Требования инфраструктуры сертификатов для Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2016-06-23

Для Lync Server 2013 требуется инфраструктура открытых ключей (PKI) для поддержки TLS и взаимного подключения TLS (MTLS).

Lync Server использует сертификаты для следующих целей:

  • TLS-подключения между клиентом и сервером

  • для подключений MTLS между серверами;

  • для федерации с использованием автоматического обнаружения DNS партнеров;

  • для доступа удаленных пользователей к обмену мгновенными сообщениями;

  • Доступ внешних пользователей к сеансам аудио- и видеосвязи, общему доступу к приложениям и конференц-связи

  • Мобильные запросы с использованием автоматического обнаружения веб-служб

Для Lync Server применяются следующие общие требования:

  • Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).

  • Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).

  • Все сертификаты должны быть подписаны с помощью алгоритма подписывания, поддерживаемого операционной системой. Lync Server 2013 поддерживает набор хэш-кодов SHA-1 и SHA-2 (224, 256, 384 и 512 бит) и соответствует требованиям операционной системы или превышает их. Сведения о поддержке операционной системы см. в разделе https://go.microsoft.com/fwlink/?LinkId=287002.

    Примечание.

    Использование алгоритма подписи RSASSA-PSS не поддерживается и может привести к ошибкам при входе в систему, проблемам с переадресацией звонков и другим неполадкам.

  • Автоматическая регистрация поддерживается для внутренних серверов под управлением Lync Server.

  • Автоматическая регистрация не поддерживается для пограничных серверов Lync Server.

  • При отправке веб-запроса сертификата в ЦС Windows Server 2003 его необходимо отправить с компьютера под управлением Windows Server 2003 с пакетом обновления 2 (SP2) или Windows XP.

    Обратите внимание, что хотя KB922706 поддерживает устранение проблем с регистрацией веб-сертификатов в веб-регистрации служб сертификатов Windows Server 2003, она не позволяет использовать Windows Server 2008, Windows Vista или Windows 7 для запроса сертификата из ЦС Windows Server 2003.

  • Поддерживается длина ключей шифрования в 1024, 2048 и 4096 бит. Рекомендуется использовать ключи не короче 2048 бит.

  • По умолчанию используется дайджест-алгоритм (алгоритм хэширования и подписывания) RSA. Также поддерживаются алгоритмы ECDH_P256, ECDH_P384 и ECDH_P521.