PKI (Public Key Infrastructure) für Lync Server 2010
Letztes Änderungsdatum des Themas: 2012-10-14
Microsoft Lync Server 2010 verwendet für die Serverauthentifizierung und zum Einrichten einer Vertrauenskette zwischen Clients und Servern sowie zwischen den unterschiedlichen Serverrollen Zertifikate. Die Public Key-Infrastruktur (PKI) von Windows Server 2008, Windows Server 2008 R2 und Windows Server 2003 stellt die Infrastruktur bereit, die zum Einrichten und Überprüfen dieser Vertrauenskette erforderlich ist.
Zertifikate sind digitale IDs. Sie identifizieren einen Server namentlich und geben seine Eigenschaften an. Damit die Gültigkeit der in einem Zertifikat enthaltenen Informationen sichergestellt werden kann, muss es von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt werden, die von den Clients oder anderen Servern mit Verbindung zum Server als vertrauenswürdig eingestuft wird. Wenn der Server nur mit Clients und Servern in einem privaten Netzwerk eine Verbindung herstellt, kann eine Unternehmenszertifizierungsstelle verwendet werden. Wenn der Server mit Entitäten außerhalb des privaten Netzwerks interagiert, ist möglicherweise eine öffentliche Zertifizierungsstelle erforderlich.
Selbst wenn das Zertifikat gültige Informationen enthält, muss überprüft werden können, ob es sich bei dem Server, der das Zertifikat vorlegt, auch tatsächlich um den Server handelt, für den das Zertifikat ausgestellt wurde. Hier kommt die Public Key-Infrastruktur von Windows ins Spiel.
Jedes Zertifikat ist mit einem öffentlichen Schlüssel verknüpft. Der im Zertifikat genannte Server verfügt über einen entsprechenden privaten Schlüssel, der nur dem Server bekannt ist. Ein Client oder Server, der eine Verbindung herstellt, verwendet den öffentlichen Schlüssel zum Verschlüsseln zufällig gewählter Informationen und sendet diese an den Server. Wenn der Server die Informationen entschlüsselt und im Nur-Text-Format zurücksendet, kann die Einheit, die eine Verbindung herstellt, sicher sein, dass der Server über den privaten Schlüssel für das Zertifikat verfügt und es sich somit um den im Zertifikat genannten Server handelt.
Hinweis: Nicht alle öffentlichen Zertifizierungsstellen erfüllen die Anforderungen für Lync Server 2010-Zertifikate. Sehen Sie am besten in der Liste der zertifizierten Anbieter für öffentliche Zertifizierungsstellen nach. Weitere Informationen dazu finden Sie im Microsoft Knowledge Base-Artikel 929395 zum Thema "Partner für Unified Communications-Zertifikate" unter https://support.microsoft.com/kb/929395/de-de.
Sperrlisten-Verteilungspunkte
In Lync Server 2010 müssen alle Serverzertifikate einen oder mehrere Verteilungspunkte für Zertifikatsperrlisten (Certificate Revocation List, CRL) enthalten. Verteilungspunkte für Zertifikatsperrlisten sind Speicherorte, von denen Zertifikatsperrlisten heruntergeladen werden können, um zu überprüfen, ob ein Zertifikat seit der letzten Ausstellung nicht gesperrt worden ist und ob es sich noch innerhalb der Gültigkeitsdauer befindet. Ein Verteilungspunkt für Zertifikatsperrlisten wird in den Eigenschaften des Zertifikats als URL angegeben. Normalerweise handelt es sich dabei um sicheres HTTP.
Erweiterte Schlüsselverwendung
In Lync Server 2010 müssen alle Serverzertifikate erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) zum Zwecke der Serverauthentifizierung unterstützen. Wenn Sie das EKU-Feld für die Serverauthentifizierung konfigurieren, bedeutet dies, dass das Zertifikat zum Authentifizieren von Servern gültig ist. Diese EKU ist für MTLS absolut erforderlich. Es kann mehr als ein Eintrag im EKU-Feld vorhanden sein. Damit wird das Zertifikat für mehrere Zwecke aktiviert.
.gif "note") Hinweis: |
|---|
| Die Clientauthentifizierungs-EKU ist für ausgehende MTLS-Verbindungen von Live Communications Server 2003 und Live Communications Server 2005 erforderlich, wird jetzt aber nicht mehr benötigt. Diese EKU muss jedoch auf Edgeservern vorhanden sein, die über öffentliche Instant Messaging-Dienste eine Verbindung zu AOL herstellen. |