TLS und MTLS für Office Communications Server 2007 R2

Letztes Änderungsdatum des Themas: 2009-03-10

Die Protokolle TLS und MTLS bieten verschlüsselte Kommunikation und Endpunktauthentifizierung im Internet. Office Communications Server verwendet diese beiden Protokolle für die Erstellung des Netzwerks vertrauenswürdiger Server und die Verschlüsselung der gesamten Netzwerkkommunikation. Die gesamte SIP-Kommunikation zwischen den Servern erfolgt über MTLS. Die SIP-Kommunikation von Client zu Server erfolgt über TLS.

Mit TLS können die Benutzer die Office Communications Server 2007 R2-Server, mit denen sie sich verbinden, über ihre Clientsoftware authentifizieren. Bei einer TLS-Verbindung fordert der Client ein gültiges Zertifikat vom Server an. Ein gültiges Zertifikat muss von einer auch für den Client vertrauenswürdigen Zertifizierungsstelle ausgegeben worden sein, und der DNS-Name des Servers muss mit dem DNS-Namen des Zertifikats übereinstimmen. Wenn dieses Zertifikat gültig ist, erkennt der Client den Server als vertrauenswürdig an und öffnet die Verbindung. Die daraus resultierende Verbindung ist vertrauenswürdig, und im weiteren Verlauf wird keine Authentifizierung von anderen vertrauenswürdigen Servern oder Clients angefordert. In diesem Zusammenhang kann Secure Sockets Layer (SSL) bei der Verwendung mit Webdiensten auf TLS-Basis zugeordnet werden.

Server-zu-Server-Verbindungen basieren hinsichtlich der gegenseitigen Authentifizierung auf Mutual TLS (MTLS). Bei einer MTLS-Verbindung tauschen der Server, der eine Nachricht sendet, und der Server, der diese empfängt, Zertifikate von einer für beide Server vertrauenswürdigen Zertifizierungsstelle aus. Die Zertifikate belegen die Identität der einzelnen Server gegenüber den anderen. In Bereitstellungen von Office Communications Server 2007 R2 in Unternehmen werden die von der Unternehmenszertifizierungsstelle ausgegebenen Zertifikate von allen Clients und Servern automatisch als gültig betrachtet. Bei Föderationspartnern muss die ausstellende Zertifizierungsstelle von beiden Partnern als vertrauenswürdig anerkannt werden. Jeder Partner kann auf Wunsch eine andere Zertifizierungsstelle verwenden, solange diese auch vom anderen Partner als vertrauenswürdig eingestuft wird. Dieses Vertrauen wird sehr einfach dadurch erzielt, dass sich das Zertifikat der Stammzertifizierungsstelle des Partners unter den vertrauenswürdigen Stammzertifizierungsstellen des Edgeservers befindet. Alternativ kann auch die Zertifizierungsstelle eines Drittanbieters verwendet werden, die von beiden Parteien als vertrauenswürdig eingestuft wird.

TLS und MTLS tragen zur Vermeidung von Abhör- und Man-in-the-Middle-Angriffen bei. Bei einem Man-in-the-Middle-Angriff leitet der Angreifer die Kommunikation zwischen zwei Netzwerkentitäten ohne Wissen der Kommunikationspartner über seinen Computer. TLS und sichere Serverlisten mildern zum Teil das Risiko eines Man-in-the-Middle-Angriffs auf Anwendungsebene. Letztlich muss jedoch die Netzwerkinfrastruktur (in diesem Fall die DNS des Unternehmens) nach bewährten Methoden gesichert werden. Office Communications Server geht davon aus, dass der DNS-Server auf dieselbe Weise als vertrauenswürdig eingestuft wird wie Domänencontroller und globale Kataloge.

In der folgenden Abbildung sehen Sie auf allgemeiner Ebene, wie Office Communications Server mithilfe von MTLS ein Netzwerk vertrauenswürdiger Server erstellt.

Abbildung 1. Vertrauenswürdige Verbindungen in einem Office Communications Server 2007 R2-Netzwerk