TLS und MTLS für Lync Server 2010

Letztes Änderungsdatum des Themas: 2011-05-02

Die Protokolle TLS und MTLS bieten verschlüsselte Kommunikation und Endpunktauthentifizierung im Internet. Microsoft Lync Server 2010 verwendet diese beiden Protokolle für die Erstellung des Netzwerks vertrauenswürdiger Server und die Verschlüsselung der gesamten Netzwerkkommunikation. Die gesamte SIP-Kommunikation zwischen den Servern erfolgt über MTLS. Die SIP-Kommunikation von Client zu Server erfolgt über TLS.

Mit TLS können die Benutzer die Lync Server 2010-Server, mit denen sie sich verbinden, über ihre Clientsoftware authentifizieren. Bei einer TLS-Verbindung fordert der Client ein gültiges Zertifikat vom Server an. Ein gültiges Zertifikat muss von einer auch für den Client vertrauenswürdigen Zertifizierungsstelle ausgegeben worden sein, und der DNS-Name des Servers muss mit dem DNS-Namen des Zertifikats übereinstimmen. Wenn das Zertifikat gültig ist, verwendet der Client den öffentlichen Schlüssel im Zertifikat, um die symmetrischen Verschlüsselungsschlüssel zu verschlüsseln, die zur Kommunikation verwendet werden sollen, damit nur der ursprüngliche Besitzer des Zertifikats den privaten Schlüssel zum Entschlüsseln der Kommunikationsinhalte verwenden kann. Die daraus resultierende Verbindung ist vertrauenswürdig, und im weiteren Verlauf wird keine Authentifizierung von anderen vertrauenswürdigen Servern oder Clients angefordert. In diesem Zusammenhang kann Secure Sockets Layer (SSL) bei der Verwendung mit Webdiensten auf TLS-Basis zugeordnet werden.

Server-zu-Server-Verbindungen basieren hinsichtlich der gegenseitigen Authentifizierung auf Mutual TLS (MTLS). Bei einer MTLS-Verbindung tauschen der Server, der eine Nachricht sendet, und der Server, der diese empfängt, Zertifikate von einer für beide Server vertrauenswürdigen Zertifizierungsstelle aus. Die Zertifikate belegen die Identität der einzelnen Server gegenüber den anderen. In Bereitstellungen von Lync Server 2010 werden alle Zertifikate von allen Clients und Servern automatisch als gültig betrachtet, die von der Unternehmenszertifizierungsstelle ausgegeben werden, sich im Gültigkeitszeitraum befinden und nicht von der ausstellenden Zertifizierungsstelle gesperrt werden, da alle Mitglieder einer Active Directory-Domäne der Zertifizierungsstelle im Unternehmen in dieser Domäne vertrauen. Bei Föderationspartnern muss die ausstellende Zertifizierungsstelle von beiden Partnern als vertrauenswürdig anerkannt werden. Jeder Partner kann auf Wunsch eine andere Zertifizierungsstelle verwenden, solange diese auch vom anderen Partner als vertrauenswürdig eingestuft wird. Dieses Vertrauen wird sehr einfach dadurch erzielt, dass sich das Zertifikat der Stammzertifizierungsstelle des Partners unter den vertrauenswürdigen Stammzertifizierungsstellen des Edgeservers befindet. Alternativ kann auch die Zertifizierungsstelle eines Drittanbieters verwendet werden, die von beiden Parteien als vertrauenswürdig eingestuft wird.

TLS und MTLS tragen zur Vermeidung von Abhör- und Man-in-the-Middle-Angriffen bei. Bei einem Man-in-the-Middle-Angriff leitet der Angreifer die Kommunikation zwischen zwei Netzwerkentitäten ohne Wissen der Kommunikationspartner über seinen Computer. Die Angabe von Servern, die von TLS und Lync Server 2010 als vertrauenswürdig eingestuft werden (nur die in Topologie-Generator angegebenen) mildern zum Teil das Risiko eines Man-in-the-Middle-Angriffs auf Anwendungsebene durch die Verwendung von End-to-End-Verschlüsselung, die mithilfe der Verschlüsselung mit öffentlichem Schlüssel zwischen zwei Endpunkten koordiniert wurde. Zum Entschlüsseln der Kommunikation müsste ein Angreifer über ein gültiges und vertrauenswürdiges Zertifikat mit dem entsprechenden privaten Schlüssel verfügen, das auf den Namen des Diensts ausgestellt ist, mit dem der Client kommuniziert. Letztendlich müssen Sie jedoch die besten Sicherheitsverfahren in Ihrer Netzwerkinfrastruktur anwenden (in diesem Fall Firmen-DNS). Lync Server 2010 setzt voraus, dass der DNS-Server ebenso vertrauenswürdig ist wie Domänencontroller und globale Kataloge. DNS bieten jedoch Schutz gegen DNS-Hijack-Angriffe, indem verhindert wird, dass der Server eines Angreifers erfolgreich auf die Anfrage an den unzulässigen Namen antwortet.

In der folgenden Abbildung sehen Sie auf allgemeiner Ebene, wie Lync Server 2010 mithilfe von MTLS ein Netzwerk vertrauenswürdiger Server erstellt.

Vertrauenswürdige Verbindungen in einem Lync Server-Netzwerk