Infrastructure de clé publique pour Lync Server 2013Public Key Infrastructure for Lync Server 2013

 

Dernière modification de la rubrique : 2013-11-13Topic Last Modified: 2013-11-13

Microsoft Lync Server 2013 repose sur des certificats pour l’authentification du serveur et pour établir une chaîne de confiance entre les clients et les serveurs et entre les différents rôles serveur.Microsoft Lync Server 2013 relies on certificates for server authentication and to establish a chain of trust between clients and servers and among the different server roles. L’infrastructure à clé publique (PKI) Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 et Windows Server 2003 fournit l’infrastructure permettant d’établir et de valider cette chaîne de confiance.The Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, and Windows Server 2003 Public Key Infrastructure (PKI) provides the infrastructure for establishing and validating this chain of trust.

Les certificats sont des identifiants numériques.Certificates are digital IDs. Ils identifient un serveur à l’aide de son nom et spécifient ses propriétés.They identify a server by name and specify its properties. Pour vous assurer que les informations sur un certificat sont valides, le certificat doit être émis par une autorité de certification approuvée par les clients ou d’autres serveurs qui se connectent au serveur.To ensure that the information on a certificate is valid, the certificate must be issued by a CA that is trusted by clients or other servers that connect to the server. Si le serveur se connecte uniquement à d’autres clients et serveurs sur un réseau privé, l’autorité de certification peut être une autorité de certification d’entreprise.If the server connects only with other clients and servers on a private network, the CA can be an enterprise CA. Si le serveur communique avec des entités en dehors du réseau privé, une autorité de certification publique peut être nécessaire.If the server interacts with entities outside the private network, a public CA might be required.

Même si les informations du certificat sont valides, il doit être possible de vérifier si le serveur soumettant le certificat est réellement celui qu’il représente. C’est à ce niveau qu’intervient l’infrastructure à clé publique Windows.Even if the information on the certificate is valid, there must be some way to verify that the server presenting the certificate is actually the one represented by the certificate. This is where the Windows PKI comes in.

Chaque certificat est lié à une clé publique. Le serveur nommé dans le certificat détient une clé privée correspondante qu’il est le seul à connaître. Lorsqu’un client ou un serveur se connecte, il utilise la clé publique pour chiffrer une information aléatoire qu’il envoie au serveur. Si le serveur déchiffre les informations et les renvoie sous forme de texte simple, l’entité connectée est sûre que le serveur détient la clé privée du certificat et qu’il s’agit donc bien du serveur nommé dans le certificat.Each certificate is linked to a public key. The server named on the certificate holds a corresponding private key that only it knows. A connecting client or server uses the public key to encrypt a random piece of information and sends it to the server. If the server decrypts the information and returns it as plain text, the connecting entity can be sure that the server holds the private key to the certificate and therefore is the server named on the certificate.

Notes

Toutes les autorités de certification publiques ne respectent pas les exigences des certificats Lync Server 2013.Not all public CAs comply with the requirements of Lync Server 2013 certificates. Nous vous recommandons de vous reporter à la liste des fournisseurs d’autorités de certification publiques certifiées selon vos besoins de certificats publics.We recommend that you refer to the listing of certified Public CA vendors for your public certificate needs. Pour plus d’informations, consultez la page relative aux partenaires de certificat de communications unifiées https://go.microsoft.com/fwlink/p/?LinkId=140898 .For details, see Unified Communications Certificate Partners at https://go.microsoft.com/fwlink/p/?LinkId=140898.

Points de distribution de liste de révocation de certificats (CRL)CRL Distribution Points

Lync Server 2013 nécessite que tous les certificats de serveur contiennent un ou plusieurs points de distribution de liste de révocation de certificats (CRL).Lync Server 2013 requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Il s’agit d’emplacements à partir desquels il est possible de télécharger des listes de révocation de certificats afin de vérifier si un certificat a été révoqué depuis son émission et s’il est toujours dans sa période de validité.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Un point de distribution de liste de révocation de certificats figure dans les propriétés du certificat sous forme d’URL, généralement HTTP sécurisée.A CRL distribution point is noted in the properties of the certificate as a URL, and is typically secure HTTP.

Utilisation améliorée de la cléEnhanced Key Usage

Lync Server 2013 nécessite que tous les certificats de serveur prennent en charge l’utilisation améliorée de la clé (EKU) pour l’authentification du serveur.Lync Server 2013 requires all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. La configuration du champ EKU pour l’authentification de serveurs signifie que le certificat est valide pour l’authentification des serveurs.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. L’utilisation améliorée de la clé est essentielle pour MTLS.This EKU is essential for MTLS. Le champ EKU peut contenir plusieurs entrées, ce qui permet d’activer le certificat à plusieurs fins.It is possible to have more than one entry in the EKU, enabling the certificate for more than one purpose.

Notes

L’EKU d’authentification client était requis pour les connexions MTLS sortantes provenant de Live Communications Server 2003 et Live Communications Server 2005, mais il n’est plus nécessaire. Toutefois, cet EKU doit figurer sur les serveurs de périphérie qui se connectent à AOL par le biais de la solution PIC.The Client Authentication EKU is required for outbound MTLS connections from Live Communications Server 2003 and Live Communications Server 2005, but it is no longer required. However, this EKU must be present on Edge Servers that connect to AOL by means of public IM connectivity.