Microsoft Lync Server
Header

Os voy a mostrar como podéis grabar una conversación de Lync cuando estamos en una llamada de teléfono (PSTN). Es muy simple, únicamente tenemos que cursar la llamada y una vez establecida debemos enviar una invitación por e-mail para añadir a otra persona. Esto hará que la llamada se vuelva una conferencia y ya tenemos habilitada la opción de grabar la conferencia (siempre y cuando lo hayamos configurado en su momento). Yo voy a llamar a una extensión de teléfonos Cisco, para el LAB simulará una llamada a la PSTN aunque veais que es una extensión interna (220)

Record_Call.png

Ahora estamos entrando en conferencia

Record_Call_2.png

Una vez que estamos en la conferencia ya podemos grabar la conversión

Record_Call_3.png

Como ve aprecia ya estamos grabando la conversación

Record_Call_4.png

Una vez que finalicemos la llmada o paremos de grabar nos preguntará en donde queremos guardar la grabación

Record_Call_5.png

Espero que os sea de utilidad!!!

En el artículo Deshabilitar IM en Lync 2013 (Parte I)​ hemos visto crear una variable de registro para evitar que los usuarios puedan utilizar la IM en Lync 2013. Además, hemos visto como configurar una GPO para que crear la clave DisableIM en los equipos del dominio, pero lo ideal sería hacer lo mismo pero en función del usuario que inicie sesión en el equipo. Está claro que la rama del registro es la de la máquina (HKLM\Software\Policies\Microsoft\Office\15.0\Lync), y ahí el usuario no tiene permisos para añadir ni modificar nada.
 
Lo primero que debemos hacer es configurar una GPO que permita modificar las claves de registro de la key Lync (HKLM\Software\Policies\Microsoft\Office\15.0\Lync), y posteriormente que se cree o modifique el valor DisableIM de 0 a 1 o de 1 a 0 en función del usuario que haya iniciado sesión. Vamos por partes, primero vamos a configurar los permisos sobre las key Lync para que los usuarios puedan modificarla, primero creamos un grupo de seguridad local de dominio que se utilizará para aplicarlo con permisos de Modificar sobre la key Lync:
 
Nombre del Grupo: ​ACL Regedit Lync Policies
Ámbito del Grupo: Dominio Local
Tipo: Seguridad
Miembros: usuarios o grupos que puedan tener habilitada la IM en Lync 2013, en nuestro caso GRP ASIRLAB (toda la empresa)
Deshabilitar_IM_Lync2013_1.jpgDeshabilitar_IM_Lync2013_2.jpg
Ahora debemos crear la GPO que aplicará los permisos en la key del registro y que la crea de forma predeterminada para bloquear el IM a todos los usuarios en todos los equipos del dominio. Ahora buscamos la Key que queremos aplicar permisos (debe existir en el servidor para poder seleccionarla, si es necesario crearla en el servidor y luego borrarla)
Deshabilitar_IM_Lync2013_3.jpg
Añadimos al grupo ACL Regedit Lync Policies para aplicar los permisos necesarios
Deshabilitar_IM_Lync2013_4.jpg
Vamos a las Opciones avanzadas y establecemos los siguientes permisos
Deshabilitar_IM_Lync2013_5.jpg
Aceptamos y cerramos la edición de la directiva, ahora nos queda la segunda parte que es crear una GPO una que permita modificar la key DisableIM de 1 a 0 y de 0 a 1 en función del usuario o grupo de usuarios. Primero vamos a crear el grupo de usuarios que tendrán habilitado la IM y otro que no lo tendrán habilitado:
 
Ámbito del Grupo: Global
Tipo: Seguridad
Habilitado para IM: GRP Usuarios Habilitados IM Lync
Deshabilitado para IM: GRP Usuarios deshabilitados IM Lync
 
Ahora configuraremos una GPO para establecer el valor de DisableIM a 0 y 1 en función del grupo al que pertenezcas. Para ello podemos hacerlo desde una única GPO y aplicándola en función del grupo al que pertenezca. Editamos la GPO y vamos a Configuración de usuario – Preferencias – Configuración de Windows – Registro – Nuevo – Elemento del Registro (para habilitar la IM)
 
Deshabilitar_IM_Lync2013_14.jpg

Configuramos las siguientes opciones para que los usuarios que son miembros del grupo GRP Usuarios deshabilitados IM Lync no puedan utilizar la IM de Lync, como vemos establecemos el valor DisableIM a 1

Deshabilitar_IM_Lync2013_7.jpgDeshabilitar_IM_Lync2013_8.jpg
Deshabilitar_IM_Lync2013_12.jpg

Ahora debemos volver a repetir los mismo pasos  pero estableciendo distintos valores que vamos a ver a continuación, los usuarios del grupo GRP Usuarios habilitados IM Lync puedan utilizar la IM de Lync, como vemos establecemos el valor DisableIM a 0

Deshabilitar_IM_Lync2013_10.jpgDeshabilitar_IM_Lync2013_11.jpg

Deshabilitar_IM_Lync2013_9.jpg

Ahora vemos las dos opciones de registro creadas
Deshabilitar_IM_Lync2013_13.jpg

Ahora vamos a verificar que los usuarios ya tienen acceso a la variable de registro en la cual le hemos aplicado los permisos para el grupo ACL Regedit Lync Policies, para ello vamos a cualquier equipo y buscamos la rama de registro Lync y comprobamos los permisos desde la pestaña Acceso efectivo:

Deshabilitar_IM_Lync2013_15.jpg
Deshabilitar_IM_Lync2013_16.jpg

Ahora el tendrá permiso para modificar las claves, que es justo lo que necesitamos para que el propio usuario (a través de la GPO) pueda establecer el valor de la key DisableIM en función del grupo al que pertenezca. Como habilitar la edición en la key del registro es un problema de seguridad, lo que podemos hacer ahora es crear una GPO para evitar la edición del registro:

Deshabilitar_IM_Lync2013_19.jpg

Deshabilitar_IM_Lync2013_17.jpg
Deshabilitar_IM_Lync2013_18.jpg
Ahora el usuario no podrá acceder al registro para cambiar o crear valores diferentes bajo la key HKLM\Software\Policies\Microsoft\Office\15.0\Lync, tanto desde Inicio – Ejecutar tratando de abrir el registro (regedit)

Deshabilitar_IM_Lync2013_20.jpg
como desde una línea de comandos (CMD) tratando de ejecutar la siguiente instrucción:
 
reg add HKLM\Software\Policies\Microsoft\Office\15.0\Lync /v DisableIM /t REG_DWORD /d 1 /f
Deshabilitar_IM_Lync2013_21.jpg
De esta forma tenemos "controlado" que el usuario no pueda crear otras keys o claves de registro bajo la rama sobre la que tiene los permisos necesarios. En el artículo anterior (Deshabilitar IM en Lync 2013 (Parte I)) se había creado una GPO que creaba la key DisableIM, pero sino modificamos la GPO cuando se actualicen las directivas de equipo establecerá la variable DisableIM a 1, lo que sería un problema, puesto que si el usuario por cualquier motivo cierra la sesión de Lync y la vuelve a iniciar, no podrá tener acceso a la IM hasta que se vuelva a actualizar la GPO de usuario o bien el usuario cierra e inicia sesión de nuevo (engorroso para muchos usuarios). Para evitar este problema, debemos configurar la GPO de creación inicial de la variable DisableIM en todos los equipos de la siguiente forma:
 
Deshabilitar_IM_Lync2013_22.jpg

De esta forma se creará la variable DisableIM con el valor a 1 pero solo una vez en todos los equipos actuales, y en los nuevos que vayamos añadiendo. Así no volverá a cambiar el valor DisableIM a 1 en cada actualización de directivas.

 
Resúmen
  • Creamos una GPO que cree el valor DisableIM con el valor a 0, además en la misma GPO asignamos los permisos sobre la rama del registro ​HKLM\Software\Policies\Microsoft\Office\15.0\Lync al grupo ACL Regedit Lync Policies. Los miembros de este grupo es otro grupo global al que pertenecen todos los usuarios de la empresa (facilita la gestión)
  • Creamos dos grupos de seguridad para controlar desde otra GPO para establecer el valor de DisableIM a 0 o 1: GRP Usuarios Habilitados IM Lync y GRP Usuarios deshabilitados IM Lync
  • Creamos una GPO que cambiará los valores de la variable DisableIM a 0 o 1 en función del grupo al que pertenezca el usuario, bien directamente o mediante la membresía de otros grupos entre si (recomendado)
  • Creación de una GPO para evitar que los usuarios puedan editar el registro, evitando así que los usuarios puedan crear o modificar manualmente las variables en la rama HKLM\Software\Policies\Microsoft\Office\15.0\Lync. Debemos recordar que el usuario tiene acceso de modificación en dicha clave.
  • Modificación de la GPO que crea la variable DisableIM, para que solo se aplique una única vez.
De esta forma únicamente añadiendo a los usuarios o grupos como miembros de los gruposGRP Usuarios Habilitados IM Lync o GRP Usuarios deshabilitados IM Lync, tendrá o no acceso a la IM de Lync 2013.
Espero que les sea de utilidad!!!!

​En algunas ocasiones seguramente hemos necesitado que los usuarios de un equipo no tengan acceso a la IM de Lync, ahora en Lync 2013 podemos hacerlo de forma sencilla. Entre los muchos cambios que ha sufrido el cliente Lync, esta posibilidad de modificar ciertos aspectos operativos de Lync lo cual me parece genial además de la simplicidad del proceso. Únicamente debemos añadir al registro el siguiente valor desde una consola con derechos de administrativos:

reg add HKLM\Software\Policies\Microsoft\Office\15.0\Lync /v DisableIM /t REG_DWORD /d 1 /f
Deshabilitar_IM_2.jpg

Ahora debemos iniciar sesión nuevamente en nuestro Lync y veremos que ya no tenemos disponible la opción de IM

Antes
Deshabilitar_IM_3.jpg

Después
Deshabilitar_IM_1.jpg
Ahora vamos a ver como podemos hacer esto mismo pero para 10.000 equipos sin tener que ir uno por uno, como siempre mediante una GPO. Para ello abrimos el Administrador de Directivas de Grupo (GPMC) y creamos una directiva que aplicaremos a la OU de los equipos del dominio. Editamos la directiva y vamos a Configuración del equipo – Preferencias – Configuración de Windows – Registro, pulsamos con el botón derecho encima de registro y vamos a Nuevo – Elemento del Registro
Deshabilitar_IM_6.jpg

Deshabilitar_IM_5.jpg

Deshabilitar_IM_4.jpg

Ahora deshabilitamos la parte de directiva que no se aplicará que es la configuración de Usuarios

Deshabilitar_IM_7.jpg

Ahora solo queda esperar a que se aplique la directiva en nuestros equipos del dominio y se creará el valor DisableIM

Deshabilitar_IM_8.jpg
Ya tenemos a todos los usuarios que inicien sesión en los equipos sin poder "chatear". En el siguiente artículo vamos a ver como podemos hacerlo por usuario, también mediante una GPO
Espero que os sea de utilidad!!!

​Voy a tratar de describir paso a paso como podemos configurar un servidor de WAC (Office Web App Companion), que nos permite además de utilizarlo para nuestras implementaciones de SharePoint, Lync y Exchange 2013. En nuestro caso nostros disponemos del siguiente escenario para Lync y SharePoint

Lync_2013_Presencia_Incio.jpg

Unidades ​Nombre ​Rol
​1 ​SRV-DC00 ​Controlador de Dominio
​1 ​SRV-SQL00 ​Servidor de BBDD SQL Server
​1 ​SRV-LYNC00 ​Servidor Front-END que forma parte del Pool de servidores Enterprise
​1 ​SRV-LYNC01 Mediation Server
​1 ​SRV-LYNC02 ​Servidor de Chat Persistent
​1 ​SRV-LYNC03 ​​Servidor Front-END que forma parte del Pool de servidores Enterprise
​1 ​SRV-EDGE ​Servidor EDGE de Lync
​1 ​SRV-CA00 ​Servidor que alberga la CA
​1 ​SRV-UM00 ​Servidor Exchange para la Mensajería Unificada
​1 ​SRV-SP00 ​Servidor de SharePoint
​1 ​SRV-WAC00 ​Servidor de WAC (Office Web App Companion)
   
Con esta infraestructura ya instalada y funcionando, vamos a centrarnos en como instalar el servidor WAC, para ello hemos instalado el SRV-WAC00 con Windows Server 2008 R2. Una vez instalado, en el dominio y listo para el desplieque de las Office Web, debemos cumplir los siguientes requisitos:

Ahora debemos agregar los distintos roles y características necesarias, para ello ejecutamos el siguiente CMDLET

Import-Module ServerManager
 
Add-WindowsFeature Web-Server,Web-WebServer,Web-Common-Http,Web-Static-Content,Web-App-Dev,Web-Asp-Net,Web-Net-Ext,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Includes,Web-Security,Web-Windows-Auth,Web-Filtering,Web-Stat-Compression,Web-Dyn-Compression,Web-Mgmt-Console,Ink-Handwriting,IH-Ink-Support
 
Una vez que se haya completado la instalación de los distintos roles y caraterísticas, debemos reiniciar el equipo y empezaremos con la instalación de las Office Web APPs. Como la instsalación es muy simple, no he puesto captura de pantalla alguno, pero una vez que finalice la instalación debemos reiniciar el equipo y continuar con la configuración. Lo primero que debemos hacer es configurar la granja de servidores de Office Web APPs, para ello dejemos completar varias cosas antes como por ejemplo la solicitud del certificiado que utilizaremos para la publicación del servicio.  Para ello vamos a Inicio - Ejecutar - MMC  y añadimos el complemento de Certificados de la cuenta del equipo local. Una vez que tenemos la consola preparada, vamos a solicitar el certificado para nuestro servidor de Office. Os comento que esta es una forma más de como solicitar los certificados, pero podemos hacerlo vía PowerShell, utilidades como la de DigiCertUtility etc…  nosotros lo haremos desde esta consola de administración. Vamos a la carpeta Personal – Certificados y ahí pulsamos con el botón derecho y vamos a Todas las TareasOperaciones AvanzadasCrear Solicitud Personalizada
Certiifcado_SAN_WAC_2013.jpg
Pulsamos en Siguiente
Certiifcado_SAN_WAC_2013_1.jpg
Siguiente
Certiifcado_SAN_WAC_2013_2.jpg
Seleccionamos la plantilla de Servidor Web y pulsamos en siguiente
Certiifcado_SAN_WAC_2013_3.jpg
Vamos a Propiedades
Certiifcado_SAN_WAC_2013_4.jpg
Vamos a la pestaña Sujeto y cubrimos los siguientes datos con los nombres que utilizaremos posterioremente en la publicación del servidor de Office (este será un certificado SAN)
Certiifcado_SAN_WAC_2013_5.jpg
Certiifcado_SAN_WAC_2013_6.jpg
Ahora vamos a la Pestaña General y escribimos el nombre con el que distiguiremos el certificado entre otros que tengamos en nuestro equipo
Certiifcado_SAN_WAC_2013_7.jpg
Vamos a la pestaña Clave Privada y seleccionamos Hacer exportable la clave privada
Certiifcado_SAN_WAC_2013_8.jpg
Ahora seleccionamos  Base 64 y elegimos la ubicación en donde vamos a guardar la solicitud
Certiifcado_SAN_WAC_2013_9.jpg
Una vez que tenemos el fichero de solicitud de certificado, debemos continuar con el proceso. Nos tenemos que conectar al servicio web de solicitud de certificados de nuestra CA (Windows Server 2008 R2):
Pulsamos en Request a certificate
Certiifcado_SAN_WAC_2013_11.jpg
Advanced certificate request
Certiifcado_SAN_WAC_2013_12.jpg

Pulsamos en Submit a certificate …..

Certiifcado_SAN_WAC_2013_13.jpg

Y ahora copiamos el contenido del fichero que anteriormente hemos creado desde la MMC de certificados, que contiene el CSR que necesitamos para solicita el certificado a nuestra CA con las opciones que hemos configurado anteriormente. Para ver el código CSR únicamente debemos abrir el fichero con el NOTEPAD por ejemplo:

Copiamos el contenido del fichero desde  —— BEGIN  hasta  REQUEST —-

Certiifcado_SAN_WAC_2013_10.jpg

y lo pegamos aqui, IMPORTANTE: elegimos la plantilla Servidor Web y pulsamos en Submit

Certiifcado_SAN_WAC_2013_14.jpg

Pulsamos en Download certificate
Certiifcado_SAN_WAC_2013_15.jpg

Y ya tenemos nuestro fichero .CER para completar la solicitud de nuestro certificado. Ahora abrimos el IIS y vamos a Certificados de Servidor

Certiifcado_SAN_WAC_2013_17.jpg

Pulsamos con el botón derecho y vamos la opción Completar solicitud de Certificado

Certiifcado_SAN_WAC_2013_18.jpg

Buscamos el fichero que hemos creado anteriormente .CER

Certiifcado_SAN_WAC_2013_19.jpg

Y escribimos un nombre descriptivo y pulsamos en Aceptar

Certiifcado_SAN_WAC_2013_20.jpg

Como vemos ya hemos finalizado la solicitud de nuestro certificado y lo tenemos disponible

Certiifcado_SAN_WAC_2013_21.jpg

Como vemos tiene la clave privada y está listo para ser utilizado

Certiifcado_SAN_WAC_2013_22.jpg

ahora vamos a comprobar que tiene los dos nombres que le habíamos configurado anteriormente, para ello vamos a la pestaña Detalles y buscamos la opción Nombre Alternativo del titular. Como vemos tiene los nombres que necesitamos en este caso, para publicar el servicio como url interna y externa y que el certificado sea válido para ambas.
Certiifcado_SAN_WAC_2013_23.jpg

También podemos ver que se ha creado a partir de la plantilla de Servidor Web, que es lo que vamos a necesitar en este momento

Certiifcado_SAN_WAC_2013_24.jpg

Una vez que hemos instalado las Office Web APPs, que tenemos el certificado sollicitado y disponible para utilizarlo en nuestro servidor vamos a continuar con la configuración final del servidor. Primero debemos crear la aplicación de servidor, y para ello ejecutamos los siguientes CMDLET lo que nos permite importar el módulo de Office Web Application.

Certiifcado_SAN_WAC_2013_25.jpg

Ahora debemos crear una granja de servidores de Office Web Apps Server pero de un solo servidor 🙂 (vaya granja), y esto lo hacemos con el siguiente cmdlet:

Certiifcado_SAN_WAC_2013_26.jpg

Como veis le especificamos el nombre FQDN de las dos URL (Interna y Externa) con los nombres que hemos solicitado el certificado (recordad que el nombre del certificiado debe coincidir con el nombre de la URL en donde lo apliquemos). Además, le especificamos el certificado que utilizará (nombre descripción mencionando anteriormente) y que está habilitado para poder editar los documentos (esto es opcional para Lync pero no para SharePoint si queremos disponer de esta funcionalidad). Una vez que  ha completado la ejecución del CMDLET nos mostará el resumen de la configuración de la "granja"

Nos muestra el aviso de que hemos habilitado la opción de EDITAR por lo que necesitamos tener "a mano" las licencias correspondientes

Certiifcado_SAN_WAC_2013_27.jpg

Y una vez que ha finalizado como podeis apreciar nos muestra el resumen de la configuración. Tenemos las dos URL, una para interno y otra para externo. Lo he hecho así para que vierais la diferencia, pero podéis configurar ambas con el FQDN que vayais a publicar en internet 🙂
Certiifcado_SAN_WAC_2013_28.jpg

Vemos que nos ha configurado el IIS

Certiifcado_SAN_WAC_2013_29.jpg

Certiifcado_SAN_WAC_2013_31.jpg

OJO, no cambiéis el certificado a mano, tenéis que hacerlo desde el CMDLET anterior sino no os funcionará

Certiifcado_SAN_WAC_2013_32.jpg

Como se observa el certificado está correcto

Certiifcado_SAN_WAC_2013_33.jpg

 

Ahora toca configurar la parte de Lync, para ello abrimos  el Generador de Topologias, vamos a Componentes Compartidos y Servidores de Office Web Apps  y creamos un nuevos servidor

