Communicator Phone Edition 的根 CA 憑證

Communications Server 2007 R2

上次修改主題的時間: 2009-05-28

Office Communications Server 2007 R2 依賴憑證進行伺服器驗證,以及在用戶端和伺服器之間與不同的伺服器角色之間建立信任鏈結。Windows Server 2003 公開金鑰基礎結構 (PKI) 提供了建立和驗證此信任鏈結的基礎結構。

Communicator Phone Edition 和 Office Communications Server 2007 R2 間的通訊依預設會使用 TLS 和 SRTP 來加密。因此,裝置必須要能信任 Communications Server 2007 R2 伺服器所提供的憑證。如果 Communications Server 2007 R2 伺服器使用公用憑證,裝置大多會自動信任該憑證,因為該憑證包含的受信任 CA 清單和 Windows CE 擁有的相同。不過,大多數的 Communications Server 2007 R2 部署中,Office Communications Server 2007 R2 內部伺服器角色使用的是內部憑證,所以內部 CA 的根 CA 憑證必須安裝到裝置。您無法手動將根 CA 憑證安裝到裝置,所以必須透過網路來安裝。Communicator Phone Edition 可使用兩個方法下載憑證。

裝置會搜尋類別 certificationAuthority 的 Active Directory 目錄物件。如果搜尋傳回任何物件,它會使用 caCertificate 屬性。系統會假設該屬性要保留憑證,而此裝置則將會安裝憑證。

根 CA 憑證必須發行並置於 Communicator Phone Edition 的 caCertificate 中。若要將根 CA 憑證置於 caCertificate 屬性中,請使用下列命令:


        certutil -f -dspublish <Root CA certificate in .cer file> RootCA.

如果搜尋 CertificationAuthority 類別的 Active Directory 物件時未傳回任何物件,或者傳回的物件其 caCertificate 屬性是空的,則裝置會在設定命名內容中搜尋 pKIEnrollmentService 類別的 Active Directory 物件。如果 Active Directory 中已經啟用憑證 AutoEnrollment,這類物件就會存在。如果搜尋傳回任何物件,它會使用傳回的 dNSHostName 屬性來參考 CA,然後使用 Microsoft 憑證服務的 Web 介面,透過此 HTTP GET 命令來擷取根 CA 憑證:http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64。

如果這些方法都失敗,裝置會顯示錯誤訊息「無法驗證伺服器憑證」,使用者便無法使用此裝置。

以下列出發出憑證給 Communicator Phone Edition 時應考量的事項。

  • Communicator Phone Edition 依預設會使用傳輸層安全性 (TLS) 和安全即時傳輸通訊協定 (SRTP)。
    • 需求:信任 Office Communications Server 2007 R2 和 Exchange Server 2007 伺服器提供的憑證。
    • 需求:根憑證授權單位 (CA) 鏈結憑證位於裝置中。
  • 憑證無法以手動方式安裝在裝置上。
  • 方法:
    • 使用公用憑證
    • 預先載入公用憑證到裝置上
    • 使用企業憑證
    • 接收透過網路傳來的根 CA 鏈結

Communicator Phone Edition 可以使用 Active Directory 網域服務中的公開金鑰基礎結構 (PKI) 自動註冊物件,或是透過熟知的辨別名稱來尋找憑證。

  • 透過企業 CA 啟用 PKI 自動註冊物件。
    • 裝置發出 LDAP 要求以尋找 pKIEnrollmentService/CA 伺服器位址,而最後會以使用者認證透過 HTTP 將憑證下載至 Windows CA /certsrv 站台。
  • 使用 certutil -f -dspublish .cer "檔案位置" RootCA 將憑證上載至 Configuration NC。
    • Cn=憑證授權單位、cn=公開金鑰服務、CN=服務、cn=設定、dc=<AD 網域>

LDAP 要求為 BaseDN: CN=Configuration, dc= <Domain> Filter: (objectCategory=pKIEnrollmentService),搜尋屬性為 dNSHostname。請注意裝置會使用 HTTP get - http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64 下載憑證。

表 1 列出 Communicator Phone Edition 信任的公用憑證。

表 1. 公用憑證

廠商

憑證名稱

到期日

金鑰長度

Comodo

AAA Certificate Services

12/31/2020

2048

Comodo

AddTrust External CA Root

5/30/2020

2048

Cybertrust

Baltimore CyberTrust Root

5/12/2025

2048

Cybertrust

GlobalSign Root CA

1/28/2014

2048

Cybertrust

GTE CyberTrust Global Root

8/13/2018

1024

VeriSign

Class 2 Public Primary Certification

Authority

8/1/2028

1024

VeriSign

Thawte Premium Server CA

12/31/2020

1024

VeriSign

Thawte Server CA

12/31/2020

1024

VeriSign

Comodo

1/7/2010

1000

VeriSign

Class 3 Public Primary Certification

Authority

8/1/2028

1024

Entrust

Entrust.net Certification Authority (2048)

12/24/2019

2048

Entrust

Entrust.net Secure Server Certification

Authority

5/25/2019

1024

Equifax

Equifax Secure Certification Authority

8/22/2018

1024

GeoTrust

GeoTrust Global CA

5/20/2022

2048

GoDaddy

GoDaddy Class 2 Certification Authority

6/29/2034

2048

GoDaddy

http://www.valicert.com/

6/25/2019

1024

GoDaddy

Starfield Class 2 Certification Authority

6/29/2034

2048

顯示: