Добрый день!
Существует следующая инфраструктура:
- Первичный контролер домена windows server 2012 r2
- Контролер домена windows server 2012 r2 + Центр сертификации, опубликованный в домене
- Lync server переднего плана (IIS)
- Файрвол с белым ip-адресом
- Клиентские машины с пользователями домена
Необходимо подключить к Lync серверу мобильных клиентов, не входящих в домен (планшеты, смартфоны и пр.)
Для выполнения цели:
- Указываю в топологии пограничный сервер Lync и публикую топологию, экспортирую опубликованную топологию в файл
- Разворачиваю пограничный сервер Lync, не входящий в домен и подгружаю локально файл топологии. Сервер понимает кем он является в указанной топологии, проглатывает файл и этап проходит успешно.
- Дохожу до этапа указания центра сертификации...
и тут ступор. Центр сертификации с которым работает lync сервер переднего плана расположен в домене, соответственно получить сертификат не представляется возможным.
экспортировать сертификат в файл в центре сертификации и импортировать в разворачиваемый пограничный lync сервер не красивое решение, что делать потом с клиентами? даже если выдавать сертификат каждому вручную - при подключении клиента проверить сертификат не получится понятно по каким причинам.
Решение напрашивается в публикации вторичного центра сертификации и публикации его в интернете за файрволом.
Вопросы:
Как создать публичный центр сертификации на базе win server 2012 r2
1. Каким образом проходит выдача сертификата недоменным пользователям?
2. Вторичный центр сертификации обязательно должен находиться в домене (не корневой)
3. По каким портам нужно примапить на файрволе центр сертификации, 443?
4. Lync сервер переднего плана нужно натравить на публичный, чтобы все работали через него?
Заранее благодарен за ответы.
Коллега, чтобы всё заработало вам нужно либо 1) экспортировать открытый ключ от вашего CA и загнать его в пограничный сервер в доверенные корневые центры сертификации и после этого каждому вашему клиенту на мобильной платформе вместе с реквизитами доступа отдавать этот сертик для установки на девайсы либо 2) Купить белый серт и добавить его CA в доверенные корневые, при этом на девайсах он должен разумеется быть в довереных по-умолчанию.
Второй СА в данном случае у вас совершенно не решение проблемы.
Ну и да, что бы всё заработало нужно опубликовать crl листы на публичном хосте (IIS \ Apache) - это статика - ничего не секьюрного в этом нет - это основы и принципы работы механизмов сертификатов. Давать с наружи доступ до CA не нужно.