Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Lync & Certificats Publics.. : Pas si publics que ça … mise à jour

Posted by Teruin laurent sur mars 14, 2012


Bonjour

Plusieurs problèmes récents liés aux certificats et à Lync 2010 m’amène à poster cet article

Pour que les services Lync Edge / reverse proxy fonctionnent correctement, il faut que le mobile ou le pc approuve l’autorité de certification de confiance qui a émis ce certificat. L’autorité de certification la plus communément reconnue et par conséquent installée dans le magasin de certificat des ordinateurs semble être Verisign et Thawte.

Cependant, cela n’empêche pas les autres de fonctionner convenablement à condition que les autorités de certification qui ont délivrées le certificat, à savoir l’Autorité racine de confiance ou l’autorité intermédiaire soient présentes dans le magasin du périphérique qui accède à Lync. Périphérique qui peut être un téléphone mobile (Windows Phone, Iphone etc..) , un Serveur Lync Edge (Fédération), un Pc de l’entreprise dans le domaine, un pc externe inconnu.

Bien sûr me direz-vous que si vous achetez des certificats publics (au prix où parfois ils sont vendus ….), c’est pour justement ne pas avoir à mettre en place des certificats d’autorités de confiance dans les PC. J’en conviens mais……. Mais parfois ce n’est pas le cas.

Pour tester j’ai installé une machine Windows 7 «  from scratch » que je l’ai mis à jour.

Voici ce qu’elle possédé dans son magasin de certifications


 


On n’y trouve Thawte Verisign (qui semble être la même société par ailleurs) mais pas de trace de Comodo ni de Globalsign par exemple. Ce qui veut dire que pour ces autorités, il faudra déployer des certificats d’autorités de confiance Racines et voir intermédiaires sur les postes de travail de l’entreprise. En Gpo ça se fait très rapidement. Par contre sur les Smartphones, c’est selon le système d’exploitation parfois un peu plus compliqué, surtout si vous en avez beaucoup ;-))

Cependant reste le problème de l’accès WEB APP de Lync qui est censé être utilisé par des clients externes en https, et qui n’étant pas dans le domaine, n’auront pas forcement les bonnes autorités de certifications dans leurs magasins. Pour eux, lorsqu’ils tenteront d’accéder à une réunion par web app un warning de certificat s’affichera avec la possibilité de continuer néanmoins. C’est moyen je vous l’accorde mais ….pas le choix.

Si vous mettez en place une fédération alors il faudra également penser à ce que les deux serveurs Edge possèdent de part et d’autre les bonnes autorités de certification de confiance (racines et intermédiaires) et dans les bons conteneurs !.

D’autre part, il n’est pas exclu, même si vous choisissez une autorité connue par défaut dans Windows 7 que cela suffise. Pourquoi ? Parce que les autorités de certifications publiques peuvent si elle le souhaite, utiliser des nouvelles autorités de certifications intermédiaires pour délivrer des certificats publics. De facto, cette nouvelle autorité de certification publique de confiance et intermédiaire ne sera donc pas présente dans vos magasins. Et par conséquent cela ne fonctionnera pas. Un exemple ? un certificat récemment acheter auprès de Vérisign . Vous remarquerez le nom de l’autorité de certification intermédiaire


Concernant la fédération avec Windows Live et autre IM, peu de problème sont remontés pour le moment.

Certificat pour les Phone Edition

Pour les téléphones voici les autorités racines approuvés par défaut sur Lync Phone Edition

Fournisseur  

Nom du certificat  

Date d’expiration  

Longueur de la clé  

Comodo 

AAA Certificate Services 

12/31/2020 

2048 

Comodo

AddTrust External CA Root 

5/30/2020 

2048 

Cybetrust 

Baltimore CyberTrust Root 

5/12/2025 

2048 

Cybetrust 

GlobalSign Root CA 

1/28/2014 

2048 

Cybetrust 

GTE CyberTrust Global Root 

8/13/2018 

1024 

VeriSign 

Class 2 Public Primary Certification Authority 

8/1/2028

1024 

VeriSign 

Thawte Premium Server CA 

12/31/2020 

1024 

VeriSign 

Thawte Server CA 

12/31/2020 

1024 

VeriSign 

Comodo 

1/7/2010 

1000 

VeriSign 

Class 3 Public Primary Certification Authority 

8/1/2028 

1024 

Entrust 

Entrust.net Certification Authority (2048)

12/24/2019 

2048 

Entrust 

Entrust.net Secure Server Certification Authority 

5/25/2019 

1024 

Equifax 

Equifax Secure Certification Authority 

8/22/2018 

1024 

GeoTrust 

GeoTrust Global CA 

5/20/2022 

2048 

Go Daddy 

Go Daddy Class 2 Certification Authority 

6/29/2034

2048 

Go Daddy 

http://www.valicert.com/ 

6/25/2019 

1024 

Go Daddy 

Starfield Class 2 Certification Authority 

6/29/2034 

2048 

 

Donc avant de signer chez un fournisseur d’autorité de certification publique comme on dit dans le sud … Méfi !

Vérifier également sur le site de Microsoft que cette autorité de certifications publiques est bien certifiée UC par l’éditeur voir ci-dessous ou. lien suivant : http://support.microsoft.com/kb/929395


Au prix où ils le vendent leurs services ne serait-t-il pas de bon ton de les publier au moins via Windows Update non ? Sinon à quoi bon passer par une autorité de certification publique. J’ai dit une bêtise la ?

Laurent Teruin

 

 

3 Réponses to “Lync & Certificats Publics.. : Pas si publics que ça … mise à jour”

  1. trunkstr said

    Bonjour,

    Je vous remercie d’abord pour ce bon article, et j’aimerais que vous m’expliquez ce que vous voulez dire par « Si vous mettez en place une fédération alors il faudra également penser à ce que les deux serveurs Edge possèdent de part et d’autre les bonnes autorités de certification de confiance (racines et intermédiaires) et dans les bons conteneurs ! »

    De quel conteneur vous parlez? il suffit pas d’importer la chaine de certificat de l’autorité racine dans « autorité de certification racine de confiance?

    Merci de votre aide

    • Oui mais faites attention a l’importation car parfois les certificats racines et intermédiaires ne se positionnent pas au bon endroit.
      Il faut bien vérifier que le certificat racine se trouve dans le conteneur racine du magasin de l’ordinateur et que le certificat intermédiaire se trouve dans le conteneur prevu à cet effet.
      Personnellemetn je conseile de l’importer manuellement et vérifier que ces derniers soient correctement placés
      Cordialement
      Laurent Teruin

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :