Infraestrutura de chave pública para o Lync Server 2010
Tópico modificado em: 2012-10-14
O Microsoft Lync Server 2010 depende de certificados para autenticação do servidor e para estabelecer uma cadeia de confiança entre clientes e servidores e entre as diferentes funções de servidor. A PKI (infraestrutura de chave pública) do Windows Server 2008, Windows Server 2008 R2 e Windows Server 2003 fornece a infraestrutura para estabelecer e validar essa cadeia de confiança.
Os certificados são IDs digitais. Eles identificam um servidor por nome e especificam suas propriedades. Para garantir que as informações de um certificado sejam válidas, o certificado deverá ser emitido por uma autoridade de certificação confiável aos clientes e outros servidores que se conectarem ao servidor. Se o servidor se conectar somente com outros clientes e servidores em uma rede privada, a CA poderá ser uma CA empresarial. Se o servidor interagir com entidades fora da rede privada, uma CA pública poderá ser necessária.
Mesmo que as informações de um certificado sejam válidas, deve haver alguma forma de verificar se o servidor que está apresentando o certificado é realmente o representado pelo certificado. É aqui que a PKI do Windows entra em ação.
Cada certificado é vinculado a uma chave pública. O servidor nomeado no certificado retém uma chave privada correspondente que somente ele conhece. Um cliente ou servidor de conexão usa a chave pública para criptografar uma parte aleatória das informações e enviá-la ao servidor. Se o servidor descriptografar as informações e retorná-las como texto sem formatação, a entidade de conexão poderá ter a certeza de que o servidor retém a chave privada para o certificado e, portanto, é o servidor nomeado no certificado.
Observação: nem todas as CAs públicas atendem aos requisitos dos certificados do Lync Server 2010. Recomendamos a consulta à lista de fornecedores certificados de CA pública para suas necessidades de certificado público. Para obter detalhes, consulte o artigo 929395 da Base de Dados de Conhecimento da Microsoft, "Parceiros de certificado do Unified Communications" em https://support.microsoft.com/kb/929395/pt-br.
Pontos de distribuição de CRL
O Lync Server 2010 exige que todos os certificados de servidor contenham um ou mais pontos de distribuição de CRL (Lista de certificados revogados). CDPs (Pontos de distribuição de CRL) são locais a partir dos quais os CRLs podem ser baixados para verificar se o certifico não foi revogado desde que foi emitido e se ainda está dentro do período de validade. Um ponto de distribuição da lista de certificados revogados é especificado nas propriedades do certificado como uma URL e, geralmente, é um HTTP seguro.
Uso avançado de chave
O Lync Server 2010 exige que todos os certificados do servidor suportem EKU (Uso avançado de chave) para autenticação do servidor. A configuração do campo de EKU para autenticação de servidor significa que o certificado é válido para fins de autenticação de servidores. Esse EKU é essencial para o MTLS. É possível ter mais de uma entrada no EKU, o que habilitará o certificado a mais de uma finalidade.
.gif "note") Observação: |
|---|
| O EKU de Autenticação de Cliente é necessário para conexões MTLS de saída no Live Communications Server 2003 e Live Communications Server 2005, mas ele não é mais obrigatório. No entanto, esse EKU deve estar presente nos Servidores de Borda que se conectam ao AOL por meio da conectividade a redes públicas de mensagens instantâneas. |