Infraestrutura de chave pública do Lync Server 2013Public Key Infrastructure for Lync Server 2013

 

Última modificação do tópico: 2013-11-13Topic Last Modified: 2013-11-13

O Microsoft Lync Server 2013 depende de certificados para autenticação de servidor e estabelecer uma cadeia de confiança entre clientes e servidores e entre as diferentes funções de servidor.Microsoft Lync Server 2013 relies on certificates for server authentication and to establish a chain of trust between clients and servers and among the different server roles. O Windows Server 2012 R2, o Windows Server 2012, o Windows Server 2008 R2, o Windows Server 2008 e o Windows Server 2003 infraestrutura de chave pública (PKI) fornece a infraestrutura para estabelecer e validar essa cadeia de confiança.The Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, and Windows Server 2003 Public Key Infrastructure (PKI) provides the infrastructure for establishing and validating this chain of trust.

Os certificados são IDs digitais.Certificates are digital IDs. Eles identificam um servidor por nome e especificam suas propriedades.They identify a server by name and specify its properties. Para garantir que as informações em um certificado sejam válidas, o certificado deve ser emitido por uma autoridade de certificação que é confiável para clientes ou outros servidores que se conectam ao servidor.To ensure that the information on a certificate is valid, the certificate must be issued by a CA that is trusted by clients or other servers that connect to the server. Se o servidor se conectar somente com outros clientes e servidores em uma rede privada, a CA poderá ser uma CA empresarial.If the server connects only with other clients and servers on a private network, the CA can be an enterprise CA. Se o servidor interagir com entidades fora da rede privada, uma CA pública poderá ser necessária.If the server interacts with entities outside the private network, a public CA might be required.

Mesmo que as informações de um certificado sejam válidas, deve haver alguma forma de verificar se o servidor que está apresentando o certificado é realmente o representado pelo certificado. É aqui que a PKI do Windows entra em ação.Even if the information on the certificate is valid, there must be some way to verify that the server presenting the certificate is actually the one represented by the certificate. This is where the Windows PKI comes in.

Cada certificado é vinculado a uma chave pública. O servidor nomeado no certificado retém uma chave privada correspondente que somente ele conhece. Um cliente ou servidor de conexão usa a chave pública para criptografar uma parte aleatória das informações e enviá-la ao servidor. Se o servidor descriptografar as informações e retorná-las como texto sem formatação, a entidade de conexão poderá ter a certeza de que o servidor retém a chave privada para o certificado e, portanto, é o servidor nomeado no certificado.Each certificate is linked to a public key. The server named on the certificate holds a corresponding private key that only it knows. A connecting client or server uses the public key to encrypt a random piece of information and sends it to the server. If the server decrypts the information and returns it as plain text, the connecting entity can be sure that the server holds the private key to the certificate and therefore is the server named on the certificate.

Observação

Nem todas as CAs públicas estão em conformidade com os requisitos dos certificados do Lync Server 2013.Not all public CAs comply with the requirements of Lync Server 2013 certificates. Recomendamos a consulta à lista de fornecedores certificados de CA pública para suas necessidades de certificado público.We recommend that you refer to the listing of certified Public CA vendors for your public certificate needs. Para obter detalhes, consulte Unified Communications Certificate Partners em https://go.microsoft.com/fwlink/p/?LinkId=140898 .For details, see Unified Communications Certificate Partners at https://go.microsoft.com/fwlink/p/?LinkId=140898.

Pontos de distribuição de CRLCRL Distribution Points

O Lync Server 2013 requer que todos os certificados de servidor contenham um ou mais pontos de distribuição de CRL (lista de certificados revogados).Lync Server 2013 requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. CDPs (Pontos de distribuição de CRL) são locais a partir dos quais os CRLs podem ser baixados para verificar se o certifico não foi revogado desde que foi emitido e se ainda está dentro do período de validade.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Um ponto de distribuição da lista de certificados revogados é especificado nas propriedades do certificado como uma URL e, geralmente, é um HTTP seguro.A CRL distribution point is noted in the properties of the certificate as a URL, and is typically secure HTTP.

Uso avançado de chaveEnhanced Key Usage

O Lync Server 2013 requer que todos os certificados do servidor ofereçam suporte a EKU (uso avançado de chave) para fins de autenticação de servidor.Lync Server 2013 requires all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. A configuração do campo de EKU para autenticação de servidor significa que o certificado é válido para fins de autenticação de servidores.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Esse EKU é essencial para o MTLS.This EKU is essential for MTLS. É possível ter mais de uma entrada no EKU, o que habilitará o certificado a mais de uma finalidade.It is possible to have more than one entry in the EKU, enabling the certificate for more than one purpose.

Observação

O EKU de Autenticação de Cliente é necessário para conexões MTLS de saída no Live Communications Server 2003 e Live Communications Server 2005, mas ele não é mais obrigatório. No entanto, esse EKU deve estar presente nos Servidores de Borda que se conectam ao AOL por meio da conectividade a redes públicas de mensagens instantâneas.The Client Authentication EKU is required for outbound MTLS connections from Live Communications Server 2003 and Live Communications Server 2005, but it is no longer required. However, this EKU must be present on Edge Servers that connect to AOL by means of public IM connectivity.