Skype для бизнеса 2016 ошибка проверки сертификата с сервера

Добрый день.

Имеется контроллер, на нем СА, DNS, вторая машина Lync Server. Клиент подключается с этих двух машин без проблемм (тип подключение автоматический).

С компьютеров которые не являются членами домена (рабочая группа, либо другой домен) войти не удается, возникает ошибка — Не удается войти в Lync. Проверьте учетные данные для входа и повторите попытку , либо — Не удается войти в Lync. Ошибка проверки
сертификата с сервера (это в том случае если в

качестве сервера указать IP адрес. В Trusted Root сертификат вроде добавил…. Это первый вопрос, кто подскажет. Эти машины обращаются к тому же ДНС что и те клиенты у которых проблем с входом нет.

Второе. Я бы это шифрование вообще отключил (у меня все в локальной сети), но по TCP настроить не получается (в клиенте эта опция блеклая). Сам сервер (покопавшись в инете) через Management Shell настроил чтобы он отвечал по TCP 5060, а с клиентом проблема.
Есть ли возможность настроить клиента на протокол TCP а не TLS.

Заранее благодарю за помощь. 

p.s. в журналах следующее (вроде все понятно, но что изменить)

____________

The Security System could not establish a secured connection with the server ldap/dc.lync.uz/lync.uz@LYNC.UZ. No authentication protocol was available.

____________

The certificate received from the remote server does not contain the expected name. It is therefore not possible to determine whether we are connecting to the correct server. The server name we were expecting is 172.24.100.3. The SSL connection request has
failed. The attached data contains the server certificate.

___________

• Изменено

  5 марта 2012 г. 12:58
  добавил

• Remove From My Forums

Skye for Business 2016 Mac — Weird Certificate Error

• Question

• Hi All,

  I have few users who all are using SfB Mac client and and are getting these popups periodically. This is specific to only Mac users. For those who are using windows, are all good.

  

  There was a problem verifying the certificate from the server. check your device’s clock settings or contact support team.

  I’ve cleared cached credentials and certificates and verified that clients have trusted certificates installed on the machine. 

  Any thought?

  ---

  Regards, ASP _______________ Please “Vote As Helpful” if you find my contribution useful or “Mark As Answer” if it does answer your question. That will encourage me — and others — to take time out to help you.

  • Edited by

    Thursday, February 23, 2017 5:32 AM

Содержание

1. Введите пароль еще раз.
2. Инструкции по входу в skype для бизнеса на mac
3. Мои данные в опасности?
4. Нужно ли указывать параметры прокси-сервера?
5. Обновление даты и времени на компьютере
6. Обновление сертификата skype4business | блог сисадмина
7. Получение сертификата от let’s encrypt для skype for business 2021
8. По-прежнему получаете сообщение об ошибке?
9. Проблема с сертификатом — форум программы skype
10. Проверка работоспособности пароля в office 365
11. Сброс пароля
12. Установите правильную дату и время на устройстве для входа в skype

Пришло время обновлять SSL сертификат на сервере Скайп для бизнеса. Внешний сертификат устанавливается на Edge-сервер.

Это делается так:

1. Если у нас сертификат в формате crt, и запрашивался он через какой-то другой IIS сервер (например exchange), то его необходимо сначала установить на этот сервер, а потом экспортировать вместе с закрытым ключом. Получим файл формата pfx, копируем его на edge-сервер.
2. Идем на Edge-сервер скайп, запускаем командную консоль скайп.
3. Можно импортировать сертификат или из командной консоли или через графическую оболочку установщика. Ниже оба способа:

   Import-CsCertificate -Path "c:usersrootdocumentsrapidssl_2021-2021_exportedpfx.pfx" -PrivateKeyExportable $True -Password 123
   

   (заменяем путь к сертификату и пароль)

4. Через графический интерфейс: Запускаем Мастер развертывания S4B с дистрибутива, «Установка или обновление…», «Запросить установить или назначить сертификаты», Импорт сертификата.
5. Выбираем наш pfx, указываем пароль
6. После импорта выбираем сертификат, который нужно заменить, нажимаем кнопку Назначить, выбираем новый сертификат из списка.
7. Готово

Если настроен Reverse Proxy, то идём на него и продолжаем.

1. 1. Импортировать новый сертификат в локальный компьютер-личное.
   2. В powershell запустить

      Get-ChildItem -Path Cert:LocalMachineMy | fl
      

Скопировать thumbprint нового сертификата
0B66…..

Set-WebApplicationProxyApplication -ID 57a6239b-0a81-26bd-8094-130b06a251cd -ExternalCertificateThumbprint 0B66...
Set-WebApplicationProxyApplication -ID 02ed27ef-7818-d985-e01b-5999dc562b54 -ExternalCertificateThumbprint 0B66...
Set-WebApplicationProxyApplication -ID 939bac49-4649-7498-3509-954706ef41c1 -ExternalCertificateThumbprint 0B66...
Set-WebApplicationProxyApplication -ID 2c1302d8-1d1f-02cb-3a61-bb1adc2df357 -ExternalCertificateThumbprint 0B66...
Set-WebApplicationProxyApplication -ID 1aa73e0a-6ad3-03c7-ca25-a04f79ea77c6 -ExternalCertificateThumbprint 0B66...

Цель нашей лабораторной получить сертификат от доверенного центра сертификации для Skype For Business 2021:
1. Выбор доверенного центра сертификации
. Let’s Encrypt
2. Выбрать способ проверки для получения сертификата
. Windows DNS Server / Yandex PDD
3. Определить список доменов в сертификате
. sfb.contoso.ru,lyncdiscoverinternal.contoso.ru,web.contoso.ru,contoso.ru
4. Получить сертификат
. ACMESharp
. DNSServer module
. Yandex API
5. Установить сертификат на сервер Skype For Business 2021
. Import-CsCertificate
. Set-CsCertificate
. Get-CsCertificate

* В сертификате от Let’s Encrypt отсутствует CRL , поэтому может возникнуть проблема с запуском сервиса Fabric и требуется исправление ключа — <Parameter Name=”CrlCheckingFlag” Value=”0”

  https://itbasedtelco.wordpress.com/2021/06/14/s4b-front-end-servers-event-4097-flooding/

1. Выбор доверенного центра сертификации

Центры сертификации WoSign и StartCom, которые ранее выдавали сертификаты с большим сроком действия от 1 до 3 лет, перестали быть доверенными компанией Microsoft (https://blogs.technet.microsoft.com/mmpc/2021/08/08/microsoft-to-remove-wosign-and-startcom-certificates-in-windows-10/) и многими другими, хотя возможность получения и покупка сертификатов возможна.
К счастью, есть доверенный центр сертификации Let’s Encrypt. Его функционала будет достаточно, для создания федерации с другими партнерами и взаимодействия с сервисом Skype. Для взаимодействия с облачными сервисами, требуется дополнительное тестирование.

Let’s Encrypt:
Стоимость                            — бесплатно
Сертификат действителен  — 90 дней
SAN                                  — 100 доменов
CRL                                   — не поддерживается
OCSP                                — поддерживается
IDN(Internationalized Domain Names) — поддерживается
OV,EV                               — не поддерживается
Способ проверки             — ftp,http,dns
RSA размер ключа            — по умолчанию 2048 (2048, 3072, 4096)
WildCard                            — https://letsencrypt.org/2021/07/06/wildcard-certificates-coming-jan-2021.html
    Список ограничений       — https://letsencrypt.org/docs/rate-limits/

Список совместимости:
https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
    https://letsencrypt.org/docs/certificate-compatibility/

Сроки реализации новых функций:
https://letsencrypt.org/upcoming-features/

# IDN (Internationalized Domain Names) [System.Globalization.IdnMapping]::new().GetAscii("президент.рф")xn--d1abbgf6aiiy.xn--p1ai    [System.Globalization.IdnMapping]::new().GetUnicode("xn--d1abbgf6aiiy.xn--p1ai")президент.рф

2. Выбрать способ проверки для получения сертификата

В данной лабораторной работе, для простоты был выбран способ проверки через записи DNS.

Рассмотрим вариант создания записей в бесплатном сервисе Яндекс.Почта(предоставляет функционал DNS сервера) и Windows DNS Server(должен быть опубликован в интернет).

Кому лень использовать скрипты, может с легкостью получить сертификаты через онлайн сервис — https://www.sslforfree.com/

Windows DnsServer Module — https://technet.microsoft.com/en-us/itpro/powershell/windows/dnsserver/dnsserver

    Get-DnsServerResourceRecord — https://technet.microsoft.com/en-us/itpro/powershell/windows/dnsserver/get-dnsserverresourcerecord

    Add-DnsServerResourceRecord — https://technet.microsoft.com/en-us/itpro/powershell/windows/dnsserver/add-dnsserverresourcerecord

    Set-DnsServerResourceRecord — https://technet.microsoft.com/en-us/itpro/powershell/windows/dnsserver/set-dnsserverresourcerecord

Yandex API Управление DNS — https://tech.yandex.ru/pdd/doc/concepts/api-dns-docpage/

    GET  /api2/admin/dns/list? — Получить DNS-записи домена — https://tech.yandex.ru/pdd/doc/reference/dns-list-docpage/

    POST /api2/admin/dns/add   — Добавить DNS-запись        — https://tech.yandex.ru/pdd/doc/reference/dns-add-docpage/

    POST /api2/admin/dns/edit  — Редактировать DNS-запись   — https://tech.yandex.ru/pdd/doc/reference/dns-edit-docpage/

Как подключить себе сервис Яндекса:

    https://blog.it-kb.ru/2021/02/03/delegating-dns-domain-to-yandex-ns-servers-and-connect-to-free-services-yandex-mail-for-domain-with-1000-unlimited-mailboxes-and-yandex-disk/

Все DNS записи будут типа TXT, формата:

name                       class  rr    text

_acme-challenge.domain   IN     TXT   «123drNmQL5vX0bu4YZlgy5wKNBlCny4yrjF1lSaUndc»

3. Определить список доменов в сертификате

Требования к сертифакату для Skype For Business 2021 — https://technet.microsoft.com/en-us/library/dn933910.aspx

Воспользуемся мастером и скопируем список из вкладки Subject Alternative Name — https://blogs.technet.microsoft.com/uclobby/2021/05/15/renewing-skype-for-business-server-2021-certificates/

4. Получить сертификат

К этому пункту у нас должна быть собрана информация:

    $DomainName    = «contoso.ru»

    $SAN           = «sfb.contoso.ru»,»lyncdiscoverinternal.contoso.ru»,»web.contoso.ru»,»contoso.ru»

    $email         = «pki@contoso.ru»

    * Yandex API — учетные данные, зарегистрированный и настроенный домен

— Обязательные параметры

* — Необязательные параметры

! — Все действия выполняем под учетной записью с правами Администратора

Для работы с Let’s Encrypt с помощью PowerShell , есть замечательный модуль ACMESharp.

Документация по модулю — https://pkisharp.github.io/ACMESharp-docs/

User Guide: ACMESharp PowerShell Client  — https://pkisharp.github.io/ACMESharp-docs/User-Guide.html

Quick Start: ACMESharp PowerShell Client — https://pkisharp.github.io/ACMESharp-docs/Quick-Start.html

ACMESharp создает Vault , которое содержит очень чувствительные данные.

* https://github.com/ebekker/ACMESharp/wiki/Vaults,-Vault-Providers-and-Vault-Profiles

:sys — the default system-wide Vault if you are running as an elevated user (admin)

    %ALLUSERSPROFILE%ACMESharpsysVault

:user — the default user-specific Vault if you are running as a non-elevated user

    %LOCALAPPDATA%ACMESharpuserVault

Папки:

VAULT  /**/ = «00-VAULT»; // Vault Info

MTADT  /**/ = «01-MTADT»; // Asset Meta Data

PRVDR  /**/ = «10-PRVDR»; // Challenge Handler Provider Profile

INSTP  /**/ = «18-INSTP»; // Installer Provider Profile

CSRDT  /**/ = «30-CSRDT»; // CSR Generation Details

KEYGN  /**/ = «40-KEYGN»; // Private Key Generation Details

KEYPM  /**/ = «45-KEYPM»; // Private Key PEM Export

CSRGN  /**/ = «50-CSRGN»; // CSR Export

CSRPM  /**/ = «55-CSRPM»; // CSR PEM Export

CSRDR  /**/ = «56-CSRDR»; // CSR DER Export

CRTPM  /**/ = «65-CRTPM»; // Certificate PEM Export

CRTDR  /**/ = «66-CRTDR»; // Certificate DER Export

ISUPM  /**/ = «75-ISUPM»; // Issuer Certificate PEM Export

ISUDR  /**/ = «76-ISUDR»; // Issuer Certificate DER Export

ASSET  /**/ = «99-ASSET»; // Generic Asset

Т.к. по умолчанию используется  EFS для защиты Vault ,а у тех где данный функционал отключен , надо будет явно отключить в файле конфигурации EFS — https://pkisharp.github.io/ACMESharp-docs/Local-Vault-EFS.html .

public string RootPath

        { get; set; }

public bool CreatePath

        { get; set; }

public bool BypassEFS

        { get; set; }

$param=(Get-ACMEVaultProfile).VaultParameters$param.Add("BypassEFS",$true)Set-ACMEVaultProfile-ProfileName":user"-Providerlocal-VaultParameters$param-Force

{

  «$type»: «ACMESharp.Vault.Profile.VaultProfile, ACMESharp.Vault»,

  «Name»: «user»,

  «ProviderName»: «local»,

  «ProviderParameters»: null,

  «VaultParameters»: {

    «$type»: «System.Collections.Generic.Dictionary`2[[System.String, mscorlib],[System.Object, mscorlib]], mscorlib»,

    «BypassEFS»: true,

    «CreatePath»: true,

    «RootPath»: «C:UsersAdministratorAppDataLocalACMESharpuserVault»

  }

}

Шаг 1: Установка модуля ACMESharp

Install-Module-NameACMESharp-AllowClobber

Данный модуль располагается в двух репозитариях PSGallery и Nuget. Версия в PSGallery новее и на момент написания 0.9.0.321:

Install-Module-NameACMESharp-AllowClobber-RepositoryPSGallery-Force

Шаг 2: Инициализация хранилища

Initialize-ACMEVault

Шаг 3: Регистрация аккаунта

* Let’s Encrypt CA поддерживает только тип email contact, URI формата mailto:<email-address>

New-ACMERegistration-Contactsmailto:$email –AcceptTos

Шаг 4: Подтверждение владением записей домена

В ACMESharp реализовано два типа ChallengeType: dns-01 , http-01 .

https-01 — описан https://pkisharp.github.io/ACMESharp-docs/Quick-Start.html

PS > Get-ACMEChallengeHandlerProfile -ListChallengeTypes

dns-01

http-01

PS > Get-ACMEChallengeHandlerProfile -ListChallengeHandlers

manual

Длинная запись:

New-ACMEIdentifier-Dnslyncdiscoverinternal.contoso.ru-Aliassfb1New-ACMEIdentifier-Dnssfb.contoso.ru-Aliassfb2New-ACMEIdentifier-Dnsweb.contoso.ru-Aliassfb3New-ACMEIdentifier-Dnscontoso.ru-Aliassfb4Complete-ACMEChallenge-IdentifierRefsfb1-ChallengeTypedns-01-HandlermanualComplete-ACMEChallenge-IdentifierRefsfb2-ChallengeTypedns-01-HandlermanualComplete-ACMEChallenge-IdentifierRefsfb3-ChallengeTypedns-01-HandlermanualComplete-ACMEChallenge-IdentifierRefsfb4-ChallengeTypedns-01-HandlermanualSubmit-ACMEChallenge-IdentifierRefsfb1-ChallengeTypedns-01Submit-ACMEChallenge-IdentifierRefsfb2-ChallengeTypedns-01Submit-ACMEChallenge-IdentifierRefsfb3-ChallengeTypedns-01Submit-ACMEChallenge-IdentifierRefsfb4-ChallengeTypedns-01## Give it a minute, just in case -- or go get more coffeesleep-s60Update-ACMEIdentifier-IdentifierRefsfb1Update-ACMEIdentifier-IdentifierRefsfb2Update-ACMEIdentifier-IdentifierRefsfb3Update-ACMEIdentifier-IdentifierRefsfb4

Короткая запись:

