Bonjour,

Petit retour d’expérience sur une erreur que j’ai pu avoir dans une nouvelle installation où les certificats provenaient d’une Autorité de Certification Linux. Ces certificats provoquaient plusieurs erreurs dont des exceptions dans l’observateur d’évènements (Exception from HRESULT: 0x80071BBC) qui empêchaient le service principal de démarrer.
Ce service restait en mode « starting » même après plusieurs heures et rien n’y faisait pour qu’il finisse son démarrage correctement.

L’environnement est très standard et la seule variante restait l’autorité de certification par rapport à d’autres installations, de plus j’avais déjà eu quelques complications chez d’autres clients avec des autorités un peu exotiques ou configurées d’une manière spécifique malgré des prérequis que nous avions indiqués.

En cas d’erreurs sur les certificats, vous pouvez avoir des messages suivants dans l’observateur d’évènements :

  • LS MCU Factory – Event 51051, A communication error caused the operation to fail. —> System.Runtime.InteropServices.COMException: Exception from HRESULT: 0x80071BBC
  • LS AppDomain Host Process – Event 50018, System.Fabric.FabricException: A communication error caused the operation to fail. —> System.Runtime.InteropServices.COMException: Exception from HRESULT: 0x80071BBC

16_80071BBC_MCUFactory_Certificats 16_80071BBC_MCUFactory_Certificats_2

En comparant les certificats émis à ceux que nous demandions et les prérequis que nous avions fourni, nous nous sommes rendu compte de la grande divergence au niveau des templates et options.

Microsoft indique une importante liste de prérequis qu’il est important de suivre pour assurer le bon fonctionnement (postes IP, communications internes, etc.) :

  • All server certificates must support server authorization (Server EKU).
  • All server certificates must contain a CRL Distribution Point (CDP).
  • All certificates must be signed using a signing algorithm supported by the operating system. Skype for Business Server 2015 supports the SHA-1 and SHA-2 suite of digest sizes (224, 256, 384 and 512-bit), and meets or exceeds the operating system requirements.
  • Auto-enrollment is supported for internal servers running Skype for Business Server 2015.
  • Auto-enrollment is not supported for Skype for Business Server 2015 Edge Servers.
  • When you submit a web-based certificate request to a Windows Server 2003 CA, you must submit it from a computer running either Windows Server 2003 with SP2 or Windows XP.
  • Encryption key lengths of 1024, 2048, and 4096 are supported. Key lengths of 2048 and greater are recommended.
  • The default digest, or hash signing, algorithm is RSA. The ECDH_P256, ECDH_P384, and ECDH_P521 algorithms are also supported.

 

Donc attention à bien vérifier manuellement que vos certificats suivent ces prérequis car l’assistant d’importation et gestion des certificats ne générera pas d’erreurs ou warnings (uniquement si des noms sont manquants, la clef privée ou un mauvais CN).

Share