开发者社区> 技术小阿哥> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

Lync 2013演示PPT提示证书出现问题的解决办法

简介:
+关注继续查看


企业的Lync server部署一般是这样两种情况,内部域和外部域一致,内部域和外部域不一致,这样解决办法也对应的有两种。

一、下面我们先讲内部域和外部域一致的情况。

1、当我们部署完lync server 2013前端、后端、边缘和office web apps服务器后,在域内进行PPT演示正常,但是在工作组和域外均出现如下的报错。


2、通过查找互联网资料及诸多权威资料,确认问题原因是由于内部工作组和外部用户无法通过LDAP查询CA吊销列表,所以需要启用CA吊销列表的http访问,并且已确认可通过修改CA扩展属性解决问题。

选择证书颁发机构,右键属性,在属性框里,选择扩展页面。选择扩展,选择CRL分发点(CDP)

wKiom1MCNKmSgfpmAAOatebMuxw240.jpg

3、勾选包括在CRL中。客户端用它来寻找增量CRL的位置和包括在颁发的证书的CDP扩展中。

wKioL1MCNIbywBzRAAKZwTnBfjs760.jpg

4、扩展页面中,继续选择扩展,选择到授权信息访问(AIA).

wKiom1MCNKzSb2UyAAIbUcmSDgs980.jpg

5、选择包括在颁发的证书的AIA扩展中(I),应用,证书服务将会重新启动。

wKioL1MCNIjxzDmfAAIVfh3Vzxo618.jpg

6、选择吊销的证书,所有任务,发布

wKioL1MCNxfCse7UAAH5ddWcDX8886.jpg

7、在弹出框里选择新的CRL,确定。

wKiom1MCN5jTRVxjAAETOrK42-k207.jpg

8、后面再重新申请office web apps服务器,lync服务器证书,exchange服务器证书,是不是感觉很折腾,如果感觉很折腾的话,我们以后做规划的时候第一步就先把CA规划好,在去做后面的部署,这样才省时省力。

如果朋友你觉得以上步骤都麻烦的话,那你接着往下看内部域和外部域不一致的情况,你会觉得这才是真正的折腾和费时费力。

、接下来我们继续讲内部域和外部域不一致的情况。

我的Lync server 2013环境介绍

内部域名contoso.com,外部域为tiancang.net,

两个前端服务器,fe01.contoso.com,fe02.contoso.com

两个边缘服务器,edge01.contoso.com,edge02.contoso.com

三个后端数据库,be01.contoso.com,be02.contoso.com,be03.contoso.com

两个持久聊天服务器,chat01.contoso.com,chat02.contoso.com

一个office web apps服务器,owas.contoso.com

wKiom1MDJ1TzZbJ7AAK8mOHbYVA554.jpg

1、首先我们按照内部域和外部域一致的情况处理,发现在域内正常了,可以共享PPT了,但是域外不能共享PPT,我们使用certutil -verify e:\edge_internet.cer检查状态,提示吊销列表脱机,如下截图:

wKiom1MC5vyzaK_KAAE6a1biBQw638.jpg

2、以上的原因是由于内部域和外部域不一致,在外网无法访问内部地址的CRL,我们手动添加可以让外网访问的CRL。

单打开证书颁发机构扩展选项页面,点击添加后,我们在这里键入一个http地址,这个地址是域外可以访问的,比如我们的ca服务器地址或者exchange cas服务器的外部地址。然后在后面加上/crld/表示专门的CRL虚拟目录,再后面加上三个变量,分别是<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。

注:我这里是使用的CA服务器地址,因为有两点考虑,第一、cas服务器是IIS目录是默认加密的,再有cas服务器有两个,以上步骤要操作两次,有点繁琐;第二、ca服务器IIS目录是默认不加密的,再有ca服务器的certsrv一般是默认打开的,以提供给外部人员自行申请私有证书,刚好可以搭这个顺风车。

