接收及發佈憑證

問題 1：無法發佈憑證

**問題：**Web 服務無法發佈裝置所要求的憑證，因為它無法連線至使用者所在的使用者服務資料存放區。IIS 事件記錄中會記錄一項事件，指出無法連線到資料存放區：「無法使用資料存放區」。當使用者服務存放區和 Web 服務不是位於相同的伺服器上時，就會發生這個問題。

**解決方法：**這可能是一個偶發性錯誤，指出裝置連線至的登錄器發生連線問題，或可能指出有後續問題發生。在這種偶發性錯誤情況下，您可重新啟動裝置來重試裝置的要求。若要這麼做，請拔除裝置電源，靜候幾秒，然後重新插電。裝置就會循環連線程序，然後再傳送一次憑證發佈要求。這時候 Web 服務就能將使用者的憑證發佈至使用者主集區，並將憑證傳回給裝置。若要判斷是否有不侷限於裝置本身而涉及較廣的問題，請執行 test-CsPhoneBootstrap 綜合交易：

test-CsPhoneBootstrap -PhoneorExt <phone or ext of user> -PIN <user's PIN> -UserSipAddress <user's SIP URI> -verbose

這個交易會示範使用者的電話號碼與 PIN 相符於使用者的 URI。

您可新增下列參數 –TargetCertProvWSURL <Web 服務 URL> 與 –TargetFqdn <登錄器 FQDN> 來略過 DHCP 探索。

問題 2：因為登錄器問題而無法發佈憑證

**問題：**因為登錄器上的問題，無法產生或發佈由 Web 服務產生的憑證。

**解決方法：**先在 Microsoft System Center Operations Manager Management Pack 中查看裝置所連線之登錄器的任何相關通知，以檢查登錄器的狀況。在 System Center Operations Manager 中，瀏覽至登錄器並檢視任何重要的通知或其中指出非嚴重問題的狀態變更。請遵循指示以解決問題。如果無法使用 Operations Manager，請使用下列綜合交易來檢查。

$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN

附註：
如果您想使用 DHCP 探索，請不要指定 –TargetFQDN。如果您不想使用 DHCP 探索，請在綜合交易中提供目的地的完整網域名稱 (FQDN)，這樣即可略過 DHCP 探索。您應可以從輸出看出驗證在哪個地方失敗 (例如，DHCP 探索訊息可能未接收到回應)。請遵循交易輸出的方向以解決問題。您可以查看 Ocslogger 中的 certprov.log (集區中的每個 rtcsrv 執行個體都會產生) 以確認 Web 伺服器有在執行中。您需要從集區中的每部伺服器取得記錄檔，因為這時候我們仍不知道裝置連線到哪一部伺服器。等問題解決之後，重新啟動裝置以觸發新的連線嘗試。此時憑證應已發佈至使用者所在的集區，並會傳回給裝置。

問題 3：無法驗證 Web 服務憑證

**問題：**裝置無法驗證 Web 服務提供的憑證，來進行 TLS 通訊。裝置使用其初次連線至 Web 伺服器所下載的根憑證鏈結。如果這個鏈結不具備從根憑證授權單位 (CA) 到 Web 伺服器之信任的完整路徑，Web 伺服器提供的憑證就無法受到驗證。

**解決方法：**裝置出廠時會隨附一個已知 CA 的憑證號碼。但有一點很重要，亦即用來識別 Web 伺服器的憑證需由 CA 所簽發，而 CA 具備與這些根 CA 其中之一的信任鏈結。若非如此，裝置就無法驗證伺服器提供的憑證以進行 TLS 通訊。

其他資訊

您可以使用 USB 纜線，將裝置連線至執行 Lync 的電腦，以略過「接收及發佈憑證」步驟。這個程序就會執行接收及發佈憑證動作，且會將憑證安裝在裝置上。

請參閱

概念

裝置連線程序