Lync Phone Edition용 인증서
마지막으로 수정된 항목: 2014-01-07
Lync Server는 인증서를 사용하여 서버를 인증하고 클라이언트와 서버 간에, 그리고 여러 서버 역할 간에 신뢰 체인을 설정합니다. Windows Server 운영 체제는 이 신뢰 체인을 설정하고 유효성을 검사하기 위한 인프라를 제공합니다.
인증서는 서버를 이름별로 식별하고 서버 속성을 지정하는 디지털 ID입니다. 클라이언트 또는 서버에 연결된 기타 서버에서 신뢰할 수 있는 CA(인증 기관)에서 발급한 인증서에만 유효한 정보가 포함됩니다. 서버가 개인 네트워크의 다른 클라이언트 및 서버에만 연결된 경우 엔터프라이즈 CA를 사용할 수 있으며, 서버가 개인 네트워크 외부의 엔터티와 상호 작용하는 경우 공용 CA가 필요할 수 있습니다.
인증서의 정보가 유효하더라도 인증서를 제공하는 서버가 실제로 인증서에 나와 있는 서버인지를 확인하는 방법이 있어야 합니다. 이를 위해 Windows PKI(공개 키 인프라)를 사용합니다.
각 인증서는 공개 키에 연결됩니다. 인증서에 이름이 지정되어 있는 서버는 다른 위치에서는 알 수 없는 해당 개인 키를 포함합니다. 이 서버에 연결하는 클라이언트 또는 서버는 공개 키를 사용하여 임의의 정보를 암호화한 다음 서버로 보냅니다. 서버에서 이 정보의 암호를 해독하여 일반 텍스트로 반환하면 연결 대상 엔터티는 해당 서버가 인증서의 개인 키를 포함하며 인증서에 이름이 나와 있는 서버임을 확인할 수 있습니다.
Lync Phone Edition용 루트 CA 인증서
Lync Phone Edition과 Lync Server 간의 통신은 기본적으로 TLS(전송 계층 보안) 및 SRTP(Secure Real-time Transport Protocol)를 사용하여 암호화됩니다. 따라서 Lync Phone Edition을 실행하는 장치는 Lync Server에서 제공하는 인증서를 신뢰해야 합니다. Lync Server 실행 컴퓨터에서 공용 인증서를 사용하는 경우에는 장치에 Windows CE와 동일한 신뢰할 수 있는 CA 목록이 포함되어 있으므로 장치에서 자동으로 인증서를 신뢰합니다. 그러나 대부분의 Lync Server 배포에서는 내부 Lync Server 서버 역할에 대한 내부 인증서를 사용하므로 내부 CA의 루트 CA 인증서를 장치에 설치해야 합니다. 루트 CA 인증서는 장치에 수동으로 설치할 수 없으므로 네트워크를 통해 가져와야 합니다. Lync Phone Edition에서는 두 가지 방법을 사용하여 인증서를 다운로드할 수 있습니다.
첫째, 장치에서 certificationAuthority 범주의 AD DS(Active Directory 도메인 서비스) 개체를 검색합니다. 검색에서 개체가 반환되면 장치에서 caCertificate 특성을 사용합니다. 이 특성은 인증서를 보유한 것으로 간주되므로 장치에서 인증서를 설치합니다.
루트 CA 인증서는 Lync Phone Edition의 caCertificate에 게시되어야 합니다. 루트 CA 인증서를 caCertificate 특성에 추가하려면 다음 명령을 사용합니다.
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
CertificationAuthority 범주의 Active Directory 개체 검색에서 개체가 반환되지 않거나 caCertificate 특성이 비어 있는 개체가 반환된 경우 장치는 구성 명명 컨텍스트에서 pKIEnrollmentService 범주의 Active Directory 개체를 검색합니다. 이러한 개체는 AutoEnrollment 인증서가 Active Directory에서 사용하도록 설정된 경우에 존재합니다. 검색에서 개체가 반환되면 장치는 반환된 dNSHostName 특성을 사용하여 CA를 참조한 후 Windows 인증서 서비스의 웹 인터페이스를 통해 다음 HTTP get- 명령을 사용하여 루트 CA 인증서를 검색합니다.