Certiifcado_SAN_WAC_2013_34.jpg

escribimos el nombre FQDN del servidor y se va completando la URL que utilizaremos para verificar si el servidor de Office Web está funcionando correctamente.
Certiifcado_SAN_WAC_2013_35.jpg

Certiifcado_SAN_WAC_2013_36.jpg

Ahora debemos configurarlo en nuestro POOL, para ello vamos a Lync Server 2013, Grupos de servidores front-end Enterprise Edition y editamos el Pool y vamos a Asociar el grupo de servidores de Office Web Apps

Certiifcado_SAN_WAC_2013_37.jpg

 

Verificamos que está todo correcto y publicamos la Topología

Certiifcado_SAN_WAC_2013_38.jpg

Mientras se aplican los cambios probamos a acceder a la URL del servidor de las Office Web, y…. en nuestro caso nos da un error ya documento por Microsoft y tiene fácil solución

Nota de Microsoft:

Si los componentes de .NET Framework 3.5 se instalaron y posteriormente se quitaron, puede que vea los mensajes “500 Excepciones del servicio web” o “500.21 – Error de servidor interno” al ejecutar cmdlets de OfficeWebApps. Para corregir esto, ejecute los siguientes comandos de muestra desde un símbolo del sistema elevado para limpiar la configuración que podría impedir que Office Web Apps Server funcione correctamente:

Certiifcado_SAN_WAC_2013_39.jpg

Ejecutamos el comando que nos indican

Certiifcado_SAN_WAC_2013_43.jpg

Y ya podemos conectarmos a la URL y nos funciona perfectamente

Certiifcado_SAN_WAC_2013_44.jpg

Ya accedemos correctamente como nos indica Microsoft, ahora vamos a ver los eventos que nos muestra el Front-END con los cambios de topología y descubrimiento de la granja  de las Office Web, aqui vemos que se ha configurado correctamente

Certiifcado_SAN_WAC_2013_40.jpg

y que ya ve los servicios de PowerPoint correctamente habilitados

Certiifcado_SAN_WAC_2013_46.jpg

 

Ahora toca probarlo, he creado una conferencia y lo he probado desde Internet Explorer, Firefox y Chrome. Primero vamos a ver como subir un PowerPoint y la conferencia para compartirlo con el resto de participantes:

Office_Web_0.jpg

ahora esperamos uno segundos y ya tenemos la presentación disponible!!

Office_Web_1.jpg

Ahora solo tenemos que ir añadiendo participantes y que puedan visualizar la presentación, he probado desde el cliente Lync  y Web APP

Cliente Lync

Office_Web_2.jpg

Cliente Lync Web APP con IE, recordad que la primera vez que entráis con Lync Web APP os solicita la instalación del Pluging, se instala una vez y listo

Office_Web_7.jpg

Office_Web_5.jpg

Office_Web_6.jpg

Lync Web APP Firefox

Office_Web_firefox.png

Lync Web APP Chrome

Office_Web_chrome.png

Además he probado de paso el audio y video desde el cliente Lync Web APP y es una pasada, muy muy bien.  Por último y como eran sencillito os voy a poner los CMDLET de como configurar las Office Web APPs para SharePoint. Abrimos una consola de PowerShell de SharePoint y escribimos el siguiente CMDLET:

Office_Web_4.JPG

Ahora accedemos a SharePoint y abrimos por ejemplo una presentación de PowerPoint y mirad …

Office_Web_3.jpg

 

Os dejo también la tabla de navegadores compatibles con las Office Web APPs

Office_Web_10.JPG
Una maravilla, además ya veis que no es complicado montar todo el sistema. También se puede utilizar con Exchange 2013 pero de momento no he tenido la oportunidad de probarlo.

Os dejo también algunos enlaces oficiales de Microsoft de como configurar únicamente las Office Web APPs

http://technet.microsoft.com/es-es/library/jj219455(v=office.15).aspx

http://technet.microsoft.com/en-us/library/jj219436(v=office.15).aspx

 

Aqui os dejo el CMDLET para instalar los requisitos para Windows 2012, puesto que en el enlace de Microsoft en donde indica los requisitos necesarios no está completo y faltan las siguientes características: NET-Framework-Features, NET-Framework-Core, NET-HTTP-Activation, NET-Non-HTTP-Activ, NET-WCF-HTTP-Activation45

Add-WindowsFeature Web-Server,Web-Mgmt-Tools,Web-Mgmt-Console,Web-WebServer,Web-Common-Http,Web-Default-Doc,Web-Static-Content,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Security,Web-Filtering,Web-Windows-Auth,Web-App-Dev,Web-Net-Ext45,Web-Asp-Net45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Includes,InkandHandwritingServices, NET-Framework-Features, NET-Framework-Core, NET-HTTP-Activation, NET-Non-HTTP-Activ, NET-WCF-HTTP-Activation45 -source D:\sources\sxs  

Espero que os sea de utilidad!!!

​Todos los que tenemos utilizar certificados digitales para publicar Webs, Servicios, etc.. sabemos que exiten varios proveedores que nos pueden emitir certificados públicos. Lo que se supone con estos certificados es que el resto de hosts que se conecten a nuestros servicios,  no recibirán el típico error de certificado. Se supone que todos los equipos vienen con una serie de Entidades de certificación raíz de confianza, ejemplo:

Certificado-Raiz.png

Además de las Entidades de certificación intermedias, etc… Por lo que se supone que si aquirimos certificados públicos el resto de usuarios que se conecten a nuestros servicios no verán pantallas como esta (seguro que la habéis visto más de una vez)

Certificado-Error.png

Y esto puede ser debido a que el nombre del certificado no se corresponde con el nombre del certificado, o como le ocurre a los certificados de Thawte que aunque es un certificado público nosotros podemos ver este error en nuestro navegador aunque el nombre del sitio y certificado seal el mismo. Pero si le continuamos y vamos a ver el certificado el error es el siguiente, no dice que el error es del nombre sino que NO SE PUEDE COMPROBAR ESTE CERTIFICADO EN UNA ENTIDAD DE CERTIFICACIÓN EN QUE SE CONFIA!!!!

Certificado-Thawte.png

Esto es un problema reconocido por Thawte y esto es lo que comentan de manera oficial:

 

Fuente: Error Certificados Thawte

 

Problem

On June 27 2010, in the interest of better security, Thawte signed all certificates with an intermediate certificate that needs to be installed along with the SSL certificate.
Any certificate issued on or after this date requires the intermediate certificate to be installed.

Cause

Your error indicates the intermediate certificate has not been installed or incorrectly installed.
 
Solución
 
Para solucionar el problema, debemos instalar este certificado Thawte_SSL_CA_under_Premium_Server_CA en el contenedor de Entidades de certificación intermedias
 
1) Open the Microsoft Management Console (MMC)
2) Click on Certificates from the left pane
3) Double-click on Intermediate Certification Authorities  from the right pane
4) Right-click on Certificates from the right pane and select All Tasks > Import to open the Certificate Import Wizard
5) Click on the Next button
6) Specify the location of the intermediate file by browsing to it and click on the Next button
7) By default, it will place the certificate in the Intermediate Certification Authorities store. Keep this selection and click on the Next button.
8) Click on the Finish button
9) A message will appear confirming the successful import of the certificate. Click on the OK button.


If your site still has the chaining error, restart the IIS service. If the problem continues, the whole server needs a reboot to use the new intermediate.
 
Also, open and close any browser you had open before doing the above that was giving you the chaining error, to prevent any browswer caching issues from showing the incomplete chain.

 

 

Una vez que hemos instalado el certificado reiniciamos el IIS y cuando nos volvamos a conectar ya ha desparecido el problema!! Si utilizamos ISA Server o TMG para publicar las distintas URLs solo tenemos que hacer el cambio en el ISA o TMG y para ello debemos reiniciar los servicios de firewall para que podáis ver los cambios reflejados.
 
Está claro que sino conocemos esto, podemos echar horas o días buscando la solución. Yo este problema me lo he encontrado con los certificados de Thawte, si alguien tiene alguna experiencia parecida con otros certificados agradezco que lo comenten
 
Espero que les sea de utilidad!!