Lync Server 2013 の公開キー基盤Public Key Infrastructure for Lync Server 2013

 

トピックの最終更新日: 2013-11-13Topic Last Modified: 2013-11-13

Microsoft Lync Server 2013 は、サーバー認証に証明書を使用し、クライアントとサーバーの間、およびさまざまなサーバーの役割間の信頼チェーンを確立します。Microsoft Lync Server 2013 relies on certificates for server authentication and to establish a chain of trust between clients and servers and among the different server roles. Windows Server 2012 R2、Windows server 2012、Windows Server 2008 R2、Windows Server 2008、および Windows Server 2003 公開キー基盤 (PKI) は、この信頼チェーンを確立して検証するためのインフラストラクチャを提供します。The Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, and Windows Server 2003 Public Key Infrastructure (PKI) provides the infrastructure for establishing and validating this chain of trust.

証明書とはデジタル ID です。Certificates are digital IDs. 証明書は、名前によってサーバーを識別し、そのプロパティを指定します。They identify a server by name and specify its properties. 証明書の情報が有効であることを確認するには、サーバーに接続するクライアントまたは他のサーバーによって信頼されている CA が証明書を発行する必要があります。To ensure that the information on a certificate is valid, the certificate must be issued by a CA that is trusted by clients or other servers that connect to the server. サーバーがプライベート ネットワーク上の他のクライアントおよびサーバーとのみ接続する場合は、CA はエンタープライズ CA で問題ありません。If the server connects only with other clients and servers on a private network, the CA can be an enterprise CA. サーバーがプライベート ネットワーク外のエンティティと対話する場合は、パブリック CA が必要な可能性があります。If the server interacts with entities outside the private network, a public CA might be required.

証明書の情報が有効であっても、証明書を提示しているサーバーが、実際に証明書によって提示されているサーバーであることを確認する手段が必要です。ここで Windows PKI が役立ちます。Even if the information on the certificate is valid, there must be some way to verify that the server presenting the certificate is actually the one represented by the certificate. This is where the Windows PKI comes in.

各証明書は、公開キーにリンクされています。証明書で名前が指定されているサーバーには、そのサーバーのみが知る、対応する秘密キーがあります。接続しようとしているクライアントまたはサーバーは、公開キーを使用して無作為な情報の断片を暗号化し、それをサーバーに送信します。サーバーがその情報を復号化し、プレーン テキストに戻すと、接続しようとしているエンティティは、証明書の秘密キーをサーバーが保持していること、つまり、そのサーバーが証明書で指定されていることを確認できます。Each certificate is linked to a public key. The server named on the certificate holds a corresponding private key that only it knows. A connecting client or server uses the public key to encrypt a random piece of information and sends it to the server. If the server decrypts the information and returns it as plain text, the connecting entity can be sure that the server holds the private key to the certificate and therefore is the server named on the certificate.

注意

すべてのパブリック Ca が Lync Server 2013 証明書の要件に準拠しているわけではありません。Not all public CAs comply with the requirements of Lync Server 2013 certificates. 認定されているパブリック CA ベンダーの一覧を参照して、パブリック証明書のニーズに合ったベンダーを探すことをお勧めします。We recommend that you refer to the listing of certified Public CA vendors for your public certificate needs. 詳細については、「統合コミュニケーション証明書パートナー」を参照してください https://go.microsoft.com/fwlink/p/?LinkId=140898For details, see Unified Communications Certificate Partners at https://go.microsoft.com/fwlink/p/?LinkId=140898.

CRL 配布ポイントCRL Distribution Points

Lync Server 2013 には、すべてのサーバー証明書に1つ以上の証明書失効リスト (CRL) 配布ポイントが含まれている必要があります。Lync Server 2013 requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. CRL 配布ポイント (Cdp) は、発行後に証明書が失効しておらず、証明書が有効期間内にあることを確認するために、Crl をダウンロードできる場所です。CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. CRL 配布ポイントは、証明書のプロパティに URL として記載されています。通常、HTTP はセキュリティで保護されています。A CRL distribution point is noted in the properties of the certificate as a URL, and is typically secure HTTP.

拡張キー使用法Enhanced Key Usage

Lync Server 2013 では、サーバー認証のために拡張キー使用法 (EKU) をサポートするすべてのサーバー証明書が必要です。Lync Server 2013 requires all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. サーバー認証の EKU フィールドを構成することは、証明書がサーバーの認証を目的として有効であることを意味します。Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. この EKU は、MTLS にとって不可欠です。This EKU is essential for MTLS. EKU に複数のエントリを含めることができます。これにより、複数の目的に対して証明書を有効にできます。It is possible to have more than one entry in the EKU, enabling the certificate for more than one purpose.

注意

Live Communications Server 2003 および Live Communications Server 2005 からの送信 MTLS 接続には、クライアント認証 EKU が必要ですが、これは不要になりました。The Client Authentication EKU is required for outbound MTLS connections from Live Communications Server 2003 and Live Communications Server 2005, but it is no longer required. ただし、この EKU は、パブリック IM 接続を使用して AOL に接続するエッジサーバー上に存在する必要があります。However, this EKU must be present on Edge Servers that connect to AOL by means of public IM connectivity.