$SAN|Foreach-Object{$i=1}{$id="sfb$i"New-ACMEIdentifier-Dns$_-Alias$id|Out-NullComplete-ACMEChallenge-IdentifierRef$id-ChallengeTypedns-01-Handlermanual$i  }

# Содержит ресурсные записи, которые потребуется создать на DNS сервере# Требуются для подтверждения владением доменом$DNS=(Get-ACMEVault).Identifiers.Where{$_.Alias-like"sfb*"}.Authorization.Challenges.Where{$_.Type-eq"dns-01"}.Challenge

# Создаем ресурсные записи # Windows DNS Server$AllRecords=(Get-DnsServerResourceRecord-ZoneName$DomainName-RRTypeTxt).Where{$_.Name-match"_acme-challenge"}$DNS.Foreach{$rdns=$_$name=$_.RecordName.TrimEnd($DomainName)$record=$AllRecords.Where{$_.HostName-eq$name}if($record){$newrecord=$record.Clone()$newrecord.RecordData.DescriptiveText=$_.RecordValueSet-DnsServerResourceRecord-ZoneName$DomainName-NewInputObject$newrecord-OldInputObject$record}else{ADD-DnsServerResourceRecord-ZoneName$DomainName-Txt-Name$name-DescriptiveText$_.RecordValue}}

# Yandex APIFunctionInput-Captcha{Param($src)Add-Type-AssemblyNameSystem.Windows.Forms,System.Drawing$bimg=[Net.WebClient]::new().DownloadData($src)$ms=[IO.MemoryStream]::new($bimg)$img=[Drawing.Image]::FromStream($ms)[Windows.Forms.Application]::EnableVisualStyles();$form=New-ObjectWindows.Forms.Form-Property@{Text="Captcha"Width=300Height=227FormBorderStyle="FixedDialog"Icon=[Drawing.Icon]::ExtractAssociatedIcon("$env:ProgramFilesInternet Exploreriexplore.exe")}$pictureBox=New-ObjectWindows.Forms.PictureBox-Property@{Width=$img.Size.WidthHeight=$img.Size.HeightLocation=New-ObjectDrawing.Size(60,30)Image=$img}$button=New-ObjectWindows.Forms.Button-Property@{Location=New-ObjectDrawing.Size(12,153)Size=New-ObjectDrawing.Size(260,23)Text="Set"}$button.Add_Click({$script:rep=$textbox.Text.Trim()$form.Close()})$textbox=New-ObjectWindows.Forms.TextBox-Property@{Location=New-ObjectDrawing.Size(12,117)Size=New-ObjectDrawing.Size(260,20)}$form.Controls.Add($pictureBox)$form.Controls.Add($button)$form.Controls.Add($textbox)$form.Add_Shown({$form.Activate()})$form.ShowDialog()|Out-Null}FunctionGet-Token{[CmdLetBinding()]Param([String]$Url="https://pddimp.yandex.ru",[String]$TUrl="https://pddimp.yandex.ru/api2/admin/get_token",[Parameter(Mandatory)][PSCredential]$Credential,[Parameter(Mandatory)][String]$DomainName)try{# Логинемся в Yandex Passport$wr=Invoke-WebRequest$TUrl-SessionVariableya# В форме заполняем login&passwd$Form=$wr.Forms[0]$Form.Fields["login"]=$Credential.UserName$Form.Fields["passwd"]=$Credential.GetNetworkCredential().Passwordif($Form){# Отправляем Post запрос$wr=Invoke-WebRequest-Uri$Form.Action-WebSession$ya-MethodPOST-Body$Form# Если успешно, то переходим к странице получения токена$wr=Invoke-WebRequest$TUrl-WebSession$yaif($wr.ParsedHtml.Title-eq"Admin's token management"){$Form=$wr.Forms[0]# Удаляем из post запроса token_del $Form.Fields.Remove("token_del")|Out-Null# Вводим капчуInput-Captcha$wr.Images.src# Заполняем форму rep - Captcha$Form.Fields["rep"]=$rep$Form.Fields["domain_name"]=$DomainName# Отправляем Post запрос с методом token_get$wr=Invoke-WebRequest-Uri"$url$($Form.Action)"-WebSession$ya-MethodPOST-Body$Form# Возвращаем полученный токен$wr.ParsedHtml.getElementsByTagName("Strong").Item(0).outerText}}}catch{$_}}$LUrl='https://pddimp.yandex.ru/api2/admin/dns/list?domain={0}'-f$DomainName$EUrl='https://pddimp.yandex.ru/api2/admin/dns/edit'$AUrl='https://pddimp.yandex.ru/api2/admin/dns/add'$PddToken=Get-Token-Credential""-DomainName$DomainNameif($PddToken){# Получим все записи для дальнейшего сравнения$AllRecords=Invoke-WebRequest$LUrl-Headers@{"accept"="application/json"PddToken=$PddToken}|ForeachContent|ConvertFrom-Json|Foreach{$_.Records}$DNS|Foreach{$rdns=$_$record=$AllRecords.Where{$_.FQDN-eq$rdns.RecordName}if($record){# Обновляем данныеInvoke-WebRequest$EUrl-Headers@{"accept"="application/json";PddToken=$PddToken}-MethodPOST-Body@{'domain'=$DomainName'record_id'=$record.record_id'content'=$rdns.RecordValue}}else{# Создаем записиInvoke-WebRequest$AUrl-Headers@{"accept"="application/json";PddToken=$PddToken}-MethodPOST-Body@{'domain'=$DomainName'type'='TXT''subdomain'=$rdns.RecordName.TrimEnd($DomainName)'content'=$rdns.RecordValue}}}}

