Zertifikate für Lync Phone Edition

Lync Server 2010
 

Letztes Änderungsdatum des Themas: 2014-01-07

Lync Server stützt sich für die Serverauthentifizierung und zum Einrichten einer Vertrauenskette zwischen Clients und Servern sowie zwischen den unterschiedlichen Serverrollen auf Zertifikate. Das Windows Server-Betriebssystem stellt die Infrastruktur bereit, die zum Einrichten und Überprüfen dieser Vertrauenskette erforderlich ist.

Zertifikate sind digitale IDs. Sie identifizieren einen Server namentlich und geben seine Eigenschaften an. Damit die Gültigkeit der in einem Zertifikat enthaltenen Informationen sichergestellt werden kann, muss es von einer Zertifizierungsstelle ausgestellt werden, die von den Clients oder anderen Servern mit Verbindung zum Server als vertrauenswürdig eingestuft wird. Wenn der Server nur mit Clients und Servern in einem privaten Netzwerk eine Verbindung herstellt, kann eine Unternehmenszertifizierungsstelle verwendet werden. Wenn der Server mit Entitäten außerhalb des privaten Netzwerks interagiert, ist möglicherweise eine öffentliche Zertifizierungsstelle erforderlich.

Selbst wenn das Zertifikat gültige Informationen enthält, muss überprüft werden können, dass es sich bei dem Server, der das Zertifikat vorlegt, auch tatsächlich um den Server handelt, für den das Zertifikat ausgestellt wurde. Hier kommt die Public Key-Infrastruktur (PKI) von Windows ins Spiel.

Jedes Zertifikat ist mit einem öffentlichen Schlüssel verknüpft. Der im Zertifikat genannte Server verfügt über einen entsprechenden privaten Schlüssel, der nur dem Server bekannt ist. Ein Client oder Server, der eine Verbindung herstellt, verwendet den öffentlichen Schlüssel zum Verschlüsseln zufällig gewählter Informationen und sendet diese an den Server. Wenn der Server die Informationen entschlüsselt und im Nur-Text-Format zurücksendet, kann die Einheit, die eine Verbindung herstellt, sicher sein, dass der Server über den privaten Schlüssel für das Zertifikat verfügt und es sich somit um den im Zertifikat genannten Server handelt.

Die Kommunikation zwischen Lync Server und Lync Phone Edition wird standardmäßig mit dem TLS-Protokoll (Transport Layer Security) und SRTP (Secure Real-Time Transport Protocol) verschlüsselt. Aus diesem Grund muss das Gerät, auf dem Lync Phone Edition ausgeführt wird, die von Lync Server vorgelegten Zertifikate als vertrauenswürdig einstufen. Wenn Computer mit Lync Server öffentliche Zertifikate verwenden, werden diese vom Gerät höchstwahrscheinlich automatisch als vertrauenswürdig erkannt, da das Gerät dieselbe Liste vertrauenswürdiger Zertifizierungsstellen verwendet wie Windows CE. Da jedoch in den meisten Lync Server-Bereitstellungen für die internen Lync Server-Serverrollen interne Zertifikate verwendet werden, muss das Zertifikat der Stammzertifizierungsstelle von der internen Zertifizierungsstelle auf dem Gerät installiert werden. Es ist nicht möglich, das Zertifikat der Stammzertifizierungsstelle manuell auf dem Gerät zu installieren, es muss über das Netzwerk bereitgestellt werden. Lync Phone Edition kann das Zertifikat über zwei Methoden herunterladen.

Bei der ersten Methode sucht das Gerät nach Objekten in Active Directory-Domänendienste (AD DS), die die Kategorie "certificationAuthority" aufweisen. Wenn bei der Suche Objekte zurückgegeben werden, verwendet das Gerät das Attribut "caCertificate". Dieses Attribut enthält das Zertifikat, das anschließend vom Gerät installiert wird.

Für Lync Phone Edition muss das Zertifikat der Stammzertifizierungsstelle im Attribut "caCertificate" veröffentlicht werden. Verwenden Sie den folgenden Befehl, um das Zertifikat der Stammzertifizierungsstelle dem Attribut "caCertificate" hinzuzufügen:

certutil -f -dspublish <Root CA certificate in .cer file> RootCA

Falls bei der Suche nach Active Directory-Objekten der Kategorie "CertificationAuthority" keine Objekte zurückgegeben werden oder die Attribute "caCertificate" der Objekte leer sind, wird nach Active Directory-Objekten der Kategorie "pKIEnrollmentService" im Namenskontext für die Konfiguration gesucht. Diese Objekte sind vorhanden, wenn die automatische Registrierung von Zertifikaten in Active Directory aktiviert ist. Wenn die Suche Objekte zurückgibt, wird das zurückgegebene Attribut "dNSHostName" für den Verweis auf die Zertifizierungsstelle verwendet. Anschließend wird die Weboberfläche der Windows-Zertifikatsdienste zum Abrufen des Zertifikats der Stammzertifizierungsstelle mithilfe des HTTP GET-Befehls verwendet:

http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64

Wenn keine dieser Methoden erfolgreich ist, meldet das Gerät in einer Fehlermeldung, dass die Überprüfung des Serverzertifikats nicht möglich ist, und der Benutzer kann das Zertifikat nicht verwenden.

