Certificados de Lync Phone Edition
Última modificación del tema: 2014-01-07
Lync Server usa certificados para autenticar los servidores y establecer una cadena de confianza entre los clientes y servidores y entre los diversos roles de servidor. El sistema operativo Windows Server proporciona la infraestructura para establecer y validar esta cadena de confianza.
Los certificados son identificadores digitales. Identifican un servidor por nombre y especifican sus propiedades. Para garantizar la validez de la información incluida en un certificado, este debe proceder de una entidad de certificación (CA) que sea de confianza para los clientes u otros servidores que se conectan al servidor. Si el servidor se conecta únicamente a otros clientes y servidores de una red privada, la CA puede ser una CA de empresa, pero, si el servidor interactúa con entidades ubicadas fuera de la red privada, es posible que se requiera una CA pública.
Incluso si la información incluida en el certificado es válida, es preciso comprobar de alguna manera que el servidor que presenta el certificado es realmente el servidor representado por el certificado. Ahí es donde entra en juego la infraestructura de clave pública (PKI) de Windows.
Cada certificado está asociado a una clave pública. El servidor indicado en el certificado tiene una clave privada correspondiente que solo él conoce. El cliente o servidor que se conecta usa la clave pública para cifrar un fragmento de información aleatorio y enviarlo al servidor. Si el servidor descifra la información y la devuelve como texto sin formato, la entidad que se conecta puede estar segura de que el servidor tiene la clave privada asociada al certificado y, por consiguiente, es el servidor indicado en el certificado.
Certificado de la entidad de certificación raíz de Lync Phone Edition
La comunicación entre Lync Server y Lync Phone Edition se cifra de forma predeterminada mediante la Seguridad de la capa de transporte (TLS) y el protocolo de transporte seguro en tiempo real (SRTP), motivo por el cual el dispositivo que ejecuta Lync Phone Edition debe confiar en los certificados que Lync Server presenta. Si los equipos que ejecutan Lync Server usan certificados públicos, lo más probable es que el dispositivo confíe automáticamente en ellos, ya que contiene la misma lista de entidades de certificación de confianza que Windows CE. No obstante, dado que la mayoría de las implementaciones de Lync Server usa certificados internos para los roles de servidor internos de Lync Server, será necesario instalar en el dispositivo el certificado de CA raíz procedente del CA interno. Como esto no se puede llevar a cabo manualmente, el certificado de CA debe obtenerse de la red. En este sentido, Lync Phone Edition puede descargar el certificado de dos formas.
Primero, el dispositivo busca objetos de Active Directory Domain Services (AD DS) con la categoría certificationAuthority. Si la búsqueda devuelve algún objeto, el dispositivo usa el atributo caCertificate, que es el atributo que supuestamente contiene el certificado, e instala el certificado.
El certificado de la entidad de certificación raíz se debe publicar en caCertificate para Lync Phone Edition. Para incluir el certificado de la entidad de certificación raíz en el atributo caCertificate, use el siguiente comando:
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
Si la búsqueda de objetos de Active Directory con la categoría certificationAuthority no devuelve objetos, o si los objetos devueltos contienen atributos caCertificate vacíos, el dispositivo buscará objetos de Active Directory con la categoría pKIEnrollmentService en el contexto de nomenclatura de configuración. Dichos objetos existen si se ha habilitado la inscripción automática de certificados en Active Directory. Si la