Certificats pour Microsoft Lync
Microsoft Lync est un nouvel outil de communication d'entreprise. Sa mise en place sécurisée nécessite plusieurs certificats officiels (flux web et lync) et d'autres internes pour des communications entre serveurs.Certificat pour les flux web
Ce certificat doit être obtenu à partir du FrontEnd Lync, puis copié sur le reverse proxy TMG.
L'obtention du certificat se fait avec le powershell :
- Générer une demande de CSR
Request-CsCertificate -New -Type WebServicesExternal -Country FR -State « Rhone » -City « Lyon » -FriendlyName « Lync WebExternal Cert » -KeySize 2048 -PrivateKeyExportable $True -Organization « Ma Boite SARL » -Output C:\Certificates\WebServicesExternal.csr
- Importer le certificat et la chaine de certification
Import-CsCertificate -Path « c:\Certificates\p7-0123456789-12345.p7b » -PrivateKeyExportable $True
- Exporter puis Importer sur le TMG
Il est important de commander un certificat de type UCC (SAN) en indiquant (voir configuration domaine SIP):
- Le FQDN de l'accès web
- Le FQDN de l'accès téléphonique
- Le FQDN de l'accès réunion
Certificat pour les flux lync
Ce certificat doit être obtenu à partir du FrontEnd Lync.
L'obtention du certificat se fait avec le powershell :
- Générer une demande de CSR
Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -Country FR -State « Rhone » -City « Lyon » -FriendlyName « Lync Edge External Single Cert » -KeySize 2048 -PrivateKeyExportable $True -Organization « Ma Boite SARL » -DomainName « sip.maboite.fr » -Output C:\Certificates\WebServicesExternalSingle.csr
- Importer le certificat et la chaine de certification
Import-CsCertificate -Path « c:\Certificates\p7-0123456789-12345.p7b » -PrivateKeyExportable $True
- Activer le certificat
Set-CSCertificate -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -Thumbprint XXXX
Notes
Il est important de commander un certificat de type UCC (SAN) en indiquant (voir configuration des paramètres externes):
- Le FQDN de l'accès SIP
- Le FQDN de l'accès service Edge de conférence Web
- Le FQDN de l'accès service A/V
Si vous souhaitez absolument prendre un certificat de type wildcard, vous pouvez vérifier les spécifications Microsoft ici (en anglais) : http://technet.microsoft.com/en-us/library/hh202161.aspx
Pour que le même certificat puisse être utilisé sur 2 plate-formes (par exemple un serveur Lync 2013 Frontal et un serveur Lync 2013 Edge), il faut dans ce cas prendre soin que le la clef privée crée lors de la fabrication du CSR soit rendu exportable. Voir la recommandation microsoft ici : http://technet.microsoft.com/fr-FR/library/gg398920.aspx Ainsi vous installerez le certificat délivré sur cette 1ere plate-forme, puis vous pourrez l'exporter (avec sa clef privée) pour l'installer sur d'autres plate-formes.
Problèmes parfois rencontrés
"revocation check failed" / "Statut de révocation inconnu."
Ce problème vient du fait que le serveur veut vérifier la CRL à l'importation des certificats, et que si son module, qui utilise WinHTTP, n'a pas accès à internet, l'opération échoue.Solution: Voir notre FAQ sur le support du protocole OCSP
Lync Server Access Edge service fails to start with: “… service-specific error code -2146762487”
Si vous voyez ce message : Windows could not start the Lync Server Access Edge on Local Computer. For more information, review the System Event Log. If this is a non-Microsoft service, contact the service vendor, and refer to the service-specific error code -2146762487., il est probable qu'il s'agisse d'une erreur de chaine de certification. Vous pouvez en confirmer la cause par la présence de l'erreur suivante dans la console d'erreur :
The Lync Server Access Edge service terminated with the following service-specific error: A Certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Il faut alors vérifier que les certificats racines et intermédiaires sont bien présents dans les magasins de Windows. En cas de certificat manquant, vous pouvez l'installer manuellement.