Инфраструктура открытых ключей для Lync Server 2013
Последнее изменение раздела: 2013-11-13
Microsoft Lync Server 2013 использует сертификаты для проверки подлинности сервера и устанавливает цепочку доверия между клиентами и серверами, а также между разными ролями сервера. Инфраструктура Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 и инфраструктуры открытых ключей Windows Server 2003 предоставляет инфраструктуру для установления и проверки этой цепочки доверия.
Сертификаты представляют собой цифровые идентификаторы. Они определяют сервер по имени и указывают его свойства. Для обеспечения действительности сведений сертификата он должен быть выдан ЦС, которому доверяют подключенные к серверу клиенты и другие серверы. Если сервер подключается только к другим клиентам и серверам в частной сети, ЦС может являться корпоративным ЦС. Если сервер взаимодействует с объектами за пределами частной сети, может потребоваться общедоступный ЦС.
Даже при условии действительности сведений сертификата необходим способ проверки того, что представляющий сертификат сервер фактически является тем, который представлен сертификатом. Именно в этом случае используется Windows PKI.
Каждый сертификат связан с открытым ключом. Сервер, который указан в сертификате, содержит соответствующий известный только ему закрытый ключ. Подключаемый клиент или сервер использует открытый ключ для шифрования произвольной части сведений и отправляет его на сервер. Если сервер расшифровывает эти сведения и возвращает их в виде обычного текста, подключаемый объект может быть уверен в том, что сервер содержит закрытый ключ для сертификата и, следовательно, является указанным в сертификате сервером.
Примечание.
Не все общедоступные ЦС соответствуют требованиям сертификатов Lync Server 2013. Мы рекомендуем ознакомиться со списком сертифицированных поставщиков общедоступных ЦС для получения сведений о требованиях общих сертификатов. Дополнительные сведения см. в разделе "Партнеры по сертификатам unified Communications" по адресу https://go.microsoft.com/fwlink/p/?LinkId=140898.
Точки распространения CRL
Lync Server 2013 требует, чтобы все сертификаты сервера содержали одну или несколько точек распространения списка отзыва сертификатов (CRL). Точки распространения списка отзыва сертификатов (CDP) представляют собой местоположения, из которых можно загрузить CRL для проверки того, что сертификат не был отозван с момента выдачи и его срок действия не истек. Точка распространения списка отзыва сертификатов CRL указывается в свойствах сертификата в виде URL-адреса и обычно является безопасным протоколом HTTP.
Расширенное использование ключа
Lync Server 2013 требует, чтобы все сертификаты сервера поддерживают расширенное использование ключей (EKU) для проверки подлинности сервера. Настройка поля EKU для проверки подлинности сервера означает, что сертификат действителен для проверки подлинности сервера. Использование EKU важно для MTLS. Можно иметь более одной записи в EKU, что позволяет использовать сертификат в нескольких целях.
Примечание.
EKU проверки подлинности клиента требуется для исходящих подключений MTLS из Live Communications Server 2003 и Live Communications Server 2005, но больше не требуется. Однако этот EKU должен присутствовать на пограничных серверах, которые подключаются к AOL с помощью общедоступного обмена мгновенными сообщениями.