TLS y MTLS para Office Communications Server 2007 R2

Última modificación del tema: 2009-03-10

Los protocolos MTLS y TLS proporcionan comunicaciones cifradas y permiten la autenticación de los extremos en Internet. Office Communications Server utiliza estos dos protocolos para crear una red de servidores de confianza y garantizar el cifrado de todas las comunicaciones a través de dicha red. Todas las comunicaciones SIP entre los servidores se llevan a cabo a través de MTLS. Las comunicaciones SIP entre el cliente y el servidor se realizan a través de TLS.

TLS permite a los usuarios, a través de su software cliente, autenticar los servidores Office Communications Server 2007 R2 a los que se conectan. En una conexión TLS, el cliente solicita un certificado válido del servidor. Para que sea válido, el certificado debe proceder de una CA en la que también confíe el cliente y el nombre DNS del servidor debe coincidir con el nombre DNS en el certificado. Si el certificado es válido, el cliente confiará en el servidor y abrirá la conexión. La conexión resultante es de confianza y, a partir de ese momento, no es desafiada por ningún otro cliente o servidor de confianza. En este contexto, el protocolo Capa de sockets seguros (SSL) usado con los servicios web puede asociarse como basado en TLS.

Las conexiones entre servidores usan Mutual TLS (MTLS) para la autenticación mutua. En una conexión MTLS, el servidor que origina un mensaje y el servidor que lo recibe intercambian certificados de una CA de confianza mutua. Los certificados demuestran la identidad de cada servidor al otro. En las implementaciones de Office Communications Server 2007 R2, los certificados emitidos por la CA de empresa son considerados automáticamente válidos por todos los clientes y servidores internos. En los escenarios de federación, ambos socios federados deben confiar en la CA que emite los certificados. Si así lo desea, cada socio puede utilizar una CA diferente, siempre y cuando el otro socio también confíe en esa CA. La manera más fácil de lograr esa confianza es configurar los servidores perimetrales para que el certificado de la CA raíz del socio figure entre sus CA raíz de confianza, o bien, usar una CA de otro fabricante en la que confíen ambas partes.

TLS y MTLS ayudan a evitar los ataques de interceptación y de tipo "Man in the middle". En los ataques de tipo "Man in the middle", el atacante enruta las comunicaciones entre dos entidades de red a través del equipo del atacante sin que lo sepa ninguna de esas entidades. TLS y las listas de servidores seguros mitigan parcialmente el riesgo de un ataque de tipo "Man in the middle" en la capa de aplicaciones pero, en última instancia, es preciso proteger la infraestructura de red (en este caso, infraestructura DNS corporativa) según los procedimientos recomendados. Office Communications Server da por supuesto que se confía en el servidor DNS del mismo modo que se confía en los controladores de dominio y los catálogos globales.

En la siguiente figura, se muestra de manera detallada cómo Office Communications Server utiliza MTLS para crear una red de servidores confiables.