开发者社区> 技术小胖子> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

解决Lync 2013演示PPT提示证书问题的多种方法

简介:
+关注继续查看
在Lync Server 2013中,我们需要PPT功能就必须额外的部署Office Web Apps服务器,这点我们在前面已经说过。在部署之后,我们会发现这种方式比Lync服务器本地自带PowerPoint演示功能要复杂一些。在通过前面的文章之后,我们可以解决PowerPoint无法使用的问题,但随之又会发现其他问题。这个问题就是今天我们遇到的Office Web Apps服务器的证书不受信任。在我们Lync域内的客户端是能够正常的共享、演示PPT的,但在外部或者说在没有加域的客户端上就会提示我们“来自服务器的证书存在问题,请联系你的支持团队”。
clip_image001
首先我们从最基本的开始,在证书方面,我们首先需要保证我们的证书是有效的,也就是说证书本身是没有问题的,比如公用名称中包含OWA服务器的FQDN以及外部域名。并且使用“New-OfficeWebAppsFarm”建立的OWA场是没问题的。在这些问题都OK后,我们继续从两个方面分析问题,第一个方面就是证书颁发机构CA,另一个方面是客户端在进行PPT共享时的连接分析、抓包。
这里我们主要从CA这边来检查问题。由于申请的证书的步骤几乎是一样的,根据第一步的检查我们已经可以排除证书本身的问题。所以这里我们主要是检查CA,这里需要注意我们的CA版本,CA版本其实就是Windows Server版本差异,这里我的CA的是基于Windows Server 2012的,在部署好CA后并没有做过多的操作。但正是由于没有做过多的操作,所以我并没有去关注CA关于证书吊销列表的问题,也就是CRL。我们来看下我们现在所使用的证书属性,详细信息。如果这里的属性包含了CRL分发点,并且我们又没有专门的去配置CA,那么很有可能就会出问题。
clip_image002
看到这里,必须想到的就是CRL问题,因为我们通过默认的Web Server模板申请到的证书是会将CRL信息包括在证书的扩展属性中。然后这些CRL信息并不能够访问,因为在域外根本就没办法这样做。既然如此,我们有两种方法,第一种就是颁发或去申请一张没有CRL信息的证书,如下图。
clip_image003
另外,就是在CRL信息中我们提供可供外部访问的CRL位置,这种方法相对来说要麻烦不少,因为我们需要从根本上的修改CA的配置,意味着之后需要重新颁发证书。但这样客户端可以通过这个地址来检查证书的吊销信息,是一个一劳永逸的操作。我们打开内部的CA管理单元,然后右键选择CA名称-属性。
clip_image004
可以在扩展选项卡中看到几个CDP,但这些CDP似乎都只能在域内访问,所以我们需要添加一个域外能够访问的位置。
clip_image005
单击添加后,我们在这里键入一个http地址,前提是这个地址是域外可以访问的,比如我们的OWA服务器的外部地址,也是可以的。然后在后面加上/crld/表示专门的CRL虚拟目录,再后面加上三个变量,分别是<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。完整的应该类似这样:
clip_image006
添加好供外部访问的HTTP地址后我们选中它,然后选择下方的两个选项,分别是“包括在CRL中。客户端用它来寻找增量CRL的位置”和“包含在颁发的证书的CDP扩展中”。
clip_image007
然后再次单击添加,因为我们还需要将CRL发布到OWA服务器相应的虚拟目录中。还是类似的,只不过这里我们是输入一个共享地址,比如\\OWA\crld\<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。
这里我是直接放在DC上的,但感觉放在OWA服务器上也是一个不错的选择。
clip_image008
建立好后选中它,然后选择下方的两个选项,分别是“发布CRL到此位置”和“将增量CRL发布到此位置”。
clip_image009
然后我们到对应的服务器去创建共享文件夹。这里我们需要进行高级共享,因为需要设置CA完全控制权限。
clip_image010
我们把DC01,也就是我们的CA添加到权限列表中,并赋予完全控制权限。需要注意下,在添加的时候默认是组和用户,我们需要更改类型,把计算机加入到其中,否则是找不到计算机的。
clip_image011
然后我们用同样的方法把DC01也加到安全属性中,同样赋予完全控制权限。
clip_image012
然后我们到owa服务器,打开IIS,然后选择外部站点,右键添加虚拟目录。
clip_image013
然后我们创建前面对应的别名,比如crld,然后物理路径指向刚才创建的共享文件夹。
clip_image014
到此为止,我们对CA进行的改造就全部完成了,但需要注意的是我们此时仍然没办法正常的使用Lync PPT演示功能。因为我们还需要去做一件事情,那就是重新申请证书,因为我们目前所使用的证书是没办法访问CRL的,关于证书的申请,可以参考上一篇文章。
这里我们其实还可以用CERTUNTIL工具来检查证书,我们打开https://owa.contoso.com地址后,把证书下载下来,然后使用cmd执行CERTUNTIL工具来检查证书。
clip_image015
我们在最下方可以看到检查结果,因为我这里没有把CRL信息包含在证书中,所以提示跳过吊销检查,即这样也是没有问题的。
clip_image016
完成之后,我们再次进行PPT演示,应该就没问题了。
clip_image017
除了以上比较复杂的方法外,还有一种临时的解决方法,那就是在浏览器中设置了不检查吊销列表。要设置不检查吊销列表,可以打开IE浏览器-工具-Internet选项-高级,然后清除“检查服务器证书是否已吊销”选项,然后退出Lync客户端,重新登录下应该就可以演示PPT了。
clip_image018
但这种方法只能用于临时,因为此选项默认是被选中的,所以如果数量比较多的话,这种方式不太可行。总而言之有这样三种方法,第一种是在证书中不包含吊销信息CRL;第二种是修改CA的扩展属性,加入外部可以访问CRL的位置,然后重新颁发证书;第三种就是修改客户端的浏览器证书吊销检查。如果大家对此还有问题,欢迎回复文章,我们一起交流、学习,谢谢大家!


 本文转自 reinxu 51CTO博客,原文链接:http://blog.51cto.com/reinember/1102580,如需转载请自行联系原作者



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
VS2012+Win7网站发布详细步骤
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/chinahuyong/article/details/47067381 VS2012+Win7网站发布详细步骤    本机环境:            本文分三个部分介绍Web项目发布的常规方法,大神级别可以略过,主要是为了方便一些初学者。
1043 0
VS2012发布网站详细步骤
原文 VS2012发布网站详细步骤 1、打开你的VS2012网站项目,右键点击项目》菜单中 重新生成一下网站项目;再次点击右键》发布: 2、弹出网站发布设置面板,点击,创建新的发布配置文件: 输入你自己定义的配置文件名: 3、点击下一步:在发布方法中选“文件系统”,这样我们可以发布到自己指定的本机文件上。
1033 0
QQ 登录过程演示工具
    花了一点精力,做了如下 QQ2010 版本的登录过程演示工具,主要是用于演示如何截取用户登录时的输入。此工具的原理比较基本,主要是利用全局钩子截获用户的输入。主要是演示作用,因此我又做了一个很直观的界面,可以看到截获输入的过程。
930 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
附件下载测试
立即下载
QQ移送页面框架优化实践
立即下载
QQ移动页面框架优化实践
立即下载