Инфраструктура открытых ключей в Skype для бизнеса Server 2015Public Key Infrastructure for Skype for Business Server 2015

Скайп для Business Server 2015 полагается на сертификаты для проверки подлинности сервера и для установления цепочка доверия между клиентами и серверами и различных ролей серверов.Skype for Business Server 2015 relies on certificates for server authentication and to establish a chain of trust between clients and servers and among the different server roles. Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008 открытого ключа инфраструктуры (PKI) предоставляет инфраструктуру для создания и проверки в этом цепочка доверия.The Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, and Windows Server 2008 Public Key Infrastructure (PKI) provides the infrastructure for establishing and validating this chain of trust.

Сертификаты представляют собой цифровые идентификаторы. Они определяют сервер по имени и указывают его свойства. Для обеспечения действительности сведений сертификата он должен быть выдан ЦС, которому доверяют подключенные к серверу клиенты и другие серверы. Если сервер подключается только к другим клиентам и серверам в частной сети, ЦС может являться корпоративным ЦС. Если сервер взаимодействует с объектами за пределами частной сети, может потребоваться общедоступный ЦС.Certificates are digital IDs. They identify a server by name and specify its properties. To ensure that the information on a certificate is valid, the certificate must be issued by a CA that is trusted by clients or other servers that connect to the server. If the server connects only with other clients and servers on a private network, the CA can be an enterprise CA. If the server interacts with entities outside the private network, a public CA might be required.

Даже при условии действительности сведений сертификата необходим способ проверки того, что представляющий сертификат сервер фактически является тем, который представлен сертификатом. Именно в этом случае используется Windows PKI.Even if the information on the certificate is valid, there must be some way to verify that the server presenting the certificate is actually the one represented by the certificate. This is where the Windows PKI comes in.

Каждый сертификат связан с открытым ключом. Сервер, который указан в сертификате, содержит соответствующий известный только ему закрытый ключ. Подключаемый клиент или сервер использует открытый ключ для шифрования произвольной части сведений и отправляет его на сервер. Если сервер расшифровывает эти сведения и возвращает их в виде обычного текста, подключаемый объект может быть уверен в том, что сервер содержит закрытый ключ для сертификата и, следовательно, является указанным в сертификате сервером.Each certificate is linked to a public key. The server named on the certificate holds a corresponding private key that only it knows. A connecting client or server uses the public key to encrypt a random piece of information and sends it to the server. If the server decrypts the information and returns it as plain text, the connecting entity can be sure that the server holds the private key to the certificate and therefore is the server named on the certificate.

Примечание

Не все общедоступные сервера клиентского доступа выполните требования к Скайп сертификатов Business Server 2015.Not all public CAs comply with the requirements of Skype for Business Server 2015 certificates. Мы рекомендуем ознакомиться со списком сертифицированных поставщиков общедоступных ЦС для получения сведений о требованиях общих сертификатов.We recommend that you refer to the listing of certified Public CA vendors for your public certificate needs. Дополнительные сведения см Объединенных коммуникаций сертификат партнеров.For details, see Unified Communications Certificate Partners.

Точки распространения списка отзыва сертификатов (CRL)CRL Distribution Points

Скайп для Business Server 2015 требуется все сертификаты серверов и содержит один или несколько точек распространения списка отзыва сертификатов (CRL).Skype for Business Server 2015 requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Точки распространения списка отзыва сертификатов (CDP) представляют собой местоположения, из которых можно загрузить CRL для проверки того, что сертификат не был отозван с момента выдачи и его срок действия не истек.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Точка распространения списка отзыва сертификатов CRL указывается в свойствах сертификата в виде URL-адреса и обычно является безопасным протоколом HTTP.A CRL distribution point is noted in the properties of the certificate as a URL, and is typically secure HTTP.

Расширенное использование ключаEnhanced Key Usage

Скайп для Business Server 2015 требуется все сертификаты серверов для поддержки расширенного использования ключа (EKU) для проверки подлинности сервера.Skype for Business Server 2015 requires all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. Настройка поля EKU для проверки подлинности сервера означает, что сертификат действителен для проверки подлинности сервера.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Использование EKU важно для MTLS.This EKU is essential for MTLS. Можно иметь более одной записи в EKU, что позволяет использовать сертификат в нескольких целях.It is possible to have more than one entry in the EKU, enabling the certificate for more than one purpose.