在Lync Server 2013中,我们需要PPT功能就必须额外的部署Office Web Apps服务器,这点我们在前面已经说过。在部署之后,我们会发现这种方式比Lync服务器本地自带PowerPoint演示功能要复杂一些。在通过前面的文章之后,我们可以解决PowerPoint无法使用的问题,但随之又会发现其他问题。这个问题就是今天我们遇到的Office Web Apps服务器的证书不受信任。在我们Lync域内的客户端是能够正常的共享、演示PPT的,但在外部或者说在没有加域的客户端上就会提示我们“来自服务器的证书存在问题,请联系你的支持团队”。
首先我们从最基本的开始,在证书方面,我们首先需要保证我们的证书是有效的,也就是说证书本身是没有问题的,比如公用名称中包含OWA服务器的FQDN以及外部域名。并且使用“New-OfficeWebAppsFarm”建立的OWA场是没问题的。在这些问题都OK后,我们继续从两个方面分析问题,第一个方面就是证书颁发机构CA,另一个方面是客户端在进行PPT共享时的连接分析、抓包。
这里我们主要从CA这边来检查问题。由于申请的证书的步骤几乎是一样的,根据第一步的检查我们已经可以排除证书本身的问题。所以这里我们主要是检查CA,这里需要注意我们的CA版本,CA版本其实就是Windows Server版本差异,这里我的CA的是基于Windows Server 2012的,在部署好CA后并没有做过多的操作。但正是由于没有做过多的操作,所以我并没有去关注CA关于证书吊销列表的问题,也就是CRL。我们来看下我们现在所使用的证书属性,详细信息。如果这里的属性包含了CRL分发点,并且我们又没有专门的去配置CA,那么很有可能就会出问题。
看到这里,必须想到的就是CRL问题,因为我们通过默认的Web Server模板申请到的证书是会将CRL信息包括在证书的扩展属性中。然后这些CRL信息并不能够访问,因为在域外根本就没办法这样做。既然如此,我们有两种方法,第一种就是颁发或去申请一张没有CRL信息的证书,如下图。
另外,就是在CRL信息中我们提供可供外部访问的CRL位置,这种方法相对来说要麻烦不少,因为我们需要从根本上的修改CA的配置,意味着之后需要重新颁发证书。但这样客户端可以通过这个地址来检查证书的吊销信息,是一个一劳永逸的操作。我们打开内部的CA管理单元,然后右键选择CA名称-属性。
可以在扩展选项卡中看到几个CDP,但这些CDP似乎都只能在域内访问,所以我们需要添加一个域外能够访问的位置。
单击添加后,我们在这里键入一个http地址,前提是这个地址是域外可以访问的,比如我们的OWA服务器的外部地址,也是可以的。然后在后面加上/crld/表示专门的CRL虚拟目录,再后面加上三个变量,分别是<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。完整的应该类似这样:
添加好供外部访问的HTTP地址后我们选中它,然后选择下方的两个选项,分别是“包括在CRL中。客户端用它来寻找增量CRL的位置”和“包含在颁发的证书的CDP扩展中”。
然后再次单击添加,因为我们还需要将CRL发布到OWA服务器相应的虚拟目录中。还是类似的,只不过这里我们是输入一个共享地址,比如\\OWA\crld\<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。
这里我是直接放在DC上的,但感觉放在OWA服务器上也是一个不错的选择。
建立好后选中它,然后选择下方的两个选项,分别是“发布CRL到此位置”和“将增量CRL发布到此位置”。
然后我们到对应的服务器去创建共享文件夹。这里我们需要进行高级共享,因为需要设置CA完全控制权限。
我们把DC01,也就是我们的CA添加到权限列表中,并赋予完全控制权限。需要注意下,在添加的时候默认是组和用户,我们需要更改类型,把计算机加入到其中,否则是找不到计算机的。
然后我们用同样的方法把DC01也加到安全属性中,同样赋予完全控制权限。
然后我们到owa服务器,打开IIS,然后选择外部站点,右键添加虚拟目录。
然后我们创建前面对应的别名,比如crld,然后物理路径指向刚才创建的共享文件夹。
到此为止,我们对CA进行的改造就全部完成了,但需要注意的是我们此时仍然没办法正常的使用Lync PPT演示功能。因为我们还需要去做一件事情,那就是重新申请证书,因为我们目前所使用的证书是没办法访问CRL的,关于证书的申请,可以参考上一篇文章。
这里我们其实还可以用CERTUNTIL工具来检查证书,我们打开https://owa.contoso.com地址后,把证书下载下来,然后使用cmd执行CERTUNTIL工具来检查证书。
我们在最下方可以看到检查结果,因为我这里没有把CRL信息包含在证书中,所以提示跳过吊销检查,即这样也是没有问题的。
完成之后,我们再次进行PPT演示,应该就没问题了。
除了以上比较复杂的方法外,还有一种临时的解决方法,那就是在浏览器中设置了不检查吊销列表。要设置不检查吊销列表,可以打开IE浏览器-工具-Internet选项-高级,然后清除“检查服务器证书是否已吊销”选项,然后退出Lync客户端,重新登录下应该就可以演示PPT了。
但这种方法只能用于临时,因为此选项默认是被选中的,所以如果数量比较多的话,这种方式不太可行。总而言之有这样三种方法,第一种是在证书中不包含吊销信息CRL;第二种是修改CA的扩展属性,加入外部可以访问CRL的位置,然后重新颁发证书;第三种就是修改客户端的浏览器证书吊销检查。如果大家对此还有问题,欢迎回复文章,我们一起交流、学习,谢谢大家!
本文转自 reinxu 51CTO博客,原文链接:http://blog.51cto.com/reinember/1102580 ,如需转载请自行联系原作者