Infraestrutura de chave pública para o Lync Server 2013

  • Artigo

 

Tópico Última Modificação: 11-11-2013

O Microsoft Lync Server 2013 depende de certificados para autenticação de servidor e para estabelecer uma cadeia de confiança entre clientes e servidores e entre as diferentes funções de servidor. O Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 e PKI (Infraestrutura de Chave Pública) do Windows Server 2003 fornece a infraestrutura para estabelecer e validar essa cadeia de confiança.

Certificados são identificações digitais. Eles identificam um servidor por nome e especificam suas propriedades. Para garantir que as informações em um certificado sejam válidas, o certificado deve ser emitido por uma AC confiável pelos clientes ou outros servidores que se conectam ao servidor. Se o servidor se conectar apenas com outros clientes e servidores de rede privada, a AC pode ser uma AC corporativa. Se o servidor interagir com entidades fora da rede privada, uma AC pública pode ser necessária.

Mesmo se as informações no certificado forem válidas, deve haver uma forma de verificar se o servidor que apresenta o certificado é de fato aquele representado pelo certificado. É nessa etapa que o PKI do Windows entrará.

Cada certificado é vinculado a uma chave pública. O servidor nomeado no certificado mantém uma chave privada correspondente que somente ele conhece. Um cliente ou servidor de conexão usa a chave pública para criptografar partes aleatórias das informações e as envia ao servidor. Se o servidor descriptografar as informações e retorná-las como texto sem formatação, a entidade de conexão pode se assegurar de que o servidor vincula a chave privada ao certificado e, portanto, o servidor é nomeado no certificado

Nota

Nem todas as ACs públicas estão em conformidade com os requisitos de certificados do Lync Server 2013. Recomendamos que consulte a lista de fornecedores certificados de AC pública para suas necessidades de certificados públicos. Para obter detalhes, consulte Unified Communications Certificate Partners em https://go.microsoft.com/fwlink/p/?LinkId=140898.

Pontos de distribuição CRL

O Lync Server 2013 requer que todos os certificados de servidor contenham um ou mais pontos de distribuição de CRL (Lista de Certificados Revogados). Os pontos de distribuição (CDP) de CRL são locais dos quais as CRLs podem ser baixadas para verificar se o certificado não foi revogado desde sua emissão e se o certificado continua dentro do período de validade. Um ponto de distribuição de CRL pode ser encontrado nas propriedades do certificado como uma URL e é normalmente uma HTTP segura.

Uso avançado da chave

O Lync Server 2013 requer que todos os certificados de servidor deem suporte ao EKU (Uso Avançado de Chave) para fins de autenticação de servidor. A configuração do campo do EKU para autenticação do servidor significa que o certificado é válido para fins de autenticação de servidores. Esse EKU é essencial para MTLS. É possível ter mais de uma entrada no EKU, permitindo o uso do certificado para mais de uma finalidade.

Nota

O EKU de Autenticação de Cliente é necessário para conexões MTLS de saída do Live Communications Server 2003 e do Live Communications Server 2005, mas não é mais necessário. No entanto, esse EKU deve estar presente em Servidores de Borda que se conectam ao AOL por meio de conectividade de mensagens instantâneas públicas.