• Articolo

Infrastruttura a chiave pubblica per Lync Server 2010

 

Ultima modifica dell'argomento: 2012-10-14

Microsoft Lync Server 2010 si basa sui certificati per l'autenticazione server e per stabilire una catena di certificati tra i client e i server e tra i diversi ruoli server. L'infrastruttura a chiave pubblica (PKI) di Windows Server 2008, Windows Server 2008 R2 e Windows Server 2003 offre l'infrastruttura necessaria per stabilire e convalidare questa catena di certificati.

I certificati sono ID digitali. Identificano un server per nome e ne specificano le proprietà. Per garantire la validità delle informazioni su un certificato, è necessario che il certificato venga emesso da un'autorità di certificazione (CA ) ritenuta attendibile dai client o da altri server connessi al server. Se il server si connette solo ad altri client e server di una rete privata, la CA può essere una CA aziendale. Se il server interagisce con entità esterne alla rete privata, potrebbe essere necessaria una CA pubblica.

Anche se le informazioni del certificato sono valide, deve esistere la possibilità di verificare che il server che presenta il certificato sia effettivamente quello rappresentato dal certificato. A questo scopo viene utilizzata l'infrastruttura a chiave pubblica (PKI) di Windows.

Ogni certificato è collegato a una chiave pubblica. Il server denominato nel certificato contiene una chiave privata corrispondente nota solo a esso. Un client o un server che stabilisce la connessione utilizza la chiave pubblica per crittografare in modo casuale alcune informazioni e le invia al server. Se il server decrittografa le informazioni e le restituisce come testo normale, l'entità che stabilisce la connessione può avere la certezza che il server contiene la chiave privata per il certificato e pertanto si tratta del server indicato nel certificato.

Nota: non tutte le CA pubbliche sono conformi ai requisiti per i certificati di Lync Server 2010. È consigliabile fare riferimento all'elenco di fornitori di CA pubbliche certificati per le esigenze relative ai certificati pubblici. Per informazioni dettagliate, vedere l'articolo 929395 della Microsoft Knowledge Base "Partner certificati per comunicazioni unificate" all'indirizzo https://support.microsoft.com/kb/929395/it-it.

Punti di distribuzione CRL

Lync Server 2010 richiede che tutti i certificati server contengano uno o più punti di distribuzione CRL (Certificate Revocation List). I punti di distribuzione CRL (CDP) sono le posizioni da cui è possibile scaricare gli elenchi CRL per verificare che il certificato non sia stato revocato dopo l'emissione e che sia ancora valido. Un punto di distribuzione CRL è indicato nelle proprietà del certificato come URL e in genere è HTTP protetto.

Utilizzo chiavi avanzato

Lync Server 2010 richiede che tutti i certificati server supportino l'utilizzo chiavi avanzato (EKU) per l'autenticazione del server. La configurazione del campo EKU per l'autenticazione server significa che il certificato è valido per l'autenticazione dei server. Tale utilizzo EKU è essenziale per MTLS. È possibile che nell'utilizzo EKU siano presenti più voci e che pertanto il certificato sia abilitato per più scopi.

Nota

L'utilizzo EKU di autenticazione client non è più necessario, anche se è obbligatorio per le connessioni MTLS in uscita da Live Communications Server 2003 e Live Communications Server 2005. Deve essere tuttavia presente negli Edge Server che si connettono ad AOL grazie alla connettività di messaggistica istantanea pubblica.