Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Lync & Certificats Publics.. : Pas si publics que ça … suite et fin ;-)

Posted by Teruin laurent sur mars 14, 2012


Bon alors comme je voulais avoir le fin mot de l’histoire et surtout savoir si l’on devait déployer ces fameuses autorités de certification intermédiaire, je me suis mis en tête d’appeler Verisign. Bon après un demie heure de .. appuyer sur 1 appuyer sur 2 etc.. Pour finalement tomber sur un répondeur m’invitant à taper une extension de poste…., j’ai switcher sur le support Globalsign ou j’ai pu avoir le fin mot de l’histoire.

Remerciements au passage aux interlocuteurs de Globalsign pour leur disponibilité et la qualité de leurs échanges ainsi que du temps passé. C’est assez rare parfois, alors autant le souligner. ;-)

D’après le support, les autorités de certifications intermédiaires auraient été positionnées pour éviter de trop exposer les autorités racines. Utilisée sur un serveur Web elles n’impliqueraient pas la nécessité de déployer la chaine de certificat de l’autorité intermédiaire sur le poste de travail car rappelons le, l’utilisateur ne sera pas prompté si et seulement si les 4 conditions ci-dessous sont remplies:

  • Le certificat n’est pas révoqué
  • Le certificat contient le nom qui correspond à l’URL tapée par l’utilisateur
  • Le certificat est émis d’une autorité de certification approuvé par le poste de travail
  • Le certificat n’est pas expiré

Or les autorités de certifications intermédiaires permettraient (à conditions qu’elles soient néanmoins déployées sur le serveur Web) de ce passer de les déclarer sur les postes qui visiteraient le site. Entre nous….ce qui parait plausible.

Alors …j’ai testé en prenant un poste Windows 7 tout neuf et en allant sur un site Web (https://meet.mycompany.com) doté d’un beau certificat Wildcard Globalsign et ça marche !!! Pas de prompt !

Le poste est tout neuf, n’est pas dans le domaine et n’a rien à voir avec l’entreprise.

Alors installons le client Lync et testons l’accès au Edge doté cette fois ci d’un certificat SAN Globalsign.

Et …

Ca marche !


Passons maintenant à la dernière version du client Lync CU3

Résultat ;-))


Note : notre serveur Edge possède bien dans son magasin l’autorité de certification intermédiaire. C’est également le cas pour ce qui est des serveurs Edge de fédération qui de facto fonctionne

Donc .. le consultant GlobaSign ..avait raison ;-) . Voila de quoi me réconcilier avec ces chères institutions ;-)

Un grand merci encore une fois aux équipes de GlobalSign

Bonne soirée

Laurent Teruin

 


 

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :