Public Key-Infrastruktur für Office Communications Server 2007 R2

Letztes Änderungsdatum des Themas: 2009-03-09

Office Communications Server 2007 R2 verwendet Zertifikate für die Serverauthentifizierung und für die Einrichtung einer Vertrauenskette zwischen Clients und Servern und zwischen den unterschiedlichen Serverrollen. Die Windows Server 2003- und Windows Server 2008-PKI (Public Key Infrastructure) stellt die Infrastruktur bereit, um die Vertrauenskette einzurichten und zu überprüfen.

Zertifikate sind digitale IDs. Sie identifizieren einen Server namentlich und geben seine Eigenschaften an. Damit die Gültigkeit der Informationen auf einem Zertifikat sichergestellt werden kann, muss es von einer Zertifizierungsstelle ausgestellt werden, die von den Clients oder anderen Servern mit Verbindung zum Server als vertrauenswürdig erachtet wird. Wenn der Server lediglich Verbindungen mit anderen Clients und Servern in einem privaten Netzwerk herstellt, kann es sich bei der Zertifizierungsstelle um die Zertifizierungsstelle eines Unternehmens handeln. Wenn der Server mit anderen Einheiten außerhalb des privaten Netzwerks interagiert, ist möglicherweise eine öffentliche Zertifizierungsstelle erforderlich.

Auch wenn die Informationen auf einem Zertifikat gültig sind, muss es eine Möglichkeit geben sicherzustellen, dass der Server, der das Zertifikat vorlegt, auch tatsächlich der Server ist, für den es gilt. Hier kommt die Windows-PKI ins Spiel.

Jedes Zertifikat ist mit einem öffentlichen Schlüssel verknüpft. Der auf dem Zertifikat genannte Server verfügt über einen entsprechenden privaten Schlüssel, der nur dem Server bekannt ist. Ein Client oder Server, der eine Verbindung herstellt, verwendet den öffentlichen Schlüssel zum Verschlüsseln eines zufälligen Informationsteilstücks und sendet dieses an den Server. Wenn der Server die Informationen entschlüsselt und in Nur-Text-Form zurücksendet, kann die Einheit, die eine Verbindung herstellt, sicher sein, dass der Server über den privaten Schlüssel für das Zertifikat verfügt und somit auch der auf dem Zertifikat genannte Server ist.

Hinweis: Nicht alle öffentlichen Zertifizierungsstellen erfüllen die Anforderungen für Office Communications Server-Zertifikate. Es wird empfohlen, die Liste mit zertifizierten öffentlichen Anbietern von Zertifizierungsstellen zu konsultieren, wenn Sie öffentliche Zertifikate benötigen. Ausführliche Informationen finden Sie unter "Unified Communications-Zertifikatpartner für Exchange 2007 und Communications Server 2007" unter https://go.microsoft.com/fwlink/?LinkId=140898 (möglicherweise in englischer Sprache oder Maschinenübersetzung).

Verteilungspunkte für Zertifikatsperrliste

Bei Office Communications Server 2007 R2 müssen alle Zertifikate einen oder mehrere Verteilungspunkte für Zertifikatsperrlisten (CRL, Certificate Revocation List) enthalten. Verteilungspunkte für Zertifikatsperrlisten sind Speicherorte, von denen CRLs heruntergeladen werden können, um zu überprüfen, ob das Zertifikat seit der letzten Nutzung nicht gesperrt wurde. Ein Verteilungspunkt für Zertifikatsperrlisten wird in den Eigenschaften des Zertifikats als URL angegeben. Normalerweise handelt es sich dabei um sicheres HTTP.

Erweiterte Schlüsselverwendung

Alle Serverzertifikate für Office Communications Server 2007 R2 müssen eine erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für die Serverauthentifizierung unterstützen. Das Konfigurieren des EKU-Felds zur Serverauthentifizierung bedeutet, dass das Zertifikat zum Authentifizieren von Servern gültig ist. Diese EKU ist für MTLS absolut erforderlich. Es kann mehr als ein Eintrag im EKU-Feld vorhanden sein. Damit wird das Zertifikat für mehr als einen Zweck aktiviert.

Hinweis:
Die Clientauthentifizierungs-EKU ist für ausgehende MTLS-Verbindungen von Live Communications Server 2003 und Live Communications Server 2005 erforderlich. Die EKU muss auf Edgeservern vorhanden sein, die über öffentliche Instant Messaging-Dienste eine Verbindung zu AOL herstellen.