Infrastructure à clé publique pour Lync Server 2010
Dernière rubrique modifiée : 2012-10-14
Microsoft Lync Server 2010 fait appel à des certificats pour authentifier les serveurs et établir une chaîne d’approbation entre les clients et les serveurs ainsi que parmi les divers rôles serveur. L’infrastructure à clé publique (PKI) Windows Server 2008, Windows Server 2008 R2 et Windows Server 2003 fournit l’infrastructure qui permet d’établir et de valider cette chaîne.
Les certificats sont des identifiants numériques. Ils identifient un serveur à l’aide de son nom et spécifient ses propriétés. Pour que les informations figurant dans un certificat soient valides, le certificat doit avoir été émis par une autorité de certification approuvée par les clients et les serveurs qui se connectent au serveur. Si le serveur se connecte uniquement à d’autres clients et serveurs sur un réseau privé, l’autorité de certification peut être une autorité de certification d’entreprise. Si le serveur communique avec des entités en dehors du réseau privé, une autorité de certification publique peut être nécessaire.
Même si les informations du certificat sont valides, il doit être possible de vérifier si le serveur soumettant le certificat est réellement celui qu’il représente. C’est à ce niveau qu’intervient l’infrastructure à clé publique Windows.
Chaque certificat est lié à une clé publique. Le serveur nommé dans le certificat détient une clé privée correspondante qu’il est le seul à connaître. Lorsqu’un client ou un serveur se connecte, il utilise la clé publique pour chiffrer une information aléatoire qu’il envoie au serveur. Si le serveur déchiffre les informations et les renvoie sous forme de texte simple, l’entité connectée est sûre que le serveur détient la clé privée du certificat et qu’il s’agit donc bien du serveur nommé dans le certificat.
Remarque : toutes les autorités de certification publiques ne se conforment pas aux exigences des certificats Lync Server 2010. Nous vous recommandons de vous reporter à la liste des fournisseurs d’autorités de certification publiques certifiées selon vos besoins de certificats publics. Pour plus d’informations, voir l’article 929395 de la Base de connaissances Microsoft, « Partenaires de certificat de communications unifiées » à l’adresse https://support.microsoft.com/kb/929395/fr-fr.
Points de distribution de liste de révocation de certificats (CRL)
Lync Server 2010 requiert que tous les certificats des serveurs contiennent un ou plusieurs points de distribution de liste de révocation de certificats (CRL). Il s’agit d’emplacements à partir desquels il est possible de télécharger des listes de révocation de certificats afin de vérifier si un certificat a été révoqué depuis son émission et s’il est toujours dans sa période de validité. Un point de distribution de liste de révocation de certificats figure dans les propriétés du certificat sous forme d’URL, généralement HTTP sécurisée.
Utilisation améliorée de la clé
Lync Server 2010 requiert que tous les certificats de serveur prennent en charge l’utilisation améliorée de la clé (EKU) à des fins d’authentification des serveurs. La configuration du champ EKU pour l’authentification de serveurs signifie que le certificat est valide pour l’authentification des serveurs. L’utilisation améliorée de la clé est essentielle pour MTLS. Le champ EKU peut contenir plusieurs entrées, ce qui permet d’activer le certificat à plusieurs fins.
.gif "note") Remarque : |
|---|
| L’EKU d’authentification client était requis pour les connexions MTLS sortantes provenant de Live Communications Server 2003 et Live Communications Server 2005, mais il n’est plus nécessaire. Toutefois, cet EKU doit figurer sur les serveurs de périphérie qui se connectent à AOL par le biais de la solution PIC. |