-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微軟產品實施及外包,QQ:185426445.電話18666943750
需求:
用戶反饋Android手機可以正常登陸,iOS12也能正常登陸Skype for business App,但是iOS13不能登陸Skype for business App(服務器端Skype for business server 2015)
參考文檔如下:
https://support.apple.com/zh-cn/HT210176
https://windowstechpro.com/how-to-migrate-pki-2-tier-sha1-to-sha256/
參考Apple公司官方說明,如下:
https://support.apple.com/zh-cn/HT210176
下面開始着手解決這個兼容性問題,
1、 我們從Apple的官方說明可以得出對TLS證書的幾點要求,
① 、TLS證書必須使用大於或等於2048位的密鑰;
② 、TLS證書必須使用SHA-2系列算法,不再信任SHA-1頒發的證書;
③ 、證書使用者備用名稱需包括連接服務器的DNS名稱;
④ 、2019年7月1號後簽發的TLS證書,增強型密鑰用法中需要包括服務器認證;
⑤ 、TLS證書有效期必須小於或者等於825天,也就是2年多一點,不能超過3年。
2、 檢查我們的CA證書頒發機構後發現(用戶環境使用的自建證書,非第三方公網證書,第三方公網證書由於都已經更新了密鑰算法到SHA-2,所以不會存在無法登陸iOS的問題),hash算法爲SHA1,如下圖,從前面的Apple官方描述可以看出這個算法已經不支持了,我們有兩個辦法來解決這個問題,第一是購買公網證書,第二是更新現有的CA的密鑰算法到SHA2。
3、 下面我們講述怎麼對現有的證書頒發機構hash算法從SHA-1提升到SHA-2,參考官方說明:
4、 從官方說明可以看出,如果我們的證書辦法機構採用的是CSP,將需要先升級到KSP,然後在升級SHA1到SHA256,於是我們獲取下我們的算法,得知我們的證書爲KSP,在CA服務器執行如下命令,命令如下:
Certutil –store my yuntcloud-win-755ffhj510e-ca
[下圖不是真實環境截圖,我們只用注意查看最後一行的顯示結果即可]
5、下面開始升級SHA-1到SHA-2,執行如下命令:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
結果顯示,算法已經成功遷移到了SHA-256
6、 重啓證書服務, 我們能看到根證書Hash算法已經變成了SHA-256。但是根證書頒發的證書還是SHA1.
7、點擊續訂CA證書
8、點擊Yes,重啓證書服務
9、繼續選擇Yes,在點擊OK,
10、現在我們可以看到CA頒發的證書算法都變成了SHA-256.
11、Technet說明:對於已經頒發的證書,如果證書仍在有效期之內,是可以繼續正常使用的。在證書到期之後,因爲我們已經將CA的根證書升級到了SHA-2算法,因此只需要更新證書即可,更新後的證書會默認使用SHA-2加密算法。
12、因爲我們需要更新skype服務器證書以便於iOS13手機登陸,所以把相關的域服務器都刷新了組策略,加快了根證書的更新,skype for business server 2015邊緣服務器手動重新安裝了CA根證書,然後把Exchange 2016服務器,OOS服務器,skype for business server 2015前端服務器,邊緣服務器,持久聊天服務器自己頒發的證書都全部續訂以及替換了一遍,以及Exchange OWA IM和SFB集成的web文件證書更換,至此,SHA-2升級工作全部完成,測試iOS手機,成功登陸,至此問題完美解決。