Error Lync – 0x800B0110 The certificate is not valid for the requested usage

Este ha sido uno de los errores mas ráros que he visto desde que estoy trabajando en IT… Y mira que he visto cosas raras.

Estás el lunes por la mañana de lo más tranquilo en tu mesa cuando de repente empieza a decirte la gente que la federación del Lync no va, que no pueden hablar con gente de otras empresas. Abres tu cliente de Lync y efectivamente, todos los contactos externos aparecen con “Presencia Desconocida”.

Entras en el servidor de Edge y revisas el log…

error certificate usage

What? O_o

Vas al certificado en cuestión y efectivamente, el propósito Server Authentication (Proves your identity to a remote computer) ha desaparecido del certificado.

cert bad

Revisas otro servidor que tiene instalado el mismo certificado y el propósito si está

cert good

¿Eh? ¿Qué pasa aquí?

Se habrá corrompido el certificado de alguna forma. Lo eliminas y lo vuelves a importar. Nada, sigue fallando.

Sigues revisando el resto de los logs. No hay errores.

Te paras un momento a pensar. ¿Y si el problema está en la entidad certificadora? ¿Quién firmó este certificado?

Resulta que este certificado esta firmado por Symantec Class 3 Secure Server CA – G4, que a su vez está firmada por VeriSign Class 3 Public Primary Certification Authority – G5, que a su vez está firmada por VeriSign Class 3 Public Primary CA. (¿A que PKI mola?)

Empiezas a revisar cada uno de los certificados de la cadena y te fijas de que ninguno tiene el proposito de Server Authentication. Aquí pasó algo raro, muy raro.

cert chain bad

Revisas como está esto en el otro servidor.

cert chain good

El certificado está firmado por Symantec Class 3 Secure Server CA – G4, que a su vez está firmada por VeriSign. ¡AJÁ!

La CA Symantec Class 3 Secure Server CA – G4 está cross-signed (firmado cruzado) por varias CA, dentro de ellas VeriSign y VeriSign Class 3 Public Primary Certification Authority – G5. La CA VeriSign está habilitada para unos propósitos y la CA VeriSign Class 3 Public Primary CA (que es la que firma VeriSign Class 3 Public Primary Certification Authority – G5) está habilitada para otros y NO incluye Server Authentication. (¿A que PKI mola MUCHO?)

code signing

Pero… ¿Y cómo es que antes si funcionaba?

Existe algo llamado Automatic Root Certificates Update, es un componente de Windows que actualiza automáticamente el listado de certificados raíz de un equipo y sus propósitos. En los logs de Windows queda registrado bajo el source CAPI2

capi update

Como se puede ver en la imagen, durante la madrugada se actualizó el certificado de VeriSign Class 3 Public Primary CA y supongo que ahí fue cuando se le eliminó el propósito de Server Authentication.

Pero… ¿Y por qué en el otro servidor no falló?

Como puse arriba, la CA VeriSign Class 3 Public Primary Certification Authority – G5 tiene un firmado cruzado. En el servidor que seguía funcionando correctamente SI estaba instalado el certifcado de VeriSign por lo que el certificado de Lync Edge Services tenía un camino que validara su propósito de Server Autentication. En el servidor donde falló, el certificado de VeriSign no estaba instalado, por lo que el certificado final parecía inválido. El tema se resolvió instalando los certificados nuevos de Symantec en el servidor de Edge.

No quiero saber nada de PKI por un tiempo… 🙂

Federación Lync 2010 con Skype/Yahoo/AOL

Por algún motivo que desconozco, está información me costó bastante encontrarla.

La copio aquí para futura referencia y para el resto de la gente. A ver si cambiando las keywords es más fácil de encontrar la próxima vez.

Si quieres establecer federación de Lync 2010 (on-premises) con cuentas de mensajería pública como Skype/Yahoo/AOL debes dar de alta tu entorno de Lync en https://pic.lync.com. Para esto vas a necesitar tus datos del acuerdo con Microsoft, los datos de tu Access Edge y los dominios SIP que vas a federar.

Más información en https://technet.microsoft.com/library/dn440173.aspx

Lync falla al compartir pantalla/presentación

Al intentar compartir la pantalla desde Lync 2013 nos estaba apareciendo este error a un par de nosotros: “An error occurred during the screen presentation”.

Nos pareció bastante raro ya que anteriormente esto había funcionado sin problemas. Así que intentamos de nuevo y funcionaba. Intentamos una vez más, fallaba otra vez. Intentamos una última vez y funcionaba.

Mmm… esta intermitencia era un poco rara. Así que lanzamos el Wireshark y empezamos a ver que pasaba. Y como siempre, este nos dió la respuesta.

Nuestros equipos de trabajo son portátiles y casi siempre estamos conectados a la WiFi corporativa y a la red cableada al mismo tiempo. Lo que estaba pasando en este caso era que algunas conexiones de Lync se estaban estableciendo por un enlace y la otras por el otro y por lo visto esto no le gusta al Lync y las presentaciones fallaban. Tan pronto como desactivamos uno de los enlaces las presentaciones empezaron a funcionar siempre.

Probablemente tengamos un detalle de configuración en alguna parte y tenemos que seguir revisando. Mientras tanto, tenemos este workaround.

Así que ya sabéis, incluid este paso dentro de vuestro troubleshooting de Lync 🙂