Infraestructura de clave pública de Office Communications Server 2007 R2
Última modificación del tema: 2009-03-09
Office Communications Server 2007 R2 usa certificados para autenticar los servidores y establecer una cadena de confianza entre los clientes y servidores y entre las diversas funciones de servidor. La infraestructura de clave pública (PKI) de Windows Server 2003 y Windows Server 2008 proporciona la infraestructura para establecer y validar esta cadena de confianza.
Los certificados son identificadores digitales. Identifican un servidor por nombre y especifican sus propiedades. Para garantizar la validez de la información incluida en un certificado, este debe proceder de una CA que sea de confianza para los clientes u otros servidores que se conectan al servidor. Si el servidor se conecta únicamente a otros clientes y servidores de una red privada, la CA puede ser una CA de empresa. Si el servidor interactúa con entidades ubicadas fuera de la red privada, es posible que se requiera una CA pública.
Incluso si la información incluida en el certificado es válida, es preciso comprobar de alguna manera que el servidor que presenta el certificado sea realmente el servidor representado por el certificado. Ahí es donde entra la infraestructura de clave pública (PKI) de Windows.
Cada certificado está asociado a una clave pública. El servidor indicado en el certificado tiene una clave privada correspondiente que solo él conoce. El cliente o servidor que se conecta utiliza la clave pública para cifrar un fragmento de información aleatorio y enviarlo al servidor. Si el servidor descifra la información y la devuelve como texto sin formato, la entidad que se conecta puede estar segura de que el servidor tiene la clave privada asociada al certificado y, por consiguiente, es el servidor indicado en el certificado.
Nota: no todas las CA públicas cumplen los requisitos de Office Communications Server en materia de certificados. Para los certificados públicos, se recomienda consultar la lista de proveedores autorizados de CA públicas. Para obtener información detallada, vea Empresas colaboradoras de certificados de comunicaciones unificadas para Exchange 2007 y para Communications Server 2007, en https://go.microsoft.com/fwlink/?LinkId=140898.
Puntos de distribución CRL
Office Communications Server 2007 R2 requiere que todos los certificados de servidor contengan uno o varios puntos de distribución de listas de revocación de certificados (CRL). Los puntos de distribución CRL son ubicaciones desde las que se pueden descargar listas de revocación de certificados para comprobar si un certificado no ha sido revocado después de su emisión. Un punto de distribución CRL se anota en las propiedades del certificado como una dirección URL y suele ser HTTPS.
Uso mejorado de clave
Office Communications Server 2007 R2 requiere que todos los certificados de servidor admitan el Uso mejorado de clave (EKU) para la autenticación de los servidores. La configuración del campo EKU para la autenticación de los servidores significa que el certificado es válido para la autenticación de los servidores. Este EKU es esencial para MTLS. Pueden haber varias entradas en el EKU; de este modo, se habilita el certificado para varios propósitos.
Nota
El EKU para la autenticación de clientes se requería para las conexiones MTLS salientes de Live Communications Server 2003 y Live Communications Server 2005, pero ya no se requiere. Sin embargo, este EKU debe estar presente en los servidores perimetrales que se conectan a AOL a través de la conectividad de mensajería instantánea pública.