下面我将从问题现象、根本原因、排查步骤和解决方案四个方面,为您提供一个系统性的分析和解决指南。
问题现象
您可能会遇到以下一种或多种情况:
-
客户端登录失败:Lync/Skype for Business 客户端弹出错误对话框,提示类似以下信息:
- “我们无法登录,因为服务器证书无效。”
- “无法验证服务器的身份证书。”
- “证书吊销列表不可用。”
- “检测到证书名称无效。”
-
服务器管理控制台警告:在 Skype for Business Server 控制台中,对应服务器的“证书”状态显示为“无效”或“未验证”。
-
事件日志错误:在运行 Lync/Skype for Business 服务的服务器上,事件查看器中的应用程序日志中会记录相关的错误事件,例如事件 ID 13141。
(图片来源网络,侵删)
根本原因分析
证书验证失败的根本原因几乎总是围绕证书的信任链、有效性或匹配性,以下是几个最常见的原因:
-
证书不受信任
- 描述:Lync 客户端无法找到颁发该证书的“根证书颁发机构”的证书,这通常是因为客户端计算机没有将企业内部的 CA(如 Active Directory 证书服务)或公共 CA 的根证书安装到“受信任的根证书颁发机构”存储区。
- 常见场景:企业使用私有 CA 颁发证书,但没有通过组策略等方式将 CA 根证书自动分发到所有客户端计算机。
-
证书名称不匹配
- 描述:证书上注册的“使用者名称”或“使用者可选名称”不包含客户端用来连接服务器的地址。
- 常见场景:
- 客户端使用
lync.contoso.com登录,但证书上的 SAN 只有meet.contoso.com和webext.contoso.com。 - 证书只包含了服务器的 FQDN(如
server01.contoso.com),但没有包含 Web 服务器的 FQDN(如web01.contoso.com)。 - 客户端尝试使用服务器的 IP 地址连接,而证书上没有 IP 地址。
- 客户端使用
-
证书已过期或尚未生效
- 描述:证书的“有效期”已过,或者“生效日期”还未到。
- 常见场景:证书有效期通常为 1-2 年,管理员忘记续订,导致证书过期。
-
证书被吊销
- 描述:证书颁发机构已经将该证书标记为无效(私钥泄露)。
- 常见场景:客户端在验证证书时,无法访问证书吊销列表或在线证书状态协议 服务器来检查证书是否被吊销,这可能是由于网络策略(如防火墙阻止了 CRL/OCSP 端口)或 CA 服务器本身的问题。
-
私钥丢失或不可访问
- 描述:服务器上与证书对应的私钥文件丢失、损坏,或者 IIS/Skype for Business 进程没有权限读取它。
- 常见场景:重装系统但没有备份私钥,或者修改了私钥文件的权限。
-
证书用途不正确
- 描述:证书虽然有效,但其“增强型密钥用法”字段没有包含 Lync/Skype for Business 所需的特定 OID,如
3.6.1.5.5.7.3.1(服务器身份验证)。 - 常见场景:错误地申请了仅用于“客户端身份验证”或“签名”的证书。
- 描述:证书虽然有效,但其“增强型密钥用法”字段没有包含 Lync/Skype for Business 所需的特定 OID,如
系统性排查步骤
请按照以下步骤进行排查,这能帮助您快速定位问题。
步骤 1:在客户端计算机上进行诊断
这是最直接的方法,可以获取最详细的错误信息。
- 打开 Lync/Skype for Business 客户端。
- 按住
Ctrl键,然后右键单击客户端界面,选择 “连接状态”。 - 在弹出的窗口中,找到 “证书详细信息” 或类似标签页。
- 仔细查看错误信息:这里通常会明确指出验证失败的具体原因,证书吊销列表不可用”或“证书名称不匹配”。
- 导出证书进行验证:
- 在“证书详细信息”窗口中,找到服务器证书,点击“查看”。
- 在弹出的“证书”窗口中,切换到“详细信息”标签页。
- 检查 “使用者” 和 “使用者可选名称” 是否包含所有必要的 FQDN。
- 检查 “颁发给”、“颁发者” 以及 “有效期”。
- 切换到“证书路径”标签页,查看整个证书链是否完整,如果路径中显示有红色叉号,说明证书链不完整,即不受信任。
步骤 2:在服务器上检查证书
- 打开 “证书管理器” (
certmgr.msc)。 - 展开 “本地计算机” -> “个人” -> “证书”。
- 找到用于 Lync/Skype for Business 的证书(通常主题名称是池的 FQDN)。
- 右键单击证书,选择 “所有任务” -> “导出...”。这一步是为了备份!
- 仔细检查证书的以下属性:
- 预期目的:必须包含 “服务器身份验证”。
- 使用者 和 使用者可选名称:必须包含所有服务 FQDN(如
lync.contoso.com,meet.contoso.com,dialin.contoso.com等)。 - 私钥:确保 “您有与此证书对应的私钥的私密性” 选项是勾选的。
- 证书路径:双击证书,切换到“证书路径”标签页,确保整个路径(从最终用户证书到根 CA)都是绿色的,显示“证书路径验证成功”。
步骤 3:使用 PowerShell 进行验证
Skype for Business Server 提供了强大的 PowerShell 命令来检查证书状态。
-
以管理员身份打开 Skype for Business Server Management Shell。
-
运行以下命令获取证书的详细报告:
Get-CsCertificate -Detailed | Format-List
这个命令会列出所有证书,并显示其详细信息,包括 Thumbprint, Subject, NotBefore, NotAfter, FriendlyName, 以及最重要的 Status(状态)和 Use(用途),如果状态不是
OK,就说明有问题。 -
如果需要检查特定证书的用途是否被正确分配给服务:
Get-CsCertificate -Type Default,WebInternal,WebExternal
这会显示默认、内部 Web 和外部 Web 服务的证书配置。
步骤 4:检查网络连接
如果怀疑是证书吊销的问题,需要确保服务器能访问 CA 的 CRL/OCSP 端口。
- CRL 端口:通常是
80(HTTP) 或443(HTTPS)。 - OCSP 端口:通常是
80(HTTP) 或443(HTTPS)。
在服务器上使用 Test-NetConnection 命令测试到 CA 服务器的连接:
# 替换为您的 CA 服务器地址和端口 Test-NetConnection ca.contoso.com -Port 80
解决方案
根据排查结果,选择相应的解决方案:
问题1:证书不受信任
- 解决方案:将根证书或中间证书部署到所有客户端计算机。
- 从您的 CA 服务器导出根证书(
.cer文件)。 - 使用组策略编辑器创建一个新的 GPO。
- 导航到:
计算机配置->策略->Windows 设置->安全设置->公钥策略->受信任的根证书颁发机构。 - 右键单击“受信任的根证书颁发机构”,选择“导入”,然后将导出的
.cer文件导入。 - 将此 GPO 链接到包含所有 Lync 客户端计算机的 OU,并刷新策略(
gpupdate /force)。
- 从您的 CA 服务器导出根证书(
问题2:证书名称不匹配
- 解决方案:重新申请一个包含所有必要名称的新证书。
