証明書の受け取りと公開
トピックの最終更新日: 2010-12-13
接続プロセスの次の手順では、デバイスから証明書署名要求を Web サービスに送信します。デバイスは、この証明書を使用して、Web サービスまたはレジストラーとの間でトランスポート層セキュリティ (TLS) を使用する、より安全な通信チャネルを提供します。
デバイスは、簡易オブジェクト アクセス プロトコル (SOAP) 証明書署名要求 (CSR) を Web サービスに送信します。Web サービスは、Web サービスの秘密キーで署名した証明書を、そのデバイスのユーザーに返送します。さらに、この証明書は、ユーザーのホーム プールのデータ ストアで公開されます。
問題 1: 証明書を公開できない
問題: Web サービスは、ユーザーが所属しているプールのユーザー サービス データ ストアに接続できないため、デバイスによって要求された証明書を公開できません。イベントが IIS イベント ログに記録され、データ ストアに到達できないことが示されます ("データ ストア使用不可")。この問題は、ユーザー サービス ストアが Web サービスと同じサーバー上に存在していないと発生する可能性があります。
解決法: これは、デバイスの接続先レジストラーとの間の接続の問題を示す散発的なエラーである場合と、継続的な問題を示す場合があります。散発的なエラーの場合は、デバイスを再起動してデバイスの要求を再試行します。そのためには、デバイスの電源を抜き、数秒待ってから、再び電源を接続します。デバイスは、接続プロセスを行ってから、証明書公開要求を再び送信します。今度は、Web サービスはユーザーの証明書をユーザーのホーム プールに公開し、証明書をデバイスに返すことができます。それが特定のデバイスではなくさらに広い範囲の問題かどうかを判断するには、test-CsPhoneBootstrap 代理トランザクションを実行します。
test-CsPhoneBootstrap -PhoneorExt <phone or ext of user> -PIN <user's PIN> -UserSipAddress <user's SIP URI> -verbose
このトランザクションは、ユーザーの電話番号と PIN がユーザーの URI と一致することを示します。
パラメーター –TargetCertProvWSURL <Web サービスの URL> および –TargetFqdn <レジストラーの FQDN> を追加して、DHCP の検出をバイパスできます。
問題 2: レジストラーの問題のために証明書を公開できない
問題: Web サービスによって生成される証明書を、レジストラーでの問題のために生成または公開できません。
解決法: 最初に、Microsoft System Center Operations Manager 管理パックでデバイスの接続先のレジストラーに関する通知を調べて、レジストラーの状態を確認します。System Center Operations Manager でレジストラーを参照し、重大な通知または重大ではない問題を示す状態の変化を確認します。指示に従って問題を解決します。Operations Manager を使用できない場合は、次の代理トランザクションを使用して調べます。
$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN
.gif "note") 注: |
|---|
| DHCP 検出を使用する場合は、–TargetFQDN を指定しないでください。DHCP 検出を使用しない場合は、接続先の完全修飾ドメイン名 (FQDN) を代理トランザクションに渡すと、DHCP 検出はバイパスされます。出力では、認証が失敗した箇所が示されます (たとえば、DHCP 検出メッセージが応答を受信できない)。トランザクションの出力の指示に従って、問題を解決します。Ocslogger で certprov.log を見ることにより、Web サーバーが実行しているかどうかを確認できます (プール内の各 rtcsrv インスタンスで生成されます)。この時点ではデバイスの接続先がわからないので、プール内のすべてのサーバーからログを取得する必要があります。問題を解決した後、デバイスを再起動して、新しい接続試行をトリガーします。今度は、証明書がユーザーの所属するプールに公開され、デバイスに戻されます。 |
問題 3: Web サービスの証明書を検証できない
問題: デバイスが、TLS 通信に対して Web サービスが提示した証明書を検証できません。デバイスは、Web サーバーに初めて接続したときにダウンロードしたルート証明書チェーンを使用します。このチェーンに、ルート証明機関 (CA) から Web サーバーまでの信頼の完全なパスがない場合、Web サーバーによって提示された証明書を検証できません。
解決法: 出荷時にデバイスには、よく知られた CA からの複数の証明書が格納されています。Web サーバーの識別に使用される証明書が、これらのルート CA のいずれかに至る信頼のチェーンを持つ CA によって発行されていることが重要です。そうではない場合、デバイスは TLS 通信に対してサーバーが提示した証明書を検証できません。
追加情報
USB ケーブルを使用して、Lync を実行しているコンピューターにデバイスを接続することで、証明書の受信と公開のステップをバイパスできます。このプロセスでは、証明書の取得と公開、およびデバイスへの証明書のインストールも行われます。