Infrastructure à clé publique pour Office Communications Server 2007 R2

Dernière rubrique modifiée : 2009-03-09

Office Communications Server 2007 R2 fait appel à des certificats pour authentifier les serveurs et établir une chaîne d'approbation entre les clients et les serveurs, ainsi que parmi les divers rôles de serveur. L'infrastructure de clé publique (PKI) Windows Server 2003 et Windows Server 2008 permet d'établir et de valider cette chaîne.

Les certificats sont des identifiants numériques. Ils identifient un serveur à l'aide de son nom et spécifient ses propriétés. Pour que les informations figurant dans un certificat soient valides, le certificat doit avoir été émis par une autorité de certification approuvée par les clients et les autres serveurs qui se connectent au serveur. Si le serveur se connecte uniquement aux autres clients et serveurs sur un réseau privé, il peut s'agir d'une autorité d'entreprise. S'il interagit avec des entités situées en dehors du réseau privé, une autorité de certification publique peut s'avérer nécessaire.

Même si les informations du certificat sont valides, il doit être possible de vérifier si le serveur soumettant le certificat est réellement celui qu'il représente. C'est à ce niveau qu'intervient l'infrastructure de clé publique Windows.

Chaque certificat est lié à une clé publique. Le serveur nommé dans le certificat détient une clé privée correspondante qu'il est le seul à connaître. Lorsqu'un client ou serveur se connecte, il utilise la clé publique pour chiffrer une information aléatoire qu'il envoie au serveur. Si le serveur déchiffre les informations et les renvoie sous forme de texte simple, l'entité connectée est sûre que le serveur détient la clé privée du certificat et qu'il s'agit donc bien du serveur nommé dans le certificat.

Remarque : toutes les autorités de certification publiques ne respectent pas les exigences d'Office Communications Server en matière de certificats. Nous vous recommandons de consulter la liste des autorités de certification publiques certifiées pour établir vos besoins en matière de certificats publics. Pour plus d'informations, consultez « Partenaires de certification Unified Communications pour Exchange 2007 et Office Communications Server 2007 » à l'adresse https://go.microsoft.com/fwlink/?LinkId=140898.

Points de distribution de liste de révocation de certificats (CRL)

Office Communications Server 2007 R2 requiert que tous les certificats des serveurs contiennent un ou plusieurs points de distribution de liste de révocation de certificats (CRL). Il s'agit d'emplacements à partir desquels il est possible de télécharger des listes de révocation de certificats afin de vérifier si un certificat a été révoqué depuis son émission. Un point de distribution de liste de révocation de certificats figure dans les propriétés du certificat sous forme d'URL, généralement HTTP sécurisée.

Utilisation améliorée de la clé (EKU)

Office Communications Server 2007 R2 requiert que tous les certificats de serveur prennent en charge l'utilisation améliorée de la clé (EKU) à des fins d'authentification des serveurs. La configuration du champ EKU pour l'authentification de serveurs signifie que le certificat est valide pour l'authentification des serveurs. L'utilisation améliorée de la clé est essentielle pour MTLS. Le champ EKU peut contenir plusieurs entrées, ce qui permet d'activer le certificat à plusieurs fins.

Remarque :
L'EKU d'authentification client était requis pour les connexions MTLS sortantes provenant de Live Communications Server 2003 et Live Communications Server 2005, mais il n'est plus nécessaire. Toutefois, cet EKU doit figurer sur les serveurs de périphérie qui se connectent à AOL par le biais de la solution PIC.