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
이러한 방법이 모두 실패하면 "서버 인증서의 유효성을 확인할 수 없습니다."라는 오류 메시지가 표시되고 사용자가 장치를 사용할 수 없게 됩니다.
Lync Phone Edition에 인증서를 발급할 때 고려할 사항
다음은 Lync Phone Edition에 인증서를 발급할 때 고려해야 하는 사항입니다.
기본적으로 Lync Phone Edition에서는 다음과 같은 요구 사항이 있는 TLS 및 SRTP를 사용합니다.
Lync Server 및 Microsoft Exchange Server에서 신뢰 인증서를 제공해야 합니다.
루트 CA 체인 인증서가 장치에 있어야 합니다.
인증서를 장치에 수동으로 설치할 수는 없습니다.
다음을 지원하도록 옵션을 설정합니다.
공용 인증서 사용
장치에 공용 인증서 미리 로드
조직 인증서 사용
네트워크에서 루트 CA 체인 받기
조직의 루트 CA 체인 찾기
Lync Phone Edition에서는 AD DS의 PKI 자동 등록 개체 또는 알려진 DN(고유 이름)을 사용하여 인증서를 찾을 수 있습니다. 자세한 내용은 다음과 같습니다.
조직 CA를 사용하여 PKI 자동 등록을 활성화하려면 장치에서 LDAP(Lightweight Directory Access Protocol) 요청을 보내 pKIEnrollmentService/CA 서버 주소를 찾은 후 HTTP를 사용하여 사용자의 자격 증명으로 Windows CA/certsrv 사이트에 인증서를 다운로드합니다.
certutil -f -dspublish ".cer file location" 루트 CA를 사용하여 구성 NC에 인증서를 업로드하려면 다음 DN을 사용합니다.
Cn=인증 기관, cn=공개 키 서비스, CN=서비스, cn=구성, dc=<AD 도메인>
참고
LDAP 요청은 BaseDN: CN=구성, dc= <도메인> Filter: (objectCategory=pKIEnrollmentService)이고 검색 대상 특성은 dNSHostname입니다. 장치는 HTTP get- command http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64를 사용하여 인증서를 다운로드합니다.
신뢰할 수 있는 기관 캐시
다음 표에서는 Lync Phone Edition에서 신뢰할 수 있는 공용 인증서를 설명합니다.
신뢰할 수 있는 공용 인증서
| 공급업체 | 인증서 이름 | 만료 날짜 | 키 길이 |
|---|---|---|---|
Comodo |
AAA Certificate Services |
2028-12-31 |
2048 |
Comodo |
AddTrust External CA Root |
2020-05-30 |
2048 |
CyberTrust |
Baltimore CyberTrust Root |
2025-05-12 |
2048 |
CyberTrust |
GTE CyberTrust Global Root |
2018-08-13 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
2028-08-01 |
1024 |
VeriSign |
Thawte Premium Server CA |
2020-12-31 |
1024 |
VeriSign |
Thawte Server CA |
2020-12-31 |
1024 |
VeriSign |
Class 3 Public Primary Certification Authority |
2028-08-01 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
2019-12-24 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
2019-05-25 |
1024 |
Entrust |
Entrust Root Certification Authority |
2026-11-27 |
2048 |
Entrust |
Entrust.net Certification Authority (2048) |
2029-07-24 |
2048 |
Equifax |
Equifax Secure Certificate Authority |
2018-08-22 |
1024 |
GeoTrust |
GeoTrust Global CA |
2022-05-20 |
2048 |
Go Daddy |
Go Daddy Class 2 Certification Authority |
2034-06-29 |
2048 |
Go Daddy |
http://www.valicert.com/ |
2019-06-25 |
1024 |
Go Daddy |
Starfield Class 2 Certification Authority |
2034-06-29 |
2048 |
DigiCert Inc. |
DigiCert Assured ID Root CA |
2031-11-09 |
2048 |
DigiCert Inc. |
DigiCert Global Root CA |
2031-11-09 |
2048 |
DigiCert Inc. |
DigiCert High Assurance EV Root CA |
2031-11-09 |
2048 |