Снова в эфире ответы на вопросы из моей почты, да-да. На этот раз вопрос от партнера, развертывающего у себя Office Communications Server 2007 R2. При подключении к серверу клиентов через Internet выдается ошибка: “There was a problem verifying the certificate from the server. Please contact your system administrator”.
При подключении из внутренней сети все нормально, никаких проблем.
Эта ошибка может появляться, если цифровой сертификат на сервере OCS 2007 невозможно проверить через один из публично доступных, или корневых центров сертификации, таких, как, например, Verisign.
Решений у этой проблемы может быть несколько.
Вариант 1. Если вы используете сертификат, выпущенный не доверенным центром, например, внутренним сервером PKI, то можно вручную импортировать его в нужное хранилище:
1. Запустите сеанс MMC и добавьте оснастку Certificates для локального компьютера
2. Перейдите к ветке Доверенные корневые центры сертификации (Trusted Root Certification Authorities), затем Сертификаты (Certificates)
3. Клик правой кнопкой мыши на Certificates -> All Tasks –> Import
4. Следуйте инструкциям на экране для импорта сертификата в это хранилище.
Эту же задачу - добавление сертификата в список доверенных на каждом клиентском ПК можно автоматизировать с помощью групповых политик Active Directory либо с помощью SCCM в зависимости от инфраструктуры.
Вариант 2. Использовать сертификат, выпущенный доверенным центром, то есть приобрести такой сертификат хоть у того же VeriSign. Он же пригодится при использовании коннектора Public IM Connectivity для интеграции с публичными сервисами мгновенных сообщений, таким как Yahoo!Messenger, Live Messenger или даже ICQ - там нельзя использовать самовыпущенные сертификаты.
Вариант 3. Отказаться от сертификатов и использовать протокол TCP вместо TLS в ущерб безопасности. [UPDATE] Этот вариант, как правильно подсказал Александр Донин ниже в комментариях, не возможен из-за того, что Edge-сервер не даст использовать не TLS-соединения для подключения к серверу. Вы скажете (я тоже об этом сначала подумала), что, мол, а внутри сети как же? Так ведь внутри сети и проблемы с проверкой самоподписанного/самовыпущенного сертификата нет, если доступен CA, который может удостоверить подлинность сертификата. Весь сыр-бор как раз из-за того, что в описанном случае сертификат извне невозможно проверить без дополнительных телодвижений. [/UPDATE]
На мой взгляд, самый правильный вариант – второй. Помимо прочего, публично заверенный сертификат пригодится еще и при настройке федеративных отношений с доменами бизнес-партнеров, например. Первый же вариант, в принципе, подойдет небольшим компаниям с небольшим количеством мобильных пользователей и без строгих требований к обеспечению безопасности коммуникаций.
Комментариев нет:
Отправить комментарий