Die folgende Liste enthält Punkte, die bei der Ausstellung von Zertifikaten für Lync Phone Edition zu berücksichtigen sind:

  • Standardmäßig verwendet Lync Phone Edition die Protokolle TLS und SRTP, für die folgende Voraussetzungen gelten:

    – Durch Lync Server und Microsoft Exchange Server müssen vertrauenswürdige Zertifikate vorgelegt werden.

    – Das Zertifikat der Stammzertifizierungsstelle befindet sich auf dem Gerät.

  • Sie können Zertifikate nicht manuell auf dem Gerät installieren.

  • Legen Sie Optionen für folgende Aufgaben fest:

    – Verwendung von öffentlichen Zertifikaten

    – Vorinstallation der öffentlichen Zertifikate auf dem Gerät

    – Verwendung von Unternehmenszertifikaten

    – Empfang der Stammzertifizierungsstellen-Kette über das Netzwerk

Lync Phone Edition kann das Zertifikat entweder über das PKI-Objekt für die automatische Registrierung in den Active Directory-Domänendiensten (AD DS) oder über einen bekannten Distinguished Name (DN) ermitteln. Nachstehend finden Sie weitere Informationen:

  • Zum Aktivieren der automatischen PKI-Registrierung unter Verwendung der Organisationszertifizierungsstelle sendet das Gerät eine LDAP-Anforderung (Lightweight Directory Access Protocol) zum Ermitteln der Adresse von pKIEnrollmentService/Zertifizierungsstellenserver und lädt anschließend unter Verwendung der Benutzeranmeldeinformationen das Zertifikat über HTTP auf die Windows-Zertifizierungsstelle/certsrv-Site herunter.

  • Zur Verwendung des Befehls "certutil -f -dspublish 'Speicherort CER-Datei' root CA" zum Hochladen von Zertikaten in den Konfigurationsnamenskontext verwenden Sie den folgenden DN:

    Cn=Certificate Authorities, cn=Public Key Services, CN=Services, cn=Configuration, dc=<AD-Domäne>

noteHinweis:
Die LDAP-Abfrage lautet "BaseDN: CN=Configuration, dc= <Domäne> Filter: (objectCategory=pKIEnrollmentService)", und das gesuchte Attribut ist "dNSHostname". Beachten Sie, dass das Gerät zum Herunterladen des Zertifikats "HTTP get- command http://<DSN-Hostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64" verwendet.

In der folgenden Tabelle werden die öffentlichen Zertifikate aufgeführt, die Lync Phone Edition als vertrauenswürdig einstuft.

Als vertrauenswürdig eingestufte öffentliche Zertifikate

Hersteller Zertifikatname Ablaufdatum Schlüssellänge

Comodo

AAA Certificate Services

31.12.2028

2048

Comodo

AddTrust External CA Root

30.05.2020

2048

CyberTrust

Baltimore CyberTrust Root

12.05.2025

2048

CyberTrust

GTE CyberTrust Global Root

13.08.2018

1024

VeriSign

Class 2 Public Primary Certification Authority

01.08.2028

1024

VeriSign

Thawte Premium Server CA

31.12.2020

1024

VeriSign

Thawte Server CA

31.12.2020

1024

VeriSign

Class 3 Public Primary Certification Authority

01.08.2028

1024

Entrust

Entrust.net Certification Authority (2048)

24.12.2019

2048

Entrust

Entrust.net Secure Server Certification Authority

25.05.2019

1024

Entrust

Entrust Root Certification Authority

27.11.2026

2048

Entrust

Entrust.net Certification Authority (2048)

24.07.2029

2048

Equifax

Equifax Secure Certificate Authority

22.08.2018

1024

GeoTrust

GeoTrust Global CA

20.05.2022

2048

Go Daddy

Go Daddy Class 2 Certification Authority

29.06.2034

2048

Go Daddy

http://www.valicert.com/

25.06.2019

1024

Go Daddy

Starfield Class 2 Certification Authority

29.06.2034

2048

DigiCert Inc.

DigiCert Assured ID Root CA

09.11.2031

2048

DigiCert Inc.

DigiCert Global Root CA

09.11.2031

2048

DigiCert Inc.

DigiCert High Assurance EV Root CA

09.11.2031

2048

 
Anzeigen: