Zertifikate für Lync Phone Edition
Letztes Änderungsdatum des Themas: 2014-01-07
Lync Server stützt sich für die Serverauthentifizierung und zum Einrichten einer Vertrauenskette zwischen Clients und Servern sowie zwischen den unterschiedlichen Serverrollen auf Zertifikate. Das Windows Server-Betriebssystem stellt die Infrastruktur bereit, die zum Einrichten und Überprüfen dieser Vertrauenskette erforderlich ist.
Zertifikate sind digitale IDs. Sie identifizieren einen Server namentlich und geben seine Eigenschaften an. Damit die Gültigkeit der in einem Zertifikat enthaltenen Informationen sichergestellt werden kann, muss es von einer Zertifizierungsstelle ausgestellt werden, die von den Clients oder anderen Servern mit Verbindung zum Server als vertrauenswürdig eingestuft wird. Wenn der Server nur mit Clients und Servern in einem privaten Netzwerk eine Verbindung herstellt, kann eine Unternehmenszertifizierungsstelle verwendet werden. Wenn der Server mit Entitäten außerhalb des privaten Netzwerks interagiert, ist möglicherweise eine öffentliche Zertifizierungsstelle erforderlich.
Selbst wenn das Zertifikat gültige Informationen enthält, muss überprüft werden können, dass es sich bei dem Server, der das Zertifikat vorlegt, auch tatsächlich um den Server handelt, für den das Zertifikat ausgestellt wurde. Hier kommt die Public Key-Infrastruktur (PKI) von Windows ins Spiel.
Jedes Zertifikat ist mit einem öffentlichen Schlüssel verknüpft. Der im Zertifikat genannte Server verfügt über einen entsprechenden privaten Schlüssel, der nur dem Server bekannt ist. Ein Client oder Server, der eine Verbindung herstellt, verwendet den öffentlichen Schlüssel zum Verschlüsseln zufällig gewählter Informationen und sendet diese an den Server. Wenn der Server die Informationen entschlüsselt und im Nur-Text-Format zurücksendet, kann die Einheit, die eine Verbindung herstellt, sicher sein, dass der Server über den privaten Schlüssel für das Zertifikat verfügt und es sich somit um den im Zertifikat genannten Server handelt.
Zertifikat der Stammzertifizierungsstelle für Lync Phone Edition
Die Kommunikation zwischen Lync Server und Lync Phone Edition wird standardmäßig mit dem TLS-Protokoll (Transport Layer Security) und SRTP (Secure Real-Time Transport Protocol) verschlüsselt. Aus diesem Grund muss das Gerät, auf dem Lync Phone Edition ausgeführt wird, die von Lync Server vorgelegten Zertifikate als vertrauenswürdig einstufen. Wenn Computer mit Lync Server öffentliche Zertifikate verwenden, werden diese vom Gerät höchstwahrscheinlich automatisch als vertrauenswürdig erkannt, da das Gerät dieselbe Liste vertrauenswürdiger Zertifizierungsstellen verwendet wie Windows CE. Da jedoch in den meisten Lync Server-Bereitstellungen für die internen Lync Server-Serverrollen interne Zertifikate verwendet werden, muss das Zertifikat der Stammzertifizierungsstelle von der internen Zertifizierungsstelle auf dem Gerät installiert werden. Es ist nicht möglich, das Zertifikat der Stammzertifizierungsstelle manuell auf dem Gerät zu installieren, es muss über das Netzwerk bereitgestellt werden. Lync Phone Edition kann das Zertifikat über zwei Methoden herunterladen.
Bei der ersten Methode sucht das Gerät nach Objekten in Active Directory-Domänendienste (AD DS), die die Kategorie "certificationAuthority" aufweisen. Wenn bei der Suche Objekte zurückgegeben werden, verwendet das Gerät das Attribut "caCertificate". Dieses Attribut enthält das Zertifikat, das anschließend vom Gerät installiert wird.
Für Lync Phone Edition muss das Zertifikat der Stammzertifizierungsstelle im Attribut "caCertificate" veröffentlicht werden. Verwenden Sie den folgenden Befehl, um das Zertifikat der Stammzertifizierungsstelle dem Attribut "caCertificate" hinzuzufügen:
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
Falls bei der Suche nach Active Directory-Objekten der Kategorie "CertificationAuthority" keine Objekte zurückgegeben werden oder die Attribute "caCertificate" der Objekte leer sind, wird nach Active Directory-Objekten der Kategorie "pKIEnrollmentService" im Namenskontext für die Konfiguration gesucht. Diese Objekte sind vorhanden, wenn die automatische Registrierung von Zertifikaten in Active Directory aktiviert ist. Wenn die Suche Objekte zurückgibt, wird das zurückgegebene Attribut "dNSHostName" für den Verweis auf die Zertifizierungsstelle verwendet. Anschließend wird die Weboberfläche der Windows-Zertifikatsdienste zum Abrufen des Zertifikats der Stammzertifizierungsstelle mithilfe des HTTP GET-Befehls verwendet:
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
Wenn keine dieser Methoden erfolgreich ist, meldet das Gerät in einer Fehlermeldung, dass die Überprüfung des Serverzertifikats nicht möglich ist, und der Benutzer kann das Zertifikat nicht verwenden.
Überlegungen zum Ausstellen von Zertifikaten für Lync Phone Edition
Die folgende Liste enthält Punkte, die bei der Ausstellung von Zertifikaten für Lync Phone Edition zu berücksichtigen sind:
Standardmäßig verwendet Lync Phone Edition die Protokolle TLS und SRTP, für die folgende Voraussetzungen gelten:
– Durch Lync Server und Microsoft Exchange Server müssen vertrauenswürdige Zertifikate vorgelegt werden.
– Das Zertifikat der Stammzertifizierungsstelle befindet sich auf dem Gerät.
Sie können Zertifikate nicht manuell auf dem Gerät installieren.
Legen Sie Optionen für folgende Aufgaben fest:
– Verwendung von öffentlichen Zertifikaten
– Vorinstallation der öffentlichen Zertifikate auf dem Gerät
– Verwendung von Unternehmenszertifikaten
– Empfang der Stammzertifizierungsstellen-Kette über das Netzwerk
Ermitteln der Zertifikatkette für die Stammzertifizierungsstelle der Organisation
Lync Phone Edition kann das Zertifikat entweder über das PKI-Objekt für die automatische Registrierung in den Active Directory-Domänendiensten (AD DS) oder über einen bekannten Distinguished Name (DN) ermitteln. Nachstehend finden Sie weitere Informationen:
Zum Aktivieren der automatischen PKI-Registrierung unter Verwendung der Organisationszertifizierungsstelle sendet das Gerät eine LDAP-Anforderung (Lightweight Directory Access Protocol) zum Ermitteln der Adresse von pKIEnrollmentService/Zertifizierungsstellenserver und lädt anschließend unter Verwendung der Benutzeranmeldeinformationen das Zertifikat über HTTP auf die Windows-Zertifizierungsstelle/certsrv-Site herunter.
Zur Verwendung des Befehls "certutil -f -dspublish 'Speicherort CER-Datei' root CA" zum Hochladen von Zertikaten in den Konfigurationsnamenskontext verwenden Sie den folgenden DN:
Cn=Certificate Authorities, cn=Public Key Services, CN=Services, cn=Configuration, dc=<AD-Domäne>
.gif "note") Hinweis: |
|---|
| Die LDAP-Abfrage lautet "BaseDN: CN=Configuration, dc= <Domäne> Filter: (objectCategory=pKIEnrollmentService)", und das gesuchte Attribut ist "dNSHostname". Beachten Sie, dass das Gerät zum Herunterladen des Zertifikats "HTTP get- command http://<DSN-Hostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64" verwendet. |
Cache der vertrauenswürdigen Zertifizierungsstellen
In der folgenden Tabelle werden die öffentlichen Zertifikate aufgeführt, die Lync Phone Edition als vertrauenswürdig einstuft.
Als vertrauenswürdig eingestufte öffentliche Zertifikate
| Hersteller | Zertifikatname | Ablaufdatum | Schlüssellänge |
|---|---|---|---|
Comodo |
AAA Certificate Services |
31.12.2028 |
2048 |
Comodo |
AddTrust External CA Root |
30.05.2020 |
2048 |
CyberTrust |
Baltimore CyberTrust Root |
12.05.2025 |
2048 |
CyberTrust |
GTE CyberTrust Global Root |
13.08.2018 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
01.08.2028 |
1024 |
VeriSign |
Thawte Premium Server CA |
31.12.2020 |
1024 |
VeriSign |
Thawte Server CA |
31.12.2020 |
1024 |
VeriSign |
Class 3 Public Primary Certification Authority |
01.08.2028 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
24.12.2019 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
25.05.2019 |
1024 |
Entrust |
Entrust Root Certification Authority |
27.11.2026 |
2048 |
Entrust |
Entrust.net Certification Authority (2048) |
24.07.2029 |
2048 |
Equifax |
Equifax Secure Certificate Authority |
22.08.2018 |
1024 |
GeoTrust |
GeoTrust Global CA |
20.05.2022 |
2048 |
Go Daddy |
Go Daddy Class 2 Certification Authority |
29.06.2034 |
2048 |
Go Daddy |
http://www.valicert.com/ |
25.06.2019 |
1024 |
Go Daddy |
Starfield Class 2 Certification Authority |
29.06.2034 |
2048 |
DigiCert Inc. |
DigiCert Assured ID Root CA |
09.11.2031 |
2048 |
DigiCert Inc. |
DigiCert Global Root CA |
09.11.2031 |
2048 |
DigiCert Inc. |
DigiCert High Assurance EV Root CA |
09.11.2031 |
2048 |