Compartilhar via


Receber e publicar certificado

 

Tópico modificado em: 2010-12-13

Na próxima etapa do processo de conexão, o dispositivo envia uma solicitação de assinatura de certificado ao Web Services. O dispositivo usa esse certificado para fornecer um canal de comunicação mais seguro, que utiliza o protocolo TLS com o Web Services ou Registrador.

O dispositivo envia uma solicitação de assinatura do certificado SOAP para o Web Services. O Web Services responde retornando um certificado para o usuário nesse dispositivo assinado pela chave privada do Web Services. Além disso, esse certificado será publicado no repositório de dados do pool inicial do usuário.

Problema 1: Não é possível publicar o certificado

Problema: O Web Services não pode publicar o certificado solicitado pelo dispositivo porque ele não pode se conectar ao repositório de dados de Serviços do Usuário no pool de onde o usuário está hospedado. Um evento é registrado no log de eventos do IIS, observando que o repositório de dados não pode ser alcançado: "repositório de dados indisponível". Isso pode ocorrer a qualquer momento que o repositório de Serviços do Usuário não estiver localizado no mesmo servidor que o Web Services.

Resolução: Isto pode ser um erro esporádico indicando um problema de conectividade entre o Registrador e o dispositivo que está se conectando ou pode indicar um problema contínuo. No caso de um erro esporádico, repita a solicitação do dispositivo reiniciando-o. Para fazer isso, desconecte a fonte de alimentação do dispositivo, aguarde alguns segundos e reconecte a energia. O dispositivo passa pelo processo de conexão antes de enviar a solicitação de publicação do certificado novamente. Dessa vez, o Web Services pode publicar o certificado do usuário no pool inicial do usuário e retorna o certificado para o dispositivo. Para determinar se este é um problema maior e não específico do dispositivo, execute a transação sintética test-CsPhoneBootstrap:

test-CsPhoneBootstrap -PhoneorExt <phone or ext of user> -PIN <user's PIN> -UserSipAddress <user's SIP URI> -verbose

Esta transação demonstra que o número de telefone do usuário e o PIN corresponde ao URI do usuário.

É possível adicionar os parâmetros –TargetCertProvWSURL <web services URL> e –TargetFqdn <Registrar FQDN> para ignorar a descoberta de DHCP.

Problema 2: Não é possível publicar o certificado devido a problema no Registrador

Problema: O certificado gerado pelo Web Services não pode ser gerado ou publicado devido a um problema no Registrador.

Resolução: Verifique a integridade do Registrador examinando primeiro o Pacote de Gerenciamento de Operações do Microsoft System Center para qualquer alerta referente ao Registrador que o dispositivo está se conectando. No System Center Operations Manager, vá para o Registrador e exiba os alertas críticos ou alterações de estado que indicam um problema que não é crítico. Siga as instruções para resolver o problema. Se o Operations Manager não estiver disponível, use a seguinte transação sintética para verificar.

$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN
noteObservação:
Se você quiser usar a descoberta DHCP, não especifique -TargetFQDN. Se não quiser usar a descoberta DHCP, forneça o nome de domínio totalmente qualificado (FQDN) do destino para a transação sintética e a descoberta DHCP será ignorada. O resultado deve mostrar qual autenticação de ponto falhou (por exemplo, uma mensagem de descoberta DHCP pode não receber uma resposta). Siga as instruções no resultado da transação para resolver o problema. É possível verificar se o web server está executando, observando o certprov.log no Ocslogger (isto é, gerado em cada uma das instâncias rtcsrv dentro do pool). É necessário obter logs de cada servidor do pool porque neste momento não sabemos para qual dispositivo está sendo direcionado. Após os problemas serem resolvidos, reinicie o dispositivo para acionar uma nova tentativa de conexão. Desta vez, o certificado deve ser publicado para o pool no qual o usuário está hospedado e retornado para o dispositivo.

Problema 3: Não é possível verificar o certificado do Web Services

Problema: O dispositivo não pode verificar o certificado apresentado pelo Web Services para comunicações de TLS. O dispositivo usa a cadeia de certificados raiz baixada quando o dispositivo se conecta pela primeira vez ao servidor da Web. Se esta cadeia não tiver um caminho completo de confiança da autoridade de certificação (CA) raiz para o servidor da Web, não é possível verificar o certificado apresentado pelo servidor da Web.

Resolução: O dispositivo tem um número de certificados de CAs bem conhecidas quando ele for lançado. É importante que o certificado usado para identificar o servidor da Web seja emitido por uma autoridade de certificação que possui uma cadeia de confiança até uma dessas autoridades de certificação raiz. Se esse não for o caso, o dispositivo não poderá validar o certificado que do servidor apresenta para comunicações TLS.

Informações adicionais

É possível ignorar a etapa Receber e publicar certificado usando um cabo USB para conectar o dispositivo a um computador executando o Lync. Este processo realiza a obtenção e publicação do certificado e também instalará o certificado no dispositivo.

Consulte Também

Conceitos

Processo de conexão de dispositivos