Infraestrutura de chave pública no Office Communications Server 2007 R2
Tópico modificado em: 2009-03-09
O Office Communications Server 2007 R2 conta com certificados para a autenticação dos servidores e para estabelecer uma cadeia de confiança entre clientes e servidores e entre as diferentes funções de servidor. A PKI (infraestrutura de chave pública) do Windows Server 2003 e Server 2008 fornece a infraestrutura para estabelecer e validar essa cadeia de confiança.
Os certificados são IDs digitais. Eles identificam um servidor por nome e especificam suas propriedades. Para garantir que as informações de um certificado sejam válidas, o certificado deverá ser emitido por uma autoridade de certificação confiável aos clientes e outros servidores que se conectarem ao servidor. Se o servidor se conectar somente a outros clientes e servidores em uma rede privada, a autoridade de certificação poderá ser corporativa. Se o servidor interagir com entidades fora da rede privada, uma autoridade de certificação pública talvez seja necessária.
Mesmo que as informações de um certificado sejam válidas, deve haver alguma forma de verificar se o servidor que está apresentando o certificado é realmente o representado pelo certificado. É aqui que a PKI do Windows entra em ação.
Cada certificado é vinculado a uma chave pública. O servidor nomeado no certificado retém uma chave privada correspondente que somente ele conhece. Um cliente ou servidor de conexão usa a chave pública para criptografar uma parte aleatória das informações e enviá-la ao servidor. Se o servidor descriptografar as informações e retorná-las como texto sem formatação, a entidade de conexão poderá ter a certeza de que o servidor retém a chave privada para o certificado e, portanto, é o servidor nomeado no certificado.
Observação: nem todas as autoridades de certificação públicas estão em conformidade com os requisitos de certificados do Office Communications Server. É recomendável consultar a listagem de fornecedores certificados da autoridade de certificação pública para atender às necessidades do certificado público. Para obter informações detalhadas, consulte “Parceiros de Certificado de Comunicações Unificadas para Exchange 2007 e Communications Server 2007” em https://go.microsoft.com/fwlink/?LinkId=140898.
Pontos de distribuição da lista de certificados revogados
O Office Communications Server 2007 R2 exige que todos os certificados de servidor contenham um ou mais pontos de distribuição da lista de certificados revogados. Esses pontos são locais nos quais essas listas podem ser baixadas, a fim de verificar se o certificado não foi revogado desde a última vez em que foi emitido. Um ponto de distribuição da lista de certificados revogados é especificado nas propriedades do certificado como uma URL e, geralmente, é um HTTP seguro.
Uso avançado de chave
O Office Communications Server 2007 R2 requer que todos os certificados de servidor ofereçam suporte ao EKU (uso avançado de chave) para fins de autenticação do servidor. A configuração do campo de EKU para autenticação de servidor significa que o certificado é válido para fins de autenticação de servidores. Esse EKU é essencial para o MTLS. É possível ter mais de uma entrada no EKU, o que habilitará o certificado a mais de uma finalidade.
.gif "Dd572945.note(pt-br,office.13).gif") Observação: |
|---|
| O EKU de Autenticação de Cliente é necessário para conexões MTLS de saída no Live Communications Server 2003 e Live Communications Server 2005, mas ele não é mais obrigatório. No entanto, esse EKU deve estar presente nos Servidores de Borda que se conectam ao AOL por meio da conectividade a redes públicas de mensagens instantâneas. |