
Nota
Se si desidera utilizzare l'individuazione DHCP, non specificare -TargetFQDN. Se invece non si desidera utilizzare l'individuazione DHCP, specificare il nome di dominio completo (FQDN) di destinazione nella transazione sintetica e l'individuazione DHCP verrà ignorata. Nell'output dovrebbe essere visibile il punto in cui l'autenticazione ha avuto esito negativo, ad esempio il messaggio di individuazione DHCP potrebbe non ricevere una risposta. Seguire le indicazioni contenute nell'output della transazione per risolvere il problema. È possibile verificare che il server Web sia in esecuzione esaminando il file certprov.log in Ocslogger (generato in ognuna delle istanze rtcsrv nel pool). È necessario ottenere i registri da ogni server del pool poiché a questo punto non si conosce il server a cui si connette il dispositivo. Dopo la risoluzione dei problemi, riavviare il dispositivo per attivare un nuovo tentativo di connessione. Questa volta il certificato dovrebbe essere pubblicato nel pool in cui è situato l'utente e restituito nel dispositivo.
Problema 3: impossibile verificare il certificato dei servizi Web
Problema: il dispositivo non può verificare il certificato presentato dai servizi Web per le comunicazioni TLS. Il dispositivo utilizza la catena di certificati radice scaricata alla prima connessione del dispositivo al server Web. Se questa catena non include un percorso completo di certificati dall'autorità di certificazione (CA) radice fino al server Web, il certificato presentato dal server Web non può essere verificato.
Soluzione: il dispositivo viene fornito con numerosi certificati di CA note. È importante che il certificato utilizzato per identificare il server Web sia emesso da una CA con una catena di certificati che risale fino a una di queste CA radice. In caso contrario, il dispositivo non sarà in grado di convalidare il certificato presentato dal server per le comunicazioni TLS.
Ulteriori informazioni
È possibile ignorare il passaggio di ricezione e pubblicazione del certificato utilizzando un cavo USB per collegare il dispositivo a un computer che esegue Lync. Questo processo viene eseguito per ottenere e pubblicare il certificato e comporterà inoltre l'installazione del certificato nel dispositivo.