Communicator Phone Edition 的根 CA 憑證
上次修改主題的時間: 2009-05-28
Office Communications Server 2007 R2 依賴憑證進行伺服器驗證,以及在用戶端和伺服器之間與不同的伺服器角色之間建立信任鏈結。Windows Server 2003 公開金鑰基礎結構 (PKI) 提供了建立和驗證此信任鏈結的基礎結構。
Communicator Phone Edition 和 Office Communications Server 2007 R2 間的通訊依預設會使用 TLS 和 SRTP 來加密。因此,裝置必須要能信任 Communications Server 2007 R2 伺服器所提供的憑證。如果 Communications Server 2007 R2 伺服器使用公用憑證,裝置大多會自動信任該憑證,因為該憑證包含的受信任 CA 清單和 Windows CE 擁有的相同。不過,大多數的 Communications Server 2007 R2 部署中,Office Communications Server 2007 R2 內部伺服器角色使用的是內部憑證,所以內部 CA 的根 CA 憑證必須安裝到裝置。您無法手動將根 CA 憑證安裝到裝置,所以必須透過網路來安裝。Communicator Phone Edition 可使用兩個方法下載憑證。
裝置會搜尋類別 certificationAuthority 的 Active Directory 目錄物件。如果搜尋傳回任何物件,它會使用 caCertificate 屬性。系統會假設該屬性要保留憑證,而此裝置則將會安裝憑證。
根 CA 憑證必須發行並置於 Communicator Phone Edition 的 caCertificate 中。若要將根 CA 憑證置於 caCertificate 屬性中,請使用下列命令:
certutil -f -dspublish <Root CA certificate in .cer file> RootCA.
如果搜尋 CertificationAuthority 類別的 Active Directory 物件時未傳回任何物件,或者傳回的物件其 caCertificate 屬性是空的,則裝置會在設定命名內容中搜尋 pKIEnrollmentService 類別的 Active Directory 物件。如果 Active Directory 中已經啟用憑證 AutoEnrollment,這類物件就會存在。如果搜尋傳回任何物件,它會使用傳回的 dNSHostName 屬性來參考 CA,然後使用 Microsoft 憑證服務的 Web 介面,透過此 HTTP GET 命令來擷取根 CA 憑證:http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64。
如果這些方法都失敗,裝置會顯示錯誤訊息「無法驗證伺服器憑證」,使用者便無法使用此裝置。
Communicator Phone Edition 憑證
以下列出發出憑證給 Communicator Phone Edition 時應考量的事項。
- Communicator Phone Edition 依預設會使用傳輸層安全性 (TLS) 和安全即時傳輸通訊協定 (SRTP)。
- 需求:信任 Office Communications Server 2007 R2 和 Exchange Server 2007 伺服器提供的憑證。
- 需求:根憑證授權單位 (CA) 鏈結憑證位於裝置中。
- 憑證無法以手動方式安裝在裝置上。
- 方法:
- 使用公用憑證
- 預先載入公用憑證到裝置上
- 使用企業憑證
- 接收透過網路傳來的根 CA 鏈結
企業根 CA 鏈結
Communicator Phone Edition 可以使用 Active Directory 網域服務中的公開金鑰基礎結構 (PKI) 自動註冊物件,或是透過熟知的辨別名稱來尋找憑證。
- 透過企業 CA 啟用 PKI 自動註冊物件。
- 裝置發出 LDAP 要求以尋找 pKIEnrollmentService/CA 伺服器位址,而最後會以使用者認證透過 HTTP 將憑證下載至 Windows CA /certsrv 站台。
- 使用 certutil -f -dspublish .cer "檔案位置" RootCA 將憑證上載至 Configuration NC。
- Cn=憑證授權單位、cn=公開金鑰服務、CN=服務、cn=設定、dc=<AD 網域>
LDAP 要求為 BaseDN: CN=Configuration, dc= <Domain> Filter: (objectCategory=pKIEnrollmentService),搜尋屬性為 dNSHostname。請注意裝置會使用 HTTP get - http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64 下載憑證。
信任的授權單位快取
表 1 列出 Communicator Phone Edition 信任的公用憑證。
表 1. 公用憑證
廠商 |
憑證名稱 |
到期日 |
金鑰長度 |
Comodo |
AAA Certificate Services |
12/31/2020 |
2048 |
Comodo |
AddTrust External CA Root |
5/30/2020 |
2048 |
Cybertrust |
Baltimore CyberTrust Root |
5/12/2025 |
2048 |
Cybertrust |
GlobalSign Root CA |
1/28/2014 |
2048 |
Cybertrust |
GTE CyberTrust Global Root |
8/13/2018 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
8/1/2028 |
1024 |
VeriSign |
Thawte Premium Server CA |
12/31/2020 |
1024 |
VeriSign |
Thawte Server CA |
12/31/2020 |
1024 |
VeriSign |
Comodo |
1/7/2010 |
1000 |
VeriSign |
Class 3 Public Primary Certification Authority |
8/1/2028 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
12/24/2019 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
5/25/2019 |
1024 |
Equifax |
Equifax Secure Certification Authority |
8/22/2018 |
1024 |
GeoTrust |
GeoTrust Global CA |
5/20/2022 |
2048 |
GoDaddy |
GoDaddy Class 2 Certification Authority |
6/29/2034 |
2048 |
GoDaddy |
http://www.valicert.com/ |
6/25/2019 |
1024 |
GoDaddy |
Starfield Class 2 Certification Authority |
6/29/2034 |
2048 |