解决Lync 2013演示PPT提示证书问题的多种方法

简介:
在Lync Server 2013中,我们需要PPT功能就必须额外的部署Office Web Apps服务器,这点我们在前面已经说过。在部署之后,我们会发现这种方式比Lync服务器本地自带PowerPoint演示功能要复杂一些。在通过前面的文章之后,我们可以解决PowerPoint无法使用的问题,但随之又会发现其他问题。这个问题就是今天我们遇到的Office Web Apps服务器的证书不受信任。在我们Lync域内的客户端是能够正常的共享、演示PPT的,但在外部或者说在没有加域的客户端上就会提示我们“来自服务器的证书存在问题,请联系你的支持团队”。
clip_image001
首先我们从最基本的开始,在证书方面,我们首先需要保证我们的证书是有效的,也就是说证书本身是没有问题的,比如公用名称中包含OWA服务器的FQDN以及外部域名。并且使用“New-OfficeWebAppsFarm”建立的OWA场是没问题的。在这些问题都OK后,我们继续从两个方面分析问题,第一个方面就是证书颁发机构CA,另一个方面是客户端在进行PPT共享时的连接分析、抓包。
这里我们主要从CA这边来检查问题。由于申请的证书的步骤几乎是一样的,根据第一步的检查我们已经可以排除证书本身的问题。所以这里我们主要是检查CA,这里需要注意我们的CA版本,CA版本其实就是Windows Server版本差异,这里我的CA的是基于Windows Server 2012的,在部署好CA后并没有做过多的操作。但正是由于没有做过多的操作,所以我并没有去关注CA关于证书吊销列表的问题,也就是CRL。我们来看下我们现在所使用的证书属性,详细信息。如果这里的属性包含了CRL分发点,并且我们又没有专门的去配置CA,那么很有可能就会出问题。
clip_image002
看到这里,必须想到的就是CRL问题,因为我们通过默认的Web Server模板申请到的证书是会将CRL信息包括在证书的扩展属性中。然后这些CRL信息并不能够访问,因为在域外根本就没办法这样做。既然如此,我们有两种方法,第一种就是颁发或去申请一张没有CRL信息的证书,如下图。
clip_image003
另外,就是在CRL信息中我们提供可供外部访问的CRL位置,这种方法相对来说要麻烦不少,因为我们需要从根本上的修改CA的配置,意味着之后需要重新颁发证书。但这样客户端可以通过这个地址来检查证书的吊销信息,是一个一劳永逸的操作。我们打开内部的CA管理单元,然后右键选择CA名称-属性。
clip_image004
可以在扩展选项卡中看到几个CDP,但这些CDP似乎都只能在域内访问,所以我们需要添加一个域外能够访问的位置。
clip_image005
单击添加后,我们在这里键入一个http地址,前提是这个地址是域外可以访问的,比如我们的OWA服务器的外部地址,也是可以的。然后在后面加上/crld/表示专门的CRL虚拟目录,再后面加上三个变量,分别是<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。完整的应该类似这样:
clip_image006
添加好供外部访问的HTTP地址后我们选中它,然后选择下方的两个选项,分别是“包括在CRL中。客户端用它来寻找增量CRL的位置”和“包含在颁发的证书的CDP扩展中”。
clip_image007
然后再次单击添加,因为我们还需要将CRL发布到OWA服务器相应的虚拟目录中。还是类似的,只不过这里我们是输入一个共享地址,比如\\OWA\crld\<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。
这里我是直接放在DC上的,但感觉放在OWA服务器上也是一个不错的选择。
clip_image008
建立好后选中它,然后选择下方的两个选项,分别是“发布CRL到此位置”和“将增量CRL发布到此位置”。
clip_image009
然后我们到对应的服务器去创建共享文件夹。这里我们需要进行高级共享,因为需要设置CA完全控制权限。
clip_image010
我们把DC01,也就是我们的CA添加到权限列表中,并赋予完全控制权限。需要注意下,在添加的时候默认是组和用户,我们需要更改类型,把计算机加入到其中,否则是找不到计算机的。
clip_image011
然后我们用同样的方法把DC01也加到安全属性中,同样赋予完全控制权限。
clip_image012
然后我们到owa服务器,打开IIS,然后选择外部站点,右键添加虚拟目录。
clip_image013
然后我们创建前面对应的别名,比如crld,然后物理路径指向刚才创建的共享文件夹。
clip_image014
到此为止,我们对CA进行的改造就全部完成了,但需要注意的是我们此时仍然没办法正常的使用Lync PPT演示功能。因为我们还需要去做一件事情,那就是重新申请证书,因为我们目前所使用的证书是没办法访问CRL的,关于证书的申请,可以参考上一篇文章。
这里我们其实还可以用CERTUNTIL工具来检查证书,我们打开https://owa.contoso.com地址后,把证书下载下来,然后使用cmd执行CERTUNTIL工具来检查证书。
clip_image015
我们在最下方可以看到检查结果,因为我这里没有把CRL信息包含在证书中,所以提示跳过吊销检查,即这样也是没有问题的。
clip_image016
完成之后,我们再次进行PPT演示,应该就没问题了。
clip_image017
除了以上比较复杂的方法外,还有一种临时的解决方法,那就是在浏览器中设置了不检查吊销列表。要设置不检查吊销列表,可以打开IE浏览器-工具-Internet选项-高级,然后清除“检查服务器证书是否已吊销”选项,然后退出Lync客户端,重新登录下应该就可以演示PPT了。
clip_image018
但这种方法只能用于临时,因为此选项默认是被选中的,所以如果数量比较多的话,这种方式不太可行。总而言之有这样三种方法,第一种是在证书中不包含吊销信息CRL;第二种是修改CA的扩展属性,加入外部可以访问CRL的位置,然后重新颁发证书;第三种就是修改客户端的浏览器证书吊销检查。如果大家对此还有问题,欢迎回复文章,我们一起交流、学习,谢谢大家!