完整的应该类似这样:

http://dc002.tiancang.net/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl

wKiom1MC69Lywa_nAAL9i7Lh0Ys439.jpg

3、添加好供外部访问的HTTP地址后我们选中它,然后选择下方的两个选项,分别是“包括在CRL中。客户端用它来寻找增量CRL的位置”和“包含在颁发的证书的CDP扩展中”。

wKioL1MC7cHjzdRZAAKNmrL9xmk350.jpg

4、然后再次单击添加,因为我们还需要将CRL发布到CA服务器相应的虚拟目录中。还是类似的,只不过这里我们是输入一个共享地址,比如\\dc002\crldist\<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。

wKiom1MC793RGO2eAAMDJp1rVds961.jpg

5、建立好后选中它,然后选择下方的两个选项,分别是“发布CRL到此位置”和“将增量CRL发布到此位置”。

wKioL1MC77mT8pEhAAKZhGGCJcw263.jpg

6、然后我们到CA服务器去创建共享文件夹。这里我们需要进行高级共享,因为需要设置CA完全控制权限。注明:如果不设置的话,证书发布列表发布新的CRL的时候会提示无权限,报错。[注明:如果CA是单独的成员服务器,添加CA为共享和安全所有权限后还是提示无权限,请添加everyone的共享完全访问权限。]

wKioL1MC8XWCwHcYAAEl09qMszY389.jpg

7、我们把DC002,也就是我们的CA添加到权限列表中,并赋予完全控制权限。需要注意下,在添加的时候默认是组和用户,我们需要更改类型,把计算机加入到其中,否则是找不到计算机的。

wKiom1MDCGazuHSiAAEjdbeLQ8I863.jpg

8、然后我们用同样的方法把DC002也加到安全属性中,同样赋予完全控制权限。

wKioL1MDCEKytoBYAAGeUeL2_jA244.jpg

9、然后我们到CA服务器,打开IIS,右键添加虚拟目录。

wKioL1MDCMziOVgWAAJ0K7OApNk686.jpg

10、然后我们创建前面对应的别名,比如crld,然后物理路径指向刚才创建的共享文件夹crldist。

wKiom1MDCUnjUNEmAAC8hwj9cTw940.jpg

11、选择吊销的证书,所有任务,发布

wKioL1MCNxfCse7UAAH5ddWcDX8886.jpg

12、在弹出框里选择新的CRL,确定。

wKiom1MCN5jTRVxjAAETOrK42-k207.jpg

13、在域外使用certutil -verify e:\edge_internet.cer检查状态,依旧提示吊销列表脱机。登录到CA服务器,运行pkiview.msc 打开Enterprise PKI展开所有节点,在出现错误的节点截图。发现其中一个CRL状态是“无法下载”:

wKioL1MCKvHhsIjFAAKtWrktNz0648.jpg

14、在crldist文件夹打开生成的证书列表。

wKiom1MCKxixRwTmAAIntCvAyF8467.jpg

15、打开contoso-DC002-CA,显示最新CRL地址为http://dc002.tiancang.net/crld/contoso-DC002-CA+.crl

wKiom1MCKxuwV65ZAAPAiUd-L9k764.jpg

16、打开网页,输入地址http://dc002.tiancang.net/crld/contoso-DC002-CA+.crl,报错,提示请求筛选模块被配置为拒绝包含双重转义序列的请求。

wKioL1MCKvixkuqrAANI01T0xmk199.jpg

17、根据“请求筛选模块被配置为拒绝包含双重转义序列的请求”关键字搜索,找到以下链接:http://it.oyksoft.com/post/5876/该链接提示需要修改web.config配置文件,但是由于虚拟目录没生成该配置文件,所以需要修改IIS配置:打开IIS控制台,选中我们之前创建的虚拟目录,双击“目录浏览”,点击“启用”。

