Office Communications Server 2007 R2 的公開金鑰基礎結構

Communications Server 2007 R2

上次修改主題的時間: 2009-03-09

Office Communications Server 2007 R2 依賴憑證進行伺服器驗證,以及在用戶端和伺服器之間與不同的伺服器角色之間建立信任鏈結。Windows Server 2003 和 Server 2008 公開金鑰基礎結構 (PKI) 提供了建立和驗證此信任鏈結的基礎結構。

憑證是數位 ID,會透過名稱識別伺服器以及指定其內容。若要確保憑證上的資訊有效,憑證必須是由連接到伺服器的用戶端或其他伺服器信任的 CA 所核發。如果伺服器僅與私人網路上的其他用戶端和伺服器連線,則 CA 可以是企業 CA。如果伺服器與私人網路外的實體互動,則可能需要公用 CA。

即使憑證上的資訊有效,仍然必須以某種方式驗證提供憑證的伺服器確實是憑證所代表的伺服器。Windows PKI 的功用就在於此。

每一個憑證都會連結到公開金鑰。憑證上命名的伺服器擁有只有本身知道的對應私密金鑰。連接的用戶端或伺服器會使用公開金鑰加密資訊的任意片段,並將它傳送至伺服器。如果伺服器解密資訊並且以純文字傳回該資訊,則連接的實體就能確定該伺服器擁有憑證的私密金鑰,因此確實是憑證上署名的伺服器。

注意:並非所有公用 CA 都符合 Office Communications Server 憑證的需求。建議您參考通過認證的公用 CA 廠商清單,以取得您需要的公用憑證。如需詳細資訊,請參閱<Exchange 2007 和 Communications Server 2007 的整合通訊憑證夥伴>(機器翻譯),網址為 http://go.microsoft.com/fwlink/?LinkId=140898

Office Communications Server 2007 R2 要求所有伺服器憑證包含一個或多個憑證撤銷清單 (CRL) 發佈點。CRL 發佈點 (CDP) 是可供下載 CRL 的位置,用來驗證憑證自核發時至今尚未撤銷。CRL 發佈點會在憑證的內容中註明為 URL,且通常是安全的 HTTP。

基於伺服器驗證的目的,Office Communications Server 2007 R2 會要求所有伺服器憑證支援增強金鑰使用方式 (EKU)。設定伺服器驗證的 EKU 欄位就表示,憑證可用於驗證伺服器。EKU 對 MTLS 而言是必要的。EKU 中可以有多個項目,使憑證可供多種目的使用。

Dd572945.note(zh-tw,office.13).gif附註:
來自 Live Communications Server 2003 和 Live Communications Server 2005 的輸出 MTLS 連線需要用戶端驗證 EKU,但是目前已不再需要。不過,透過公開 IM 連線連接 AOL 的 Edge Server 上,必須有這個 EKU。
顯示: