Инфраструктура открытых ключей для Skype для бизнеса Server
Skype для бизнеса Server использует сертификаты для проверки подлинности сервера и для установления цепочки доверия между клиентами и серверами, а также между разными ролями сервера. Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008 Public Key Infrastructure (PKI) предоставляют инфраструктуру для создания и проверки этой цепочки доверия.
Сертификаты представляют собой цифровые идентификаторы. Они определяют сервер по имени и указывают его свойства. Для обеспечения действительности сведений сертификата он должен быть выдан ЦС, которому доверяют подключенные к серверу клиенты и другие серверы. Если сервер подключается только к другим клиентам и серверам в частной сети, ЦС может являться корпоративным ЦС. Если сервер взаимодействует с объектами за пределами частной сети, может потребоваться общедоступный ЦС.
Даже при условии действительности сведений сертификата необходим способ проверки того, что представляющий сертификат сервер фактически является тем, который представлен сертификатом. Именно в этом случае используется Windows PKI.
Каждый сертификат связан с открытым ключом. Сервер, который указан в сертификате, содержит соответствующий известный только ему закрытый ключ. Подключаемый клиент или сервер использует открытый ключ для шифрования произвольной части сведений и отправляет его на сервер. Если сервер расшифровывает эти сведения и возвращает их в виде обычного текста, подключаемый объект может быть уверен в том, что сервер содержит закрытый ключ для сертификата и, следовательно, является указанным в сертификате сервером.
Примечание.
Не все общедоступные ЦС соответствуют требованиям сертификатов Skype для бизнеса Server. Мы рекомендуем ознакомиться со списком сертифицированных поставщиков общедоступных ЦС для получения сведений о требованиях общих сертификатов.
Точки распространения CRL
Skype для бизнеса Server требуется, чтобы все сертификаты сервера содержали одну или несколько точек распространения списка отзыва сертификатов (CRL). Точки распространения списка отзыва сертификатов (CDP) представляют собой местоположения, из которых можно загрузить CRL для проверки того, что сертификат не был отозван с момента выдачи и его срок действия не истек. Точка распространения списка отзыва сертификатов CRL указывается в свойствах сертификата в виде URL-адреса и обычно является безопасным протоколом HTTP.
Расширенное использование ключа
Skype для бизнеса Server требуются все сертификаты сервера для поддержки расширенного использования ключей (EKU) для проверки подлинности сервера. Настройка поля EKU для проверки подлинности сервера означает, что сертификат действителен для проверки подлинности сервера. Использование EKU важно для MTLS. Можно иметь более одной записи в EKU, что позволяет использовать сертификат в нескольких целях.