-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750

需求:

用户反馈Android手机可以正常登陆,iOS12也能正常登陆Skype for business App,但是iOS13不能登陆Skype for business App(服务器端Skype for business server 2015)

参考文档如下:

https://support.apple.com/zh-cn/HT210176

https://windowstechpro.com/how-to-migrate-pki-2-tier-sha1-to-sha256/

https://social.technet.microsoft.com/Forums/lync/zh-CN/9ddbe36b-c821-4fc5-b979-280de52fd7b7/sha1213193242321040sha2?forum=winserver8zhcn

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn771627(v=ws.11)?redirectedfrom=MSDN

https://docs.microsoft.com/zh-cn/archive/blogs/askds/sha1-key-migration-to-sha256-for-a-two-tier-pki-hierarchy

参考Apple公司官方说明,如下:

https://support.apple.com/zh-cn/HT210176

下面开始着手解决这个兼容性问题,

1、 我们从Apple的官方说明可以得出对TLS证书的几点要求,

① 、TLS证书必须使用大于或等于2048位的密钥;

② 、TLS证书必须使用SHA-2系列算法,不再信任SHA-1颁发的证书;

③ 、证书使用者备用名称需包括连接服务器的DNS名称;

④ 、2019年7月1号后签发的TLS证书,增强型密钥用法中需要包括服务器认证;

⑤ 、TLS证书有效期必须小于或者等于825天,也就是2年多一点,不能超过3年。

2、 检查我们的CA证书颁发机构后发现(用户环境使用的自建证书,非第三方公网证书,第三方公网证书由于都已经更新了密钥算法到SHA-2,所以不会存在无法登陆iOS的问题),hash算法为SHA1,如下图,从前面的Apple官方描述可以看出这个算法已经不支持了,我们有两个办法来解决这个问题,第一是购买公网证书,第二是更新现有的CA的密钥算法到SHA2。

3、 下面我们讲述怎么对现有的证书颁发机构hash算法从SHA-1提升到SHA-2,参考官方说明:

https://docs.microsoft.com/zh-cn/archive/blogs/askds/sha1-key-migration-to-sha256-for-a-two-tier-pki-hierarchy

https://social.technet.microsoft.com/Forums/lync/zh-CN/9ddbe36b-c821-4fc5-b979-280de52fd7b7/sha1213193242321040sha2?forum=winserver8zhcn

4、 从官方说明可以看出,如果我们的证书办法机构采用的是CSP,将需要先升级到KSP,然后在升级SHA1到SHA256,于是我们获取下我们的算法,得知我们的证书为KSP,在CA服务器执行如下命令,命令如下:

Certutil –store my yuntcloud-win-755ffhj510e-ca

[下图不是真实环境截图,我们只用注意查看最后一行的显示结果即可]

5、下面开始升级SHA-1到SHA-2,执行如下命令:

certutil -setreg ca\csp\CNGHashAlgorithm SHA256

结果显示,算法已经成功迁移到了SHA-256

6、 重启证书服务, 我们能看到根证书Hash算法已经变成了SHA-256。但是根证书颁发的证书还是SHA1.

7、点击续订CA证书

8点击Yes,重启证书服务

9、继续选择Yes,在点击OK,

10、现在我们可以看到CA颁发的证书算法都变成了SHA-256.

11、Technet说明:对于已经颁发的证书,如果证书仍在有效期之内,是可以继续正常使用的。在证书到期之后,因为我们已经将CA的根证书升级到了SHA-2算法,因此只需要更新证书即可,更新后的证书会默认使用SHA-2加密算法。

12、因为我们需要更新skype服务器证书以便于iOS13手机登陆,所以把相关的域服务器都刷新了组策略,加快了根证书的更新,skype for business server 2015边缘服务器手动重新安装了CA根证书,然后把Exchange 2016服务器,OOS服务器,skype for business server 2015前端服务器,边缘服务器,持久聊天服务器自己颁发的证书都全部续订以及替换了一遍,以及Exchange OWA IM和SFB集成的web文件证书更换,至此,SHA-2升级工作全部完成,测试iOS手机,成功登陆,至此问题完美解决。