Инфраструктура открытого ключа для Lync Server 2013Public Key Infrastructure for Lync Server 2013

 

Последнее изменение темы: 2013-11-13Topic Last Modified: 2013-11-13

Microsoft Lync Server 2013 использует сертификаты для проверки подлинности сервера и для создания цепочки доверия между клиентами и серверами и между разными ролями сервера.Microsoft Lync Server 2013 relies on certificates for server authentication and to establish a chain of trust between clients and servers and among the different server roles. Инфраструктура открытых ключей (PKI) Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 и Windows Server 2003 (PKI) предоставляет инфраструктуру для установки и проверки этой цепи доверия.The Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, and Windows Server 2003 Public Key Infrastructure (PKI) provides the infrastructure for establishing and validating this chain of trust.

Сертификаты представляют собой цифровые идентификаторы.Certificates are digital IDs. Они идентифицируют сервер по имени и указывают его свойства.They identify a server by name and specify its properties. Чтобы убедиться, что информация в сертификате действительна, сертификат должен быть выдан центром сертификации, который является доверенным для клиентов или других серверов, подключающихся к серверу.To ensure that the information on a certificate is valid, the certificate must be issued by a CA that is trusted by clients or other servers that connect to the server. Если сервер подключается только к другим клиентам и серверам в частной сети, ЦС может быть центром сертификации предприятия.If the server connects only with other clients and servers on a private network, the CA can be an enterprise CA. Если сервер взаимодействует с объектами, находящимися за прев частной сети, может потребоваться общедоступный центр сертификации.If the server interacts with entities outside the private network, a public CA might be required.

Даже если сведения о сертификате действительны, должен быть, чтобы убедиться, что сервер, на котором представлен сертификат, фактически является сертификатом.Even if the information on the certificate is valid, there must be some way to verify that the server presenting the certificate is actually the one represented by the certificate. Именно здесь идет инфраструктура PKI Windows.This is where the Windows PKI comes in.

Каждый сертификат связан с открытым ключом.Each certificate is linked to a public key. Сервер, указанный в сертификате, содержит соответствующий закрытый ключ, который известен только ему.The server named on the certificate holds a corresponding private key that only it knows. Подключаемый клиент или сервер использует открытый ключ для шифрования произвольного фрагмента данных и отправляет его на сервер.A connecting client or server uses the public key to encrypt a random piece of information and sends it to the server. Если сервер расшифровывает данные и возвращает их в виде обычного текста, подключаемый объект может быть уверен, что сервер содержит закрытый ключ для сертификата, и поэтому это сервер, указанный в сертификате.If the server decrypts the information and returns it as plain text, the connecting entity can be sure that the server holds the private key to the certificate and therefore is the server named on the certificate.

Примечание

Не все общедоступные ЦС соответствуют требованиям Lync Server 2013 Certificates.Not all public CAs comply with the requirements of Lync Server 2013 certificates. Мы рекомендуем ознакомиться со списком сертифицированных поставщиков общедоступных центров сертификации для удовлетворения потребностей общедоступных сертификатов.We recommend that you refer to the listing of certified Public CA vendors for your public certificate needs. Для получения дополнительных сведений обратитесь к партнерам по сертификации Объединенных коммуникаций https://go.microsoft.com/fwlink/p/?LinkId=140898 .For details, see Unified Communications Certificate Partners at https://go.microsoft.com/fwlink/p/?LinkId=140898.

Точки распространения списка отзыва сертификатовCRL Distribution Points

Для Lync Server 2013 требуется, чтобы все сертификаты сервера содержали одну или несколько точек распространения списков отзыва сертификатов (CRL).Lync Server 2013 requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Точки распространения списков отзыва сертификатов (CDP) — это расположения, из которых можно скачать списки отзыва сертификатов для проверки того, что сертификат не был отозван с момента его выпуска, а сертификат все еще находится в пределах срока действия.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Точка распространения списка отзыва сертификатов указана в свойствах сертификата как URL-адрес, и обычно это безопасный HTTP.A CRL distribution point is noted in the properties of the certificate as a URL, and is typically secure HTTP.

Расширенное использование ключаEnhanced Key Usage

Lync Server 2013 требует, чтобы все сертификаты сервера поддерживали расширенное использование ключа (EKU) в целях проверки подлинности сервера.Lync Server 2013 requires all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. Настройка поля EKU для проверки подлинности сервера означает, что сертификат действителен в целях проверки подлинности серверов.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Это EKU важно для MTLS.This EKU is essential for MTLS. В EKU может быть несколько записей, что позволяет использовать сертификаты для нескольких целей.It is possible to have more than one entry in the EKU, enabling the certificate for more than one purpose.

Примечание

Для исходящих подключений MTLS от Live Communications Server 2003 и Live Communications Server 2005 необходим EKU проверки подлинности клиента, но он больше не нужен.The Client Authentication EKU is required for outbound MTLS connections from Live Communications Server 2003 and Live Communications Server 2005, but it is no longer required. Однако это EKU должно присутствовать на пограничных серверах, которые подключаются к AOL с помощью общедоступной службы обмена мгновенными сообщениями.However, this EKU must be present on Edge Servers that connect to AOL by means of public IM connectivity.