Т.к. для подтверждения требуется вводить captcha вручную.

# Отправить запрос на проверку(Get-ACMEIdentifier).Where{$_.Alias-match"sfb"}.Foreach{Submit-ACMEChallenge-IdentifierRef$_.Alias-ChallengeTypedns-01}sleep-s60(Get-ACMEIdentifier).Where{$_.Alias-match"sfb"}.Foreach{Update-ACMEIdentifier-IdentifierRef$_.Alias}

Шаг 5. Генерация сертификата

$idref=(Get-ACMEIdentifier).Where{$_.Alias-match"sfb"}|Select-First1|Foreach{$_.Alias}$aref=(Get-ACMEIdentifier).Where{$_.Alias-match"sfb"}|Select-Skip1|Foreach{$_.Alias}New-ACMECertificate-Generate-IdentifierRef$idref-AlternativeIdentifierRefs$aref-AliasSfB2021FECert

# Отправить запросSubmit-ACMECertificate-CertificateRefSfB2021FECert

Update-ACMECertificate-CertificateRefSfB2021FECert

Шаг 6. Экспорт в PFX

Get-ACMECertificateSfB2021FECert-ExportPkcs12"SfB2021FECert.pfx"-CertificatePassword'12345678'

5. Установить сертификат на сервер Skype For Business 2021

Пример можно посмотреть - https://www.tbs-certificates.co.uk/FAQ/en/install-skype-business-server.html

Import-CsCertificate-Path"c:SfB2021FECert.pfx"-PrivateKeyExportable$True-Password'12345678'Set-CsCertificate-TypeDefault,WebServicesInternal,WebServicesExternal,OAuthTokenIssuer-Thumbprint"439637470DF2D0E9DF933EADEA1F0610B3BA841C"Get-CsCertificate|FtThumbprint,Use
Thumbprint                               Use
----------                               ---
439637470DF2D0E9DF933EADEA1F0610B3BA841C Default
439637470DF2D0E9DF933EADEA1F0610B3BA841C WebServicesInternal
439637470DF2D0E9DF933EADEA1F0610B3BA841C WebServicesExternal
439637470DF2D0E9DF933EADEA1F0610B3BA841C OAuthTokenIssuer

PS. Скрипты к статье:

le_windows_dns.txt —  Пример для Windows DNS Server

le_yandex_dns.txt    — Пример использования Yandex API PDD

Хоть и Скайп предлагает установить правильную дату и время, на самом деле ошибка может возникать по двум разным причинам:

Если инструкция вам помогла решить ошибку, напишите в комментариях, желательно указать версию Skype и операционную систему, дабы точно узнать для каких компьютеров подходит данное руководство. Конечно, приветствуются любые советы по улучшению статьи.

~~~

Кликните здесь для просмотра всего текста