SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Certificats pour Microsoft Lync

Microsoft Lync est un nouvel outil de communication d'entreprise. Sa mise en place sécurisée nécessite plusieurs certificats officiels (flux web et lync) et d'autres internes pour des communications entre serveurs.

Certificat pour les flux web

Ce certificat doit être obtenu à partir du FrontEnd Lync, puis copié sur le reverse proxy TMG.

L'obtention du certificat se fait avec le powershell :

  1. Générer une demande de CSR
    Request-CsCertificate -New -Type WebServicesExternal -Country FR -State « Rhone » -City « Lyon » -FriendlyName « Lync WebExternal Cert » -KeySize 2048 -PrivateKeyExportable $True -Organization « Ma Boite SARL » -Output C:\Certificates\WebServicesExternal.csr

  2. Importer le certificat et la chaine de certification
    Import-CsCertificate -Path « c:\Certificates\p7-0123456789-12345.p7b » -PrivateKeyExportable $True

  3. Exporter puis Importer sur le TMG

Il est important de commander un certificat de type UCC (SAN) en indiquant (voir configuration domaine SIP):

  • Le FQDN de l'accès web
  • Le FQDN de l'accès téléphonique
  • Le FQDN de l'accès réunion

Certificat pour les flux lync

Ce certificat doit être obtenu à partir du FrontEnd Lync.

L'obtention du certificat se fait avec le powershell :

  1. Générer une demande de CSR
    Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -Country FR -State « Rhone » -City « Lyon » -FriendlyName « Lync Edge External Single Cert » -KeySize 2048 -PrivateKeyExportable $True -Organization « Ma Boite SARL » -DomainName « sip.maboite.fr » -Output C:\Certificates\WebServicesExternalSingle.csr

  2. Importer le certificat et la chaine de certification
    Import-CsCertificate -Path « c:\Certificates\p7-0123456789-12345.p7b » -PrivateKeyExportable $True

  3. Activer le certificat
    Set-CSCertificate -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -Thumbprint XXXX

Notes

Il est important de commander un certificat de type UCC (SAN) en indiquant (voir configuration des paramètres externes):

  • Le FQDN de l'accès SIP
  • Le FQDN de l'accès service Edge de conférence Web
  • Le FQDN de l'accès service A/V

Si vous souhaitez absolument prendre un certificat de type wildcard, vous pouvez vérifier les spécifications Microsoft ici (en anglais) : http://technet.microsoft.com/en-us/library/hh202161.aspx

Pour que le même certificat puisse être utilisé sur 2 plate-formes (par exemple un serveur Lync 2013 Frontal et un serveur Lync 2013 Edge), il faut dans ce cas prendre soin que le la clef privée crée lors de la fabrication du CSR soit rendu exportable. Voir la recommandation microsoft ici : http://technet.microsoft.com/fr-FR/library/gg398920.aspx Ainsi vous installerez le certificat délivré sur cette 1ere plate-forme, puis vous pourrez l'exporter (avec sa clef privée) pour l'installer sur d'autres plate-formes.

Problèmes parfois rencontrés

"revocation check failed" / "Statut de révocation inconnu."

Ce problème vient du fait que le serveur veut vérifier la CRL à l'importation des certificats, et que si son module, qui utilise WinHTTP, n'a pas accès à internet, l'opération échoue.

Solution: Voir notre FAQ sur le support du protocole OCSP

Lync Server Access Edge service fails to start with: “… service-specific error code -2146762487”

Si vous voyez ce message : Windows could not start the Lync Server Access Edge on Local Computer. For more information, review the System Event Log. If this is a non-Microsoft service, contact the service vendor, and refer to the service-specific error code -2146762487., il est probable qu'il s'agisse d'une erreur de chaine de certification. Vous pouvez en confirmer la cause par la présence de l'erreur suivante dans la console d'erreur :

The Lync Server Access Edge service terminated with the following service-specific error: 
A Certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.

Il faut alors vérifier que les certificats racines et intermédiaires sont bien présents dans les magasins de Windows. En cas de certificat manquant, vous pouvez l'installer manuellement.

Liens