wKiom1MCKyDQq3xtAAPMe8weLlM858.jpg

wKioL1MCKv3BMmzxAAK727ervE8334.jpg

18、在crldist目录下打开web.config。

wKiom1MCKyTxwsjnAAHubC_suYQ526.jpg

19、使用文本格式打开web.config后,添加如下的三行代码。

  <security>

     <requestFiltering allowDoubleEscaping="True"/>

  </security>

wKioL1MCKwCg5n8EAAGL8nFTDe4021.jpg

20、见证奇迹的时刻到了,刷新企业PKI,发现状态已经变为确定了。

wKioL1MCKwOTtIZYAAKRKDgZZ-M300.jpg

21、打开网页,重新输入地址http://dc002.tiancang.net/crld/contoso-DC002-CA+.crl,已经可以下载CRL列表了。

wKiom1MCKyvyFZ-7AASfC4gdtMU500.jpg

22、我们在域外使用certutil -verify e:\edge_internet.cer检查状态,吊销列表状态显示正常,如下图。

wKiom1MDFaGyVUYXAADok9-b0sM631.jpg

23、然后我们在域外使用lync2013重新上传PPT,显示正常,到此我们的操作步骤就全部完成了。

wKiom1MDFyKQdYiLAAGCm-4hUTQ250.jpg

24、同时在企业PKI里面我们还看到了另外一个CA,这个是我之前的虚拟机环境因为断电,AD蓝屏无法启动后,重新搭建的CA,这个也说明平常我们的AD的快照和备份工作有多么的重要。我们依次打开AIA容器等各个选项卡,把contoso-DC001-CA删除掉。

wKioL1MCKwiBUIcXAAKjMjlQrko856.jpg

wKioL1MCKwnAPioCAAF5RhVg8zY410.jpg

25、删除完坏掉的CA后,界面清爽多了。而且我们后面lync服务器申请的时候也不会再跳出contoso-DC001-CA供你选择了。

wKiom1MCKy-DAoBOAAJqRNhFmuY786.jpg

26、我们可以将certutil -crl保存为.ps1每天自动续订一次

27、出于安全起见,我们一般不会发布CA到公网,我们可以发布独立的一台域成员服务器到外网,也可以直接利用Exchange服务器或者其他发布到外网的机器来发布我们的CRL吊销列表,下面我们就通过邮件服务器来发布我们的CRL吊销列表(同时确保在internet可以下载CRL吊销列表)

wKioL1nS6hvA2KN9AAHEHsmD758331.png-wh_50

wKiom1nSX-eweYEVAAG986BOP30001.png-wh_50

wKioL1nS5DyRDGZQAADlNwHtfxg423.png-wh_50

wKiom1nS49TSBQ8QAAEBqLIuGuI868.png-wh_50

wKioL1nS4-vgh1TfAACyRxJIvEE712.png-wh_50

28、我们在外网检查吊销列表,失败,如下图

wKioL1nTXuqD0be2AAFBzKRqHlc819.png-wh_50

29、将吊销列表所在的Exchange2010服务器80端口发布出去,检查吊销列表显示成功(同时确保在internet可以下载CRL吊销列表)

wKiom1nTX7nQ7e-0AAEg6Qb7RcU518.png-wh_50




本文转自 zhou_ping 51CTO博客,原文链接:http://blog.51cto.com/yuntcloud/1359962,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
​sync.Pool 使用
​sync.Pool 使用
49 0
PHP5连接不上SQL2005的解决办法
本来我的PHP连接的是SQL2000,呵呵,我知道大多数人都用MYSQL。处于对技术的狂热,我决定改用PHP5+SQLServer2005,谁知道,开局不顺,竟然连接不上,甚至觉得PHP5是胎里带不能连接SQL2005
1491 0
Spark常见问题解决办法
以下是在学习和使用spark过程中遇到的一些问题,记录下来。 1、首先来说说spark任务运行完后查错最常用的一个命令,那就是把任务运行日志down下来。
1650 0
ssh连接 反应慢的解决办法
vi  /etc/ssh/sshd_config文件    添加(或者修改)一行: UseDNS no 然后 service sshd restart 重启sshd即可
1984 0
串口大师提示找不到串口的解决办法,增加注册表项目。
          今天进行串口调试提示找不到串口,查了注册表发现串口的注册值:\Device\ProlificSerial2 ,值COM4,但是串口大师还是找不到串口,注册表中没有项目,解决办法如下: 1 。新建一个TXT文档,键入以下内容: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\HARDWARE\
2141 0
EXTJS2.2中输入框边框显示不完整解决思路,一级解决办法。
同事在使用ExtJs时发现如下Bug:表单当中的元素,出现文本框参差不齐,有的没有边框等,不美观;输入框显示不完整,抓狂。 分析步骤及解决思路如下:   1.使用IE的F12功能,获取生成的输入框HTML脚本,关键点脚本如下。&lt;pre&gt;&lt;br&gt;&lt;DIV style="PADDING-LEFT: 15px;background:blue" class=x-form
956 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
附件下载测试
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载