OCS 2007 R2: ошибка сертификата при подключении клиента через Internet

Снова в эфире ответы на вопросы из моей почты, да-да. На этот раз вопрос от партнера, развертывающего у себя Office Communications Server 2007 R2. При подключении к серверу клиентов через Internet выдается ошибка:

There was a problem verifying the certificate from the server. Please contact your system administrator.

При подключении из внутренней сети все нормально, никаких проблем.

Эта ошибка может появляться, если цифровой сертификат на сервере OCS 2007 невозможно проверить через один из публично доступных, или корневых центров сертификации, таких, как, например, Verisign.

Решений у этой проблемы может быть несколько.

Вариант 1. Если вы используете сертификат, выпущенный не доверенным центром, например, внутренним сервером PKI, то можно вручную импортировать его в нужное хранилище:

1. Запустите сеанс MMC и добавьте оснастку Certificates для локального компьютера

2. Перейдите к ветке Доверенные корневые центры сертификации (Trusted Root Certification Authorities), затем Сертификаты (Certificates)

3. Клик правой кнопкой мыши на Certificates -> All Tasks –> Import

4. Следуйте инструкциям на экране для импорта сертификата в это хранилище.

Эту же задачу - добавление сертификата в список доверенных на каждом клиентском ПК можно автоматизировать с помощью групповых политик Active Directory либо с помощью SCCM в зависимости от инфраструктуры.

Вариант 2. Использовать сертификат, выпущенный доверенным центром, то есть приобрести такой сертификат хоть у того же VeriSign. Он же пригодится при использовании коннектора Public IM Connectivity для интеграции с публичными сервисами мгновенных сообщений, таким как Yahoo!Messenger, Live Messenger или даже ICQ - там нельзя использовать самовыпущенные сертификаты.

Вариант 3. Отказаться от сертификатов и  использовать протокол TCP вместо TLS в ущерб безопасности. [UPDATE] Этот вариант, как правильно подсказал Александр Донин ниже в комментариях, не возможен из-за того, что Edge-сервер не даст использовать не TLS-соединения для подключения к серверу. Вы скажете (я тоже об этом сначала подумала), что, мол, а внутри сети как же? Так ведь внутри сети и проблемы с проверкой самоподписанного/самовыпущенного сертификата нет, если доступен CA, который может удостоверить подлинность сертификата. Весь сыр-бор как раз из-за того, что в описанном случае сертификат извне невозможно проверить без дополнительных телодвижений. [/UPDATE]

На мой взгляд, самый правильный вариант – второй. Помимо прочего, публично заверенный сертификат пригодится еще и при настройке федеративных отношений с доменами бизнес-партнеров, например. Первый же вариант, в принципе, подойдет небольшим компаниям с небольшим количеством мобильных пользователей и без строгих требований к обеспечению безопасности коммуникаций.

Published 02 April 09 12:13 by Tatiana Ilchenko

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Александр Донин said on April 2, 2009 12:27 PM:

Вариант 3 в данной ситуации просто не возможен.

OCS Edge не даст использовать SIP через TCP. Или есть какой-то хитрый недокументированый способ? :-)

# Tatiana Ilchenko said on April 6, 2009 8:31 AM:

Да, вы правы. Edge-сервер не даст использовать TCP без TLS при подключении пользователей через Internet. Писала второпях, забыла указать, что этот вариант возможен только внутри сети, но там  проверкой сертификата проблем не возникнет при доступности CA, выпустившего сертификат. Так что mea culpa, промахнулась. Исправляюсь.

Leave a Comment

(required) 
(optional)
(required) 

  
Enter Code Here: Required

Search

This Blog

Информация в данном блоге предоставляется "КАК ЕСТЬ" без каких-либо гарантий и передачи прав. Мнения, высказанные здесь, являются отражением моего личного взгляда, а не позиции работодателя.

Syndication

Page view tracker