Microsoft Office Communicator 2007 est une application qui s’appuie sur Internet Explorer pour la configuration du proxy, mais aussi pour la vérification de la CRL (Certificate Revocation List).

Ceci est un point fondamental car ne pas avoir accès à cette liste entraine un point gênant: Impossible de télécharger le carnet d’adresses!

OAB error

Au moment de la connexion de l’utilisateur sur son client Communicator 2007, se dernier établi une connexion sécurisée avec les serveurs Frontaux (au sein du domaine) ou avec le serveur Edge via un parfeu (depuis l’extérieur) en s’appuyant sur le certificat web du serveur contacté. C’est aussi via ce certificat que le serveur et le client Communicator vont chercher à vérifier la CRL.

Dans les propriétés du certificat serveur, il est possible de trouver au moins 2 méthodes d’accès à la CRL: une requête LDAP au SDP ou via une URL:

certificate CRL

Chaque machine cherchant à valider la CRL commence toujours par la requête LDAP, et se rabat ensuite vers l’URL web si la première échoue.

Troublshooter un problème de CRL:

1/ Accès à la CRL

Vérifier que le poste client dispose d’un accès “théorique” à la CRL. Au sein d’un domaine c’est automatique via Active Directory. A l’extérieur avec des certificats propriétaires il est impératif de publier la CRL avec l’URL web via un reverse proxy comme ISA Server 2006 ou bien Forefront Threat Management Gateway.

Entrez l’URL web dans votre navigateur afin de tester ci cette méthode d’accès est valable.

2/ Vérifier les paramètres IE

IE Check CRL

Par défaut, IE est configuré pour valider la CRL. Si le problème d’OAB rencontré est bien lié à la CRL, en décochant ces 2 cases vous devriez être à même de télécharger l’OAB. Ceci ne représente pas une solution.

3/ Vérifier l’état de santé de la CRL

Faites un export du certificat serveur ( du Front End ou du Access Edge) au format X509 ( fichier CER)

puis depuis le serveur CA, exécutez une commande MS DOS et entrez:

certutil –URL c:\votrechemin\votrefichierCER

“L’URL retriever tool” devrait s’exécuter: Faites un “retrieve”

URL retriever tool 1

Vous verrez alors apparaitre l’état d’accès de la CRL par requête AD.

“Vérifiée” signifie que celle ci est seine.

Si votre CRL est expirée, éxécutez un certutil – CRL pour la réactiver.