Lync Phone Edition の証明書
トピックの最終更新日: 2014-01-07
Lync Server は、サーバーの認証と、クライアントとサーバー間および異なるサーバー役割間の信頼チェーンの確立に証明書を使用します。Windows Server オペレーティング システムは、この信頼チェーンを確立および検証するためのインフラストラクチャを提供します。
証明書とはデジタル ID です。証明書は、名前によってサーバーを識別し、そのプロパティを指定します。 証明書の情報が有効であることを確認するには、サーバーに接続するクライアントやその他のサーバーが信頼する証明機関 (CA) から証明書が発行されていることが必要です。 サーバーがプライベート ネットワーク上の他のクライアントおよびサーバーとのみ接続する場合は、CA はエンタープライズ CA で問題ありません。 サーバーがプライベート ネットワーク外のエンティティと対話する場合は、パブリック CA が必要な場合があります。
証明書の情報が有効であっても、証明書を提示しているサーバーが、実際に証明書によって提示されているサーバーであることを確認する手段が必要です。 ここで Windows 公開キー基盤 (PKI) が役立ちます。
各証明書は、公開キーにリンクされています。証明書で名前が指定されているサーバーには、そのサーバーのみが知る、対応する秘密キーがあります。接続しようとしているクライアントまたはサーバーは、公開キーを使用して無作為な情報の断片を暗号化し、それをサーバーに送信します。 サーバーがその情報の暗号化を解除し、プレーン テキストに戻すと、接続しようとしているエンティティは、証明書の秘密キーをサーバーが保持していること、つまり、そのサーバーが証明書で指定されていることが確認できます。
Lync Phone Edition のルート CA 証明書
Lync Phone Edition と Lync Server の間の通信は、既定ではトランスポート層セキュリティ (TLS) とセキュア リアルタイム転送プロトコル (SRTP) を使用して暗号化されます。このため、Lync Phone Edition を実行するデバイスは、Lync Server が提示する証明書を信頼する必要があります。デバイスには Windows CE と同じ信頼された CA のリストが含まれているため、Lync Server を実行しているコンピューターがパブリック証明書を使用していれば、デバイスはほとんどの場合、そのサーバーを自動的に信頼します。ただし、ほとんどの Lync Server の展開では、内部の Lync Server サーバーの役割に内部証明書を使用するため、内部 CA からのルート CA 証明書をデバイスにインストールする必要があります。ルート CA 証明書はデバイスに手動でインストールできないため、ネットワークから取得する必要があります。Lync Phone Edition では、2 つの方法で証明書をダウンロードできます。
まず、デバイスが certificationAuthority というカテゴリの Active Directory ドメイン サービス (AD DS) オブジェクトを検索するという方法があります。 検索でオブジェクトが戻されると、デバイスは caCertificate という属性を使用します。 その属性は証明書を保持しているものと見なされ、デバイスがその証明書をインストールします。
ルート CA 証明書は、Lync Phone Edition の caCertificate で発行する必要があります。 caCertificate 属性にルート CA 証明書を追加するには、次のコマンドを使用します。
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
カテゴリ certificationAuthority の Active Directory オブジェクトの検索でオブジェクトが戻されない場合や、戻されたオブジェクトの caCertificate 属性が空である場合、デバイスは、構成名前付けコンテキストでカテゴリ pKIEnrollmentService の Active Directory オブジェクトを検索します。 このようなオブジェクトは、Active Directory で証明書の自動登録が有効になっている場合に存在します。 検索でオブジェクトが戻されると、デバイスは戻された dNSHostName 属性を使用して CA を参照し、Windows 証明書サービスの Web インターフェイスを使用して、次の HTTP get- コマンドでルート CA 証明書を取得します。
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
以上のどちらの方法も成功しないと、デバイスに "サーバー証明書を検証できません" というエラー メッセージが表示され、ユーザーはこの証明書を使用できません。
Lync Phone Edition に証明書を発行するための考慮事項
以下は、証明書を Lync Phone Edition に発行する場合の注意事項の一覧です。
既定では、Lync Phone Edition は TLS と SRTP を使用します。これには次の条件が必要です。
- Lync Server と Microsoft Exchange Server が信頼証明書を提示する。
- ルート CA チェーンの証明書がデバイスにある。
証明書をデバイスに手動でインストールすることはできません。
以下を実行するには、オプションを設定してください。
- パブリック証明書を使用する。
- パブリック証明書をデバイスにプリロードする。
- 組織の証明書を使用する。
- ネットワークからルート CA チェーンを受け取る。
組織のルート CA チェーンの検索
Lync Phone Edition では、AD DS 内の PKI 自動登録オブジェクトまたは既知の識別名 (DN) を使用して証明書を検索できます。 詳細は次のとおりです。
組織の CA を使用して PKI 自動登録を有効にするため、デバイスはライトウェイト ディレクトリ アクセス プロトコル (LDAP) 要求を出して pKIEnrollmentService/CA サーバー アドレスを検索し、最終的にユーザーの資格情報で Windows CA /certsrv サイトに対して HTTP を使用し、証明書をダウンロードします。
certutil -f -dspublish “.cer file location" ルート CA を使用して構成 NC に証明書をアップロードするには、次の DN を使用します。
Cn=Certificate Authorities, cn=Public Key Services, CN=Services, cn=Configuration, dc=<AD ドメイン>
.gif "note") 注: |
|---|
| LDAP 要求は、BaseDN: CN=Configuration, dc= <ドメイン> Filter: (objectCategory=pKIEnrollmentService) で、属性の検索は dNSHostname です。 デバイスは、HTTP get- command http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64 を使用して証明書をダウンロードします。 |
信頼された機関のキャッシュ
次の表は、Lync Phone Edition が信頼するパブリック証明書です。
信頼されたパブリック証明書
| ベンダー | 証明書の名前 | 有効期限 | キーの長さ |
|---|---|---|---|
Comodo |
AAA Certificate Services |
12/31/2028 |
2048 |
Comodo |
AddTrust External CA Root |
5/30/2020 |
2048 |
CyberTrust |
Baltimore CyberTrust Root |
5/12/2025 |
2048 |
CyberTrust |
GTE CyberTrust Global Root |
8/13/2018 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
8/1/2028 |
1024 |
VeriSign |
Thawte Premium Server CA |
12/31/2020 |
1024 |
VeriSign |
Thawte Server CA |
12/31/2020 |
1024 |
VeriSign |
Class 3 Public Primary Certification Authority |
8/1/2028 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
12/24/2019 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
5/25/2019 |
1024 |
Entrust |
Entrust Root Certification Authority |
11/27/2026 |
2048 |
Entrust |
Entrust.net Certification Authority (2048) |
7/24/2029 |
2048 |
Equifax |
Equifax Secure Certificate Authority |
8/22/2018 |
1024 |
GeoTrust |
GeoTrust Global CA |
5/20/2022 |
2048 |
Go Daddy |
Go Daddy Class 2 Certification Authority |
6/29/2034 |
2048 |
Go Daddy |
http://www.valicert.com/ |
6/25/2019 |
1024 |
Go Daddy |
Starfield Class 2 Certification Authority |
6/29/2034 |
2048 |
DigiCert Inc. |
DigiCert Assured ID Root CA |
11/9/2031 |
2048 |
DigiCert Inc. |
DigiCert Global Root CA |
11/9/2031 |
2048 |
DigiCert Inc. |
DigiCert High Assurance EV Root CA |
11/9/2031 |
2048 |