Инфраструктура открытых ключей в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-12-20

Skype для бизнеса Server 2015 полагается на сертификаты для проверки подлинности сервера и устанавливает цепочку доверия между клиентами и серверами, а также разными ролями сервера. Инфраструктура открытых ключей (PKI) Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008 предоставляет инфраструктуру для установки и проверки этой цепочки доверия.

Сертификаты представляют собой цифровые идентификаторы. Они определяют сервер по имени и указывают его свойства. Для обеспечения действительности сведений сертификата он должен быть выдан ЦС, которому доверяют подключенные к серверу клиенты и другие серверы. Если сервер подключается только к другим клиентам и серверам в частной сети, ЦС может являться корпоративным ЦС. Если сервер взаимодействует с объектами за пределами частной сети, может потребоваться общедоступный ЦС.

Даже при условии действительности сведений сертификата необходим способ проверки того, что представляющий сертификат сервер фактически является тем, который представлен сертификатом. Именно в этом случае используется Windows PKI.

Каждый сертификат связан с открытым ключом. Сервер, который указан в сертификате, содержит соответствующий известный только ему закрытый ключ. Подключаемый клиент или сервер использует открытый ключ для шифрования произвольной части сведений и отправляет его на сервер. Если сервер расшифровывает эти сведения и возвращает их в виде обычного текста, подключаемый объект может быть уверен в том, что сервер содержит закрытый ключ для сертификата и, следовательно, является указанным в сертификате сервером.

noteПримечание.
Не все общедоступные ЦС соответствуют требованиям сертификатов Skype для бизнеса Server 2015. Мы рекомендуем ознакомиться со списком сертифицированных поставщиков общедоступных ЦС для получения сведений о требованиях общих сертификатов. Дополнительные сведения см в https://go.microsoft.com/fwlink/p/?LinkId=140898объединенных коммуникаций сертификат партнеров.

Для сервера Skype для бизнеса Server 2015 требуется, чтобы все сертификаты серверов содержали одну или несколько точек распространения списка отзыва сертификатов (CRL). Точки распространения списка отзыва сертификатов (CDP) представляют собой местоположения, из которых можно загрузить CRL для проверки того, что сертификат не был отозван с момента выдачи и его срок действия не истек. Точка распространения списка отзыва сертификатов CRL указывается в свойствах сертификата в виде URL-адреса и обычно является безопасным протоколом HTTP.

Для сервера Skype для бизнеса Server 2015 требуется, чтобы все сертификаты сервера поддерживали расширенное использование ключа (EKU) для проверки подлинности сервера. Настройка поля EKU для проверки подлинности сервера означает, что сертификат действителен для проверки подлинности сервера. Использование EKU важно для MTLS. Можно иметь более одной записи в EKU, что позволяет использовать сертификат в нескольких целях.

 
Показ: