Certificati per Lync Phone Edition
Ultima modifica dell'argomento: 2014-01-07
Lync Server si basa sui certificati per l'autenticazione server e per stabilire una catena di certificati tra client e server e tra i diversi ruoli del server. Il sistema operativo Windows Server fornisce l'infrastruttura per stabilire e convalidare questa catena di certificati.
I certificati sono ID digitali. Identificano un server per nome e ne specificano le proprietà. Per essere certi che le informazioni di un certificato siano valide, il certificato deve essere emesso da un'autorità di certificazione (CA) considerata attendibile dai client o da altri server che si connettono al server. Se il server si connette solo ad altri client e server su una rete privata, la CA può essere una CA globale (enterprise). Se il server interagisce con entità all'esterno della rete privata, potrebbe essere necessaria una CA pubblica.
Anche se le informazioni del certificato sono valide, deve esistere la possibilità di verificare che il server che presenta il certificato sia effettivamente quello rappresentato dal certificato. A tale scopo, viene utilizzata l'infrastruttura a chiave pubblica (PKI) di Windows.
Ogni certificato è collegato a una chiave pubblica. Il server denominato nel certificato contiene una chiave privata corrispondente nota solo a esso. Un client o un server che stabilisce la connessione utilizza la chiave pubblica per crittografare in modo casuale alcune informazioni e le invia al server. Se il server decrittografa le informazioni e le restituisce come testo normale, l'entità che stabilisce la connessione ha la garanzia che il server contiene la chiave privata per il certificato e pertanto corrisponde al server denominato nel certificato.
Certificato CA radice per Lync Phone Edition
Le comunicazioni tra Lync Server e Lync Phone Edition vengono crittografate per impostazione predefinita utilizzando i protocolli TLS (Transport Layer Security) e SRTP (Secure Real-Time Transport Protocol). Per questo motivo, nel dispositivo che esegue Lync Phone Edition devono essere considerati attendibili i certificati presentati da Lync Server. Se i computer che eseguono Lync Server utilizzano certificati pubblici, verranno probabilmente considerati automaticamente attendibili dal dispositivo perché nel dispositivo è contenuto lo stesso elenco di CA attendibili di Windows CE. Poiché tuttavia nella maggior parte delle distribuzioni di Lync Server vengono utilizzati certificati interni per i ruoli del server Lync Server interni, è necessario installare il certificato CA radice nel dispositivo dalla CA interna. Dal momento che questa installazione non può essere eseguita manualmente, è necessario che venga eseguita dalla rete. Lync Phone Edition è in grado di scaricare il certificato utilizzando due metodi.
Il dispositivo cerca innanzitutto gli oggetti Servizi di dominio Active Directory della categoria certificationAuthority. Se la ricerca restituisce oggetti, nel dispositivo viene utilizzato l'attributo caCertificate. Si presuppone che tale attributo contenga il certificato e il dispositivo installa il certificato.
Il certificato CA radice deve essere pubblicato nell'attributo caCertificate per Lync Phone Edition. Affinché il certificato CA radice venga aggiunto all'attributo caCertificate, utilizzare il comando seguente:
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
Se la ricerca di oggetti Active Directory della categoria CertificationAuthority non restituisce alcun oggetto o se sono presenti attributi caCertificate vuoti negli oggetti restituiti, il dispositivo ricercherà gli oggetti Active Directory della categoria pKIEnrollmentService nel contesto dei nomi di configurazione. Tali oggetti sono presenti se in Active Directory è stata abilitata la registrazione automatica dei certificati. Se la ricerca restituisce oggetti, nel dispositivo viene utilizzato l'attributo dNSHostName che è stato restituito per fare riferimento alla CA e quindi viene utilizzata l'interfaccia Web di Servizi certificati di Windows per recuperare il certificato CA radice utilizzando il comando HTTP get- seguente:
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
Se nessuno di questi metodi ha esito positivo, nel dispositivo viene visualizzato un messaggio di errore in cui viene indicato che è impossibile convalidare il certificato del server e l'utente non può utilizzarlo.
Considerazioni per l'emissione di certificati per Lync Phone Edition
Viene riportato di seguito un elenco di considerazioni per l'emissione di certificati per Lync Phone Edition:
Per impostazione predefinita, in Lync Phone Edition vengono utilizzati i protocolli TLS e SRTP, che richiedono che vengano soddisfatte le condizioni seguenti:
- I certificati di attendibilità devono essere presentati da Lync Server e Microsoft Exchange Server.
- Il certificato della catena di certificati della CA radice deve trovarsi nel dispositivo.
Non è possibile installare manualmente i certificati nel dispositivo.
Impostare le opzioni in modo che vengano eseguite le operazioni seguenti:
- Utilizzare certificati pubblici.
- Precaricare i certificati pubblici nel dispositivo.
- Utilizzare i certificati dell'organizzazione.
- Ricevere la catena di certificati della CA radice tramite la rete.
Individuazione della catena di certificati della CA radice dell'organizzazione
Lync Phone Edition può trovare il certificato utilizzando l'oggetto di registrazione automatica PKI in Servizi di dominio Active Directory o un nome distinto noto (DN). Di seguito vengono riportati i dettagli:
Per abilitare la registrazione automatica PKI utilizzando la CA dell'organizzazione, il dispositivo esegue una richiesta LDAP (Lightweight Directory Access Protocol) per trovare l'indirizzo del server pKIEnrollmentService/CA e successivamente scarica il certificato tramite HTTP nel sito Windows CA /certsrv utilizzando le credenziali dell'utente.
Per utilizzare certutil -f -dspublish "percorso file cer" rootCA per caricare certificati del contesto dei nomi di configurazione, utilizzare il DN seguente:
Cn=Certificate Authorities, cn=Public Key Services, CN=Services, cn=Configuration, dc=<Dominio Active Directory>
Nota
La richiesta LDAP è BaseDN: CN=Configuration, dc= <Dominio> Filter: (objectCategory=pKIEnrollmentService) e l'attributo ricercato è dNSHostname. Tenere conto che il dispositivo scarica il certificato utilizzando il comando HTTP get- http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64.
Cache delle autorità attendibili
Nella tabella seguente vengono descritti i certificati pubblici considerati attendibili da Lync Phone Edition.
Certificati pubblici attendibili
| Fornitore | Nome certificato | Data di scadenza | Lunghezza chiave |
|---|---|---|---|
Comodo |
AAA Certificate Services |
31/12/2028 |
2048 |
Comodo |
AddTrust External CA Root |
30/05/2020 |
2048 |
CyberTrust |
Baltimore CyberTrust Root |
12/05/2025 |
2048 |
CyberTrust |
GTE CyberTrust Global Root |
13/08/2018 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
01/08/2028 |
1024 |
VeriSign |
Thawte Premium Server CA |
31/12/2020 |
1024 |
VeriSign |
Thawte Server CA |
31/12/2020 |
1024 |
VeriSign |
Class 3 Public Primary Certification Authority |
01/08/2028 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
24/12/2019 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
25/05/2019 |
1024 |
Entrust |
Entrust Root Certification Authority |
27/11/2026 |
2048 |
Entrust |
Entrust.net Certification Authority (2048) |
24/07/2029 |
2048 |
Equifax |
Equifax Secure Certificate Authority |
22/08/2018 |
1024 |
GeoTrust |
GeoTrust Global CA |
20/05/2022 |
2048 |
Go Daddy |
Go Daddy Class 2 Certification Authority |
29/06/2034 |
2048 |
Go Daddy |
http://www.valicert.com/ |
25/06/2019 |
1024 |
Go Daddy |
Starfield Class 2 Certification Authority |
29/06/2034 |
2048 |
DigiCert Inc. |
DigiCert Assured ID Root CA |
09/11/2031 |
2048 |
DigiCert Inc. |
DigiCert Global Root CA |
09/11/2031 |
2048 |
DigiCert Inc. |
DigiCert High Assurance EV Root CA |
09/11/2031 |
2048 |