 本文转自 reinxu 51CTO博客,原文链接:http://blog.51cto.com/reinember/1102580 ,如需转载请自行联系原作者



相关文章
如何使用appuploader制作描述文件​
如何使用appuploader制作描述文件​
|
9月前
|
Linux 数据库 开发者
AppUploader教程:如何使用该工具制作Apple证书​
AppUploader教程:如何使用该工具制作Apple证书​
|
Web App开发 JSON 前端开发
猿大师办公助手可实现微软Office Word文档在线安全预览,并且禁止编辑、拷贝、截屏、录屏、保存、导出、打印等!
现在,随着数字化进程渗透到到各行各业,数据安全已经成为了数字化革命中的重要组成部分,而在线Office成在OA、ERP、文档系统中得到了广泛的应用,为我国的信息化事业也做出了巨大贡献。随着操作系统、浏览器及Office软件的不断升级和更新换代,加上国家对信息化、数字化系统要求的不断提升,一些厂家的WebOffice控件产品不断被淘汰出局,而现存的几个产品也存在以下几个问题
365 0
|
Linux 数据库 开发者
AppUploader 教程:如何使用该工具制作证书
AppUploader 是一款方便快捷的开发者工具,提供了多项实用的功能。本文将介绍 AppUploader 的下载和安装步骤,帮助您快速使用该工具。
|
Linux 数据库 开发者
AppUploader教程:如何使用该工具制作Apple证书
AppUploader是一款方便快捷的开发者工具,提供了多项实用的功能。本文将介绍AppUploader的下载和安装步骤,帮助您快速使用该工具。
|
安全 测试技术 数据安全/隐私保护
appuploader 常规使用登录方法
双击 appuploader.exe 启动 appuploader。点击底部的未登录,弹出登录框。在登录框内输入 apple 开发者账号
|
C# 数据安全/隐私保护
C# 实现对PPT文档加密、解密以及重置密码的操作
工作中我们会使用到各种各样的文档,其中,PPT起着不可或缺的作用。一份PPT文档里可能包含重要商业计划、企业运营资料或者公司管理资料等。因此,在竞争环境里,企业重要资料的保密工作就显得尤为重要,而对于重要资料我们可以选择添加密码的形式来进行文档保护。
1156 0