Протоколы TLS и MTLS для Skype для бизнеса Server 2015TLS and MTLS for Skype for Business Server 2015

Протоколы TLS и MTLS предоставляют зашифрованный обмен данными и проверку подлинности конечной точки в Интернете.Transport Layer Security (TLS) and Mutual Transport Layer Security (MTLS) protocols provide encrypted communications and endpoint authentication on the Internet. Скайп для Business Server 2015 с помощью этих двух протоколов для создания сети доверенные серверы и убедитесь, что все данные с сетью зашифрованные.Skype for Business Server 2015 uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Весь обмен данными по протоколу SIP между серверами происходит по протоколу MTLS.All SIP communications between servers occur over MTLS. Обмен данными по протоколу SIP от клиента к серверу выполняется по протоколу TLS.SIP communications from client to server occur over TLS.

TLS позволяет пользователям через их клиентское программное обеспечение для проверки подлинности Скайп для серверов Business Server 2015, к которым они подключаются.TLS enables users, through their client software, to authenticate the Skype for Business Server 2015 servers to which they connect. При подключении по протоколу TLS клиент запрашивает от сервера действительный сертификат.On a TLS connection, the client requests a valid certificate from the server. Чтобы сертификат был действительным, он должен быть выдан ЦС, который также является доверенным объектом клиента, а имя DNS должно соответствовать имени сертификата.To be valid, the certificate must have been issued by a CA that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Если сертификат действительный, клиент использует открытый ключ в сертификате для шифрования симметричных ключей шифрования, которые будут использоваться для обмена данными, поэтому только исходный владелец сертификата может использовать закрытый ключ для шифрования содержимого сеанса обмена данными.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. Результатом является доверенное подключение, которое после этого уже не проверяется другими доверенными серверами или клиентами.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients. В рамках этого контекста протокол SSL, используемый веб-службами, может быть связан как протокол на базе TLS.Within this context, Secure Sockets Layer (SSL) as used with Web services can be associated as TLS-based.

Для подключений типа "сервер-сервер" используется протокол MTLS для взаимной проверки подлинности.Server-to-server connections rely on MTLS for mutual authentication. В подключениях по протоколу MTLS создавший сообщение сервер и сервер, который получает его, обмениваются сертификатами из ЦС со взаимным доверием.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Сертификаты подтверждают идентичность каждого из серверов с другим.The certificates prove the identity of each server to the other. В Скайп для развертываний Business Server 2015 сертификаты, выданные ЦС предприятия, во время их допустимости период, а не отозван ЦС автоматически считаются действительными для всех внутренних клиентов и серверов так как все члены активного Домен Directory доверия ЦС предприятия в этом домене.In Skype for Business Server 2015 deployments, certificates issued by the enterprise CA that are during their validity period and not revoked by the issuing CA are automatically considered valid by all internal clients and servers because all members of an Active Directory domain trust the Enterprise CA in that domain. В федеративных сценариях оба федеративных партнера должны доверять выдающему ЦС.In federated scenarios, the issuing CA must be trusted by both federated partners. Каждый партнер может использовать разные ЦС (при необходимости), пока другой партнер доверяет этому ЦС.Each partner can use a different CA, if desired, so long as that CA is also trusted by the other partner. Этого отношения доверия с проще всего с пограничных серверов, создавая партнера корневого центра сертификации в их доверенные корневые центры сертификации, или с помощью стороннего центра сертификации, который является доверенным обе стороны.This trust is most easily accomplished by the Edge Servers having the partner's root CA certificate in their trusted root CAs, or by use of a third-party CA that is trusted by both parties.

Протокол TLS и MTLS предотвратить подслушивания и человек в средней атаки.TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. В середине атаке злоумышленник перенаправляет связи между двумя сущностями сети через компьютер его без знания по любой из сторон.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. Протокол TLS и Скайп для спецификации Business Server 2015 доверенных серверов (только указанные в построителе топологий) снизить риск человек в средней атаки частично на уровне приложения с помощью координированное с помощью открытого ключа шифрования начала до конца криптографии между двумя конечными точками и он должен иметь сертификат доверенного с соответствующий закрытый ключ и выдается имя службы, к которому клиент подключается для расшифровки обмена данными.TLS and Skype for Business Server 2015 specification of trusted servers (only those specified in Topology Builder) mitigate the risk of a man-in-the middle attack partially on the application layer by using end-to-end encryption coordinated using the Public Key cryptography between the two endpoints, and an attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication. В конечном счете вам необходимо выполнить, рекомендации по обеспечению безопасности с инфраструктурой сети (в данном случае DNS-сервер организации).Ultimately, however, you must follow best security practices with your networking infrastructure (in this case corporate DNS). Скайп для Business Server 2015 предполагается, что так же, как контроллеров домена и глобальных каталогов являются доверенными, что DNS обеспечения надежной защиты против атак захват DNS, предотвращая отвечать на запросы на свой сервер является доверенным DNS-сервера успешно на запрос к имени подложный.Skype for Business Server 2015 assumes that the DNS server is trusted in the same way that domain controllers and global catalogs are trusted, but DNS does provide a level of safeguard against DNS hijack attacks by preventing an attacker's server from responding successfully to a request to the spoofed name.