LYNC 2013在部署好OWAS后,安装上证书,还是会提示“来自服务器的证书存在问题,请联系您的支持团队”。
对于这个问题很多人写过博客怎么操作,但大都写得很笼统,没有解释清楚原理,如果按博文里操作,很多不会成功。当然大家的解决思路都是正确的,只是在证书扩展信息里添加外网可访问的CRL(证书吊销列表)下载地址过程不够详细,有很多需要注意的地方没有写清楚,我们现在再重新详细做一遍。
打开证书颁发机构――在CA上右键――属性
点开扩展――添加
这个地方一定要特别注意,很多人不正常就是这里弄错了。在这里输入一个外网可以访问到的地址,然后在后面插入<CaName><CRLNameSuffix><DeltaCRLAllowed>,再在最后加上.crl
输完全后就是像这样:http://www.xxx.com/crld/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
注意:
1,crld是你最后需要在IIS上添加的虚拟目录,要和这个名字相同,绝对不能错。
2,后面三个变量一定要点下面的“变量”下拉列表框选择,然后点“插入”千万不能手动输入,否则无效。
添加好外部地址后,选择这条外部地址,然后勾上“包括在CRL中,客户端用它来增量CRL的位置”和“包含在颁发的证书的CDP扩展中”2条。
外网地址添加完后,我们需要再添加一条放置这个CRL的本地文件夹,到时候上一步IIS中的crld虚拟目录的物理路径需要指向这个文件夹。
同样的<CaName><CRLNameSuffix><DeltaCRLAllowed>三个变量名也必须点“插入”,不能自己手动输,再在最后加上.crl。
添加好后,选中这条本地地址,然后勾上下面的“发布CRL到此位置”和“将增量DRL发布到此位置”就行了。
外网地址和内网地址添加完成后点确定,证书颁发服务会重启,这时证书颁发服务器这边就配置好了。然后去发布这个地址的服务器上,如我这里的OWA服务器。
在d盘根目录下新建一个文件夹“crldist”就是上一步在CA扩展信息中添加的本地路径中的文件夹,保持文件夹名称一致,然后共享――给Everyone读取/写入的权限,并且保证在证书服务器上运行里输\\mail\crldist可以正常访问到。如果在证书服务器上访问这个文件夹需要输密码,记得必须要勾上“记住凭据”,否则以后系统自动发布会失败,因为没有权限写入到这个文件夹。
再在打开“高级共享”添加Everyone完全控制权限。
打开IIS――添加虚拟目录crld
添加好后,点击crld虚拟目录,然后点右边的“SSL设置”,取消“要求SSL”的勾,点最右边“应用”
虚拟目录发布完成,再去CA证书服务器上,发布CRL
按默认选项,不用修改,点确定,发布
如果没有什么错误提示弹出来,说明发布成功了,我们再验证一下。打开“运行”输入之前建立的本地文件夹路径\\mail\crldist,看到CRL已经正常发布到这个文件夹里了。
如果在上面添加内、外地址的时候变量不是通过插入,而是自己手动输入的话,在申请证书后包含的CRL路径后面的CRL文件名就是错误的、乱码,这是没办法访问的,所以就不会生效,也就一样会出现访问不到CRL。
正常的应该是这样:
这个CRL文件名也就是证书颁发服务器上的CRL名字
验证CRL有没有添加成功、生效的方法:
重新申请一张证书,然后打开证书,查看扩展信息里包含的外部CRL下载地址,复制出来,打开浏览器,输入这个外网地址,要是能正常下载到CRL,那么配置就是成功的。否则就不行。
下载――打开
可以看到,能正常下载、打开查看到CRL信息,给证书颁发机构扩展信息添加CRL地址成功。
或者把证书复制到外部,然后打开CMD,输入certutil –verify e:\tool\edge.cer。验证成功
现在再打开验证OWAS服务器场配置,https://owas.xxx.com.cn/hosting/discovery,可以看到直接打开了,没有再提示证书问题。
再去共享PPT试试,完全正常了。
这是不能发布CA服务器80端口,外网也没办法直接访问到CA情况下的解决方法,
如果可以直接发布CA服务器的80端口到外网,并且外网可以直接访问到CA服务器,那事情就更简单了。
打开CA扩展属性,选择下图的http://<ServerDNSNmae>项目,然后勾下下面的“包括在CRL中”和“包含在颁发的证书的CDP扩展中”,然后重新发布一下吊销列表CRL就行了。
