適用於 Office Communications Server 2007 R2 的 TLS 和 MTLS

Communications Server 2007 R2

上次修改主題的時間: 2009-03-10

TLS 和 MTLS 通訊協定在網際網路上提供經過加密的通訊和端點驗證。Office Communications Server 會使用這兩種通訊協定建立受信任伺服器的網路,並且確保所有透過該網路進行的通訊都經過加密。伺服器之間的所有 SIP 通訊都是透過 MTLS 進行。用戶端對伺服器的 SIP 通訊則是透過 TLS 進行。

TLS 可讓使用者透過其用戶端軟體,驗證所連線的 Office Communications Server 2007 R2 伺服器。在 TLS 連線中,用戶端會向伺服器要求有效的憑證,若要通過驗證,憑證必須是由同樣受用戶端信任的 CA 核發,而且伺服器的 DNS 名稱必須符合憑證上的 DNS 名稱。如果憑證是有效的,用戶端便會信任該伺服器並開啟連線。產生的連線會受到信任,並且從此不會受到其他受信任的伺服器或用戶端挑戰。在此環境內,搭配 Web 服務使用的安全通訊端層 (SSL) 可以如 TLS 類型一般產生關聯。

伺服器對伺服器連線倚賴雙向 TLS (MTLS) 進行雙向驗證。在 MTLS 連線中,產生訊息和接收訊息的伺服器之間交換的憑證,必須是由彼此共同信任之 CA 所核發的憑證。憑證會在伺服器之間證明彼此的身分。在 Office Communications Server 2007 R2 部署中,所有的內部用戶端和伺服器會自動將企業 CA 所核發的憑證視為有效。而在聯盟案例中,組成聯盟的雙方都必須信任發行的 CA。每一個合作夥伴可以視需要使用不同的 CA,只要該 CA 同樣受到其他合作夥伴的信任。當 Edge Server 信任的根 CA 中已有合作夥伴的根 CA 憑證,或是使用受雙方信任的協力廠商 CA 時,這項信任最容易達成。

TLS 和 MTLS 可協助避免竊聽和攔截式攻擊。在攔截式攻擊中,攻擊者會在兩個網路實體不知情的情況下,透過攻擊者的電腦重新路由雙方之間的通訊。TLS 和安全伺服器清單可降低應用程式層上攔截式攻擊的部分風險,但最終網路基礎結構 (在此案例中是公司 DNS) 還是必須根據最佳作法加以保護。Office Communications Server 會假設信任 DNS 伺服器的方式與信任網域控制站和通用類別目錄的方式相同。

下圖以高階方式說明 Office Communications Server 如何使用 MTLS 建立受信任伺服器的網路。

圖 1. Office Communications Server 2007 R2 網路中受信任的連線
Dd572653.c5046892-ee0f-421b-9bf5-0645b1b046d0(zh-tw,office.13).jpg
顯示: