IFD + сертификаты в CRM 2011

[a33ik]

Как правильно объяснить заказчику какие сертификаты ему необходимы для публикации CRM через IFD. Я задачу выполнил через Self-Signed сертификаты наивно полагая, что этого хватит. Да, после публикации и танцев с бубном я добился, чтобы связка заработала, но при попытке настроить Outlook клиент получил ошибку, что доверенное соединение не установлено.

Я так понимаю, что для корректной работы потребуется сертификат на домен + вайлдкарт сертификат на субдомены вроде такого:

contoso.com + *.contoso.com

[Артем Enot Грунин]

Чтобы проверка безопасности соединения отработала корректно, издатель сертификата должен быть помещен в список доверенных для компьютера (не пользователя). Это может быть любой сертификат, в том числе и самовыданный.
В меню run запусти команду mmc затем добавь в консоль оснастку с сертификатами (CTRL + M). При подключении выбери удостоверение компьютера. Далее следует добавить сертификат, например, в каталог Enterprise Trust. Если все сделано правильно, IE перестанет выдавать предупреждение безопасности при открытии страницы.
Разумеется, для доменных машин это может быть сделано через GPO, однако подход будет работать не для всех клиентов. Например, Java реализует собственное хранилище сертификатов, куда самопальный сертификат придется помещать отдельно. Свое хранилище так же реализует браузер Firefox.
Что бы сертификат был совсем уж доверенный, он должен быть выдан одним из авторитетных центров сертификации, но это платная и не быстрая процедура.

[scint]

А вопрос только в сертификате? Недавно работал с публикацией CRM через IFD, и основные проблемы при подключении с помощью Outlook клиента связаны были с настройкой ADFS. И да, как сказал Артем, для того чтобы клиентская машинка смогла подсоединиться нормально из вне, необходимо на каждом компе установить сертификаты (включая рутовый).
Ну а что касаемо заказчика, то основной мотивацией является, что сертификат полученный от авто.центров сертификации могут быть использованы не только в рамках публикации CRM, но и в принципе всех сервисов (почта, сайты, веб-сервисы и т.п.)

[a33ik]

[QUOTE=scint;291946основные проблемы при подключении с помощью Outlook клиента связаны были с настройкой ADFS.[/QUOTE]

Для одного клиента всё взлетело, для другого - через веб работает, через Outlook нет. Можете, пожалуйста, поподробнее рассказать в чём заключалась проблема?

[scint]

Если один из вне полностью доступ имеет, а у другого Outlook клиент не подключается, то
серверная часть как Вы понимаете не при чем.
Сертификаты на обоих компах установлены и в Root и в Personal (доверенные корневые центры/ личные)?
При доступе по web на обоих компах наблюдаете claims-based аутентификацию (формочка такая серая)?
И еще, компы в домене или нет? Возможно, что комп не может получить тикет для доступа в домен.

У меня была проблема, что компы не могли получить нормально тикет. Внешне это выражалось так. Пытаюсь завести новую организацию при конфигурировании Outlook клиента, он запрашивает у меня имя и пароль, а дальше получаю ошибку, что доступ запрещен. Оказалось, что проблемы была с неверной настройкой фаервола и часть траффика зарезалась.

Но в вашем случае как минимум одна машинка работает, а значит все в инфраструктуре хорошо(

Ищите разницу между клиентскими компами. Ну и посмотрите еще раз логи Outlook клиента

[a33ik]

Вероятно не совсем корректно выразился. У одного клиента (1-й IFD) всё заработало. У второго (другой клиент, другой сервер, другой IFD) не заработало. Разворачивал всё аналогично.

[-O_o-]

У меня были похожие проблемы.
Вот что писал админ:
1. [критично]убедиться что с машины на которой выполняется вход резолвятся имена зоны corp.ХХХ.ua, если машина в локальной сети то поставить днс сервером 192.168.ХХ.Х - на этом хосте находится зона. Для доступа извне
2. [необходимо]добавить в исключения браузера: https://*.corp.ХХХ.ua
3. [желательно для браузера и критично для аутглюка] сделать импорт сертификата corp-SERVAD-CA, обязательно положить в хранилище "Доверенные корневые центры сертификации".

Но у нас были проблемы с AD и DNS. Серваки и машины были в разных AD, с DNS тоже какие-то были проблемы.
Может поможет

[scint]

Понятно в таком случае кончено "идеального" решения не существует.
1. Добейтесь, чтобы internal acces заработал при включенной на сервере Claims-based аутентификации (проверьте, что сертификат установлен на CRM сервере, что разрешение к данному сертификату имеет учетная запись из под которой запущен iis app pool, ну то есть все в соответствии с ms). Статей много, но при настройке лично я использовал http://www.interactivewebs.com/blog/...-hosted-setup/ и вот это видео http://www.youtube.com/watch?v=ZD5qaa-G99E
2. После того, как заработает внутренний доступ, запустите IFD на CRM ну и настройте уже external access

Нюансов может быть много, но вот этими двумя шагами вы сможете отсечь проблемы связанные с внешними dns, правилами на ADFS и т.п. от просто внутренних (сертификат, работа ADFS с DC и т.п.)