Certificati per Lync Phone Edition

Lync Server 2010
 

Ultima modifica dell'argomento: 2014-01-07

Lync Server si basa sui certificati per l'autenticazione server e per stabilire una catena di certificati tra client e server e tra i diversi ruoli del server. Il sistema operativo Windows Server fornisce l'infrastruttura per stabilire e convalidare questa catena di certificati.

I certificati sono ID digitali. Identificano un server per nome e ne specificano le proprietà. Per essere certi che le informazioni di un certificato siano valide, il certificato deve essere emesso da un'autorità di certificazione (CA) considerata attendibile dai client o da altri server che si connettono al server. Se il server si connette solo ad altri client e server su una rete privata, la CA può essere una CA globale (enterprise). Se il server interagisce con entità all'esterno della rete privata, potrebbe essere necessaria una CA pubblica.

Anche se le informazioni del certificato sono valide, deve esistere la possibilità di verificare che il server che presenta il certificato sia effettivamente quello rappresentato dal certificato. A tale scopo, viene utilizzata l'infrastruttura a chiave pubblica (PKI) di Windows.

Ogni certificato è collegato a una chiave pubblica. Il server denominato nel certificato contiene una chiave privata corrispondente nota solo a esso. Un client o un server che stabilisce la connessione utilizza la chiave pubblica per crittografare in modo casuale alcune informazioni e le invia al server. Se il server decrittografa le informazioni e le restituisce come testo normale, l'entità che stabilisce la connessione ha la garanzia che il server contiene la chiave privata per il certificato e pertanto corrisponde al server denominato nel certificato.

Le comunicazioni tra Lync Server e Lync Phone Edition vengono crittografate per impostazione predefinita utilizzando i protocolli TLS (Transport Layer Security) e SRTP (Secure Real-Time Transport Protocol). Per questo motivo, nel dispositivo che esegue Lync Phone Edition devono essere considerati attendibili i certificati presentati da Lync Server. Se i computer che eseguono Lync Server utilizzano certificati pubblici, verranno probabilmente considerati automaticamente attendibili dal dispositivo perché nel dispositivo è contenuto lo stesso elenco di CA attendibili di Windows CE. Poiché tuttavia nella maggior parte delle distribuzioni di Lync Server vengono utilizzati certificati interni per i ruoli del server Lync Server interni, è necessario installare il certificato CA radice nel dispositivo dalla CA interna. Dal momento che questa installazione non può essere eseguita manualmente, è necessario che venga eseguita dalla rete. Lync Phone Edition è in grado di scaricare il certificato utilizzando due metodi.

Il dispositivo cerca innanzitutto gli oggetti Servizi di dominio Active Directory della categoria certificationAuthority. Se la ricerca restituisce oggetti, nel dispositivo viene utilizzato l'attributo caCertificate. Si presuppone che tale attributo contenga il certificato e il dispositivo installa il certificato.

Il certificato CA radice deve essere pubblicato nell'attributo caCertificate per Lync Phone Edition. Affinché il certificato CA radice venga aggiunto all'attributo caCertificate, utilizzare il comando seguente:

certutil -f -dspublish <Root CA certificate in .cer file> RootCA

Se la ricerca di oggetti Active Directory della categoria CertificationAuthority non restituisce alcun oggetto o se sono presenti attributi caCertificate vuoti negli oggetti restituiti, il dispositivo ricercherà gli oggetti Active Directory della categoria pKIEnrollmentService nel contesto dei nomi di configurazione. Tali oggetti sono presenti se in Active Directory è stata abilitata la registrazione automatica dei certificati. Se la ricerca restituisce oggetti, nel dispositivo viene utilizzato l'attributo dNSHostName che è stato restituito per fare riferimento alla CA e quindi viene utilizzata l'interfaccia Web di Servizi certificati di Windows per recuperare il certificato CA radice utilizzando il comando HTTP get- seguente:

http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64

Se nessuno di questi metodi ha esito positivo, nel dispositivo viene visualizzato un messaggio di errore in cui viene indicato che è impossibile convalidare il certificato del server e l'utente non può utilizzarlo.

Viene riportato di seguito un elenco di considerazioni per l'emissione di certificati per Lync Phone Edition:

  • Per impostazione predefinita, in Lync Phone Edition vengono utilizzati i protocolli TLS e SRTP, che richiedono che vengano soddisfatte le condizioni seguenti:

    - I certificati di attendibilità devono essere presentati da Lync Server e Microsoft Exchange Server.

    - Il certificato della catena di certificati della CA radice deve trovarsi nel dispositivo.

  • Non è possibile installare manualmente i certificati nel dispositivo.

  • Impostare le opzioni in modo che vengano eseguite le operazioni seguenti:

    - Utilizzare certificati pubblici.

    - Precaricare i certificati pubblici nel dispositivo.

    - Utilizzare i certificati dell'organizzazione.

    - Ricevere la catena di certificati della CA radice tramite la rete.

Lync Phone Edition può trovare il certificato utilizzando l'oggetto di registrazione automatica PKI in Servizi di dominio Active Directory o un nome distinto noto (DN). Di seguito vengono riportati i dettagli:

  • Per abilitare la registrazione automatica PKI utilizzando la CA dell'organizzazione, il dispositivo esegue una richiesta LDAP (Lightweight Directory Access Protocol) per trovare l'indirizzo del server pKIEnrollmentService/CA e successivamente scarica il certificato tramite HTTP nel sito Windows CA /certsrv utilizzando le credenziali dell'utente.

  • Per utilizzare certutil -f -dspublish "percorso file cer" rootCA per caricare certificati del contesto dei nomi di configurazione, utilizzare il DN seguente:

    Cn=Certificate Authorities, cn=Public Key Services, CN=Services, cn=Configuration, dc=<Dominio Active Directory>

noteNota:
La richiesta LDAP è BaseDN: CN=Configuration, dc= <Dominio> Filter: (objectCategory=pKIEnrollmentService) e l'attributo ricercato è dNSHostname. Tenere conto che il dispositivo scarica il certificato utilizzando il comando HTTP get- http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64.

Nella tabella seguente vengono descritti i certificati pubblici considerati attendibili da Lync Phone Edition.

Certificati pubblici attendibili

Fornitore Nome certificato Data di scadenza Lunghezza chiave

Comodo

AAA Certificate Services

31/12/2028

2048

Comodo

AddTrust External CA Root

30/05/2020

2048

CyberTrust

Baltimore CyberTrust Root

12/05/2025

2048

CyberTrust

GTE CyberTrust Global Root

13/08/2018

1024

VeriSign

Class 2 Public Primary Certification Authority

01/08/2028

1024

VeriSign

Thawte Premium Server CA

31/12/2020

1024

VeriSign

Thawte Server CA

31/12/2020

1024

VeriSign

Class 3 Public Primary Certification Authority

01/08/2028

1024

Entrust

Entrust.net Certification Authority (2048)

24/12/2019

2048

Entrust

Entrust.net Secure Server Certification Authority

25/05/2019

1024

Entrust

Entrust Root Certification Authority

27/11/2026

2048

Entrust

Entrust.net Certification Authority (2048)

24/07/2029

2048

Equifax

Equifax Secure Certificate Authority

22/08/2018

1024

GeoTrust

GeoTrust Global CA

20/05/2022

2048

Go Daddy

Go Daddy Class 2 Certification Authority

29/06/2034

2048

Go Daddy

http://www.valicert.com/

25/06/2019

1024

Go Daddy

Starfield Class 2 Certification Authority

29/06/2034

2048

DigiCert Inc.

DigiCert Assured ID Root CA

09/11/2031

2048

DigiCert Inc.

DigiCert Global Root CA

09/11/2031

2048

DigiCert Inc.

DigiCert High Assurance EV Root CA

09/11/2031

2048

 
Mostra: