Bonjour
Plusieurs problèmes récents liés aux certificats et à Lync 2010 m’amène à poster cet article
Pour que les services Lync Edge / reverse proxy fonctionnent correctement, il faut que le mobile ou le pc approuve l’autorité de certification de confiance qui a émis ce certificat. L’autorité de certification la plus communément reconnue et par conséquent installée dans le magasin de certificat des ordinateurs semble être Verisign et Thawte.
Cependant, cela n’empêche pas les autres de fonctionner convenablement à condition que les autorités de certification qui ont délivrées le certificat, à savoir l’Autorité racine de confiance ou l’autorité intermédiaire soient présentes dans le magasin du périphérique qui accède à Lync. Périphérique qui peut être un téléphone mobile (Windows Phone, Iphone etc..) , un Serveur Lync Edge (Fédération), un Pc de l’entreprise dans le domaine, un pc externe inconnu.
Bien sûr me direz-vous que si vous achetez des certificats publics (au prix où parfois ils sont vendus ….), c’est pour justement ne pas avoir à mettre en place des certificats d’autorités de confiance dans les PC. J’en conviens mais……. Mais parfois ce n’est pas le cas.
Pour tester j’ai installé une machine Windows 7 « from scratch » que je l’ai mis à jour.
Voici ce qu’elle possédé dans son magasin de certifications
On n’y trouve Thawte Verisign (qui semble être la même société par ailleurs) mais pas de trace de Comodo ni de Globalsign par exemple. Ce qui veut dire que pour ces autorités, il faudra déployer des certificats d’autorités de confiance Racines et voir intermédiaires sur les postes de travail de l’entreprise. En Gpo ça se fait très rapidement. Par contre sur les Smartphones, c’est selon le système d’exploitation parfois un peu plus compliqué, surtout si vous en avez beaucoup ;-))
Cependant reste le problème de l’accès WEB APP de Lync qui est censé être utilisé par des clients externes en https, et qui n’étant pas dans le domaine, n’auront pas forcement les bonnes autorités de certifications dans leurs magasins. Pour eux, lorsqu’ils tenteront d’accéder à une réunion par web app un warning de certificat s’affichera avec la possibilité de continuer néanmoins. C’est moyen je vous l’accorde mais ….pas le choix.
Si vous mettez en place une fédération alors il faudra également penser à ce que les deux serveurs Edge possèdent de part et d’autre les bonnes autorités de certification de confiance (racines et intermédiaires) et dans les bons conteneurs !.
D’autre part, il n’est pas exclu, même si vous choisissez une autorité connue par défaut dans Windows 7 que cela suffise. Pourquoi ? Parce que les autorités de certifications publiques peuvent si elle le souhaite, utiliser des nouvelles autorités de certifications intermédiaires pour délivrer des certificats publics. De facto, cette nouvelle autorité de certification publique de confiance et intermédiaire ne sera donc pas présente dans vos magasins. Et par conséquent cela ne fonctionnera pas. Un exemple ? un certificat récemment acheter auprès de Vérisign . Vous remarquerez le nom de l’autorité de certification intermédiaire
Concernant la fédération avec Windows Live et autre IM, peu de problème sont remontés pour le moment.
Certificat pour les Phone Edition
Pour les téléphones voici les autorités racines approuvés par défaut sur Lync Phone Edition
|
Fournisseur |
Nom du certificat |
Date d’expiration |
Longueur de la clé |
|
Comodo |
AAA Certificate Services |
12/31/2020 |
2048 |
|
Comodo |
AddTrust External CA Root |
5/30/2020 |
2048 |
|
Cybetrust |
Baltimore CyberTrust Root |
5/12/2025 |
2048 |
|
Cybetrust |
GlobalSign Root CA |
1/28/2014 |
2048 |
|
Cybetrust |
GTE CyberTrust Global Root |
8/13/2018 |
1024 |
|
VeriSign |
Class 2 Public Primary Certification Authority |
8/1/2028 |
1024 |
|
VeriSign |
Thawte Premium Server CA |
12/31/2020 |
1024 |
|
VeriSign |
Thawte Server CA |
12/31/2020 |
1024 |
|
VeriSign |
Comodo |
1/7/2010 |
1000 |
|
VeriSign |
Class 3 Public Primary Certification Authority |
8/1/2028 |
1024 |
|
Entrust |
Entrust.net Certification Authority (2048) |
12/24/2019 |
2048 |
|
Entrust |
Entrust.net Secure Server Certification Authority |
5/25/2019 |
1024 |
|
Equifax |
Equifax Secure Certification Authority |
8/22/2018 |
1024 |
|
GeoTrust |
GeoTrust Global CA |
5/20/2022 |
2048 |
|
Go Daddy |
Go Daddy Class 2 Certification Authority |
6/29/2034 |
2048 |
|
Go Daddy |
6/25/2019 |
1024 |
|
|
Go Daddy |
Starfield Class 2 Certification Authority |
6/29/2034 |
2048 |
Donc avant de signer chez un fournisseur d’autorité de certification publique comme on dit dans le sud … Méfi !
Vérifier également sur le site de Microsoft que cette autorité de certifications publiques est bien certifiée UC par l’éditeur voir ci-dessous ou. lien suivant : http://support.microsoft.com/kb/929395
Au prix où ils le vendent leurs services ne serait-t-il pas de bon ton de les publier au moins via Windows Update non ? Sinon à quoi bon passer par une autorité de certification publique. J’ai dit une bêtise la ?
Laurent Teruin
Bonjour,
Je vous remercie d’abord pour ce bon article, et j’aimerais que vous m’expliquez ce que vous voulez dire par « Si vous mettez en place une fédération alors il faudra également penser à ce que les deux serveurs Edge possèdent de part et d’autre les bonnes autorités de certification de confiance (racines et intermédiaires) et dans les bons conteneurs ! »
De quel conteneur vous parlez? il suffit pas d’importer la chaine de certificat de l’autorité racine dans « autorité de certification racine de confiance?
Merci de votre aide
Oui mais faites attention a l’importation car parfois les certificats racines et intermédiaires ne se positionnent pas au bon endroit.
Il faut bien vérifier que le certificat racine se trouve dans le conteneur racine du magasin de l’ordinateur et que le certificat intermédiaire se trouve dans le conteneur prevu à cet effet.
Personnellemetn je conseile de l’importer manuellement et vérifier que ces derniers soient correctement placés
Cordialement
Laurent Teruin
d’accord, merci pour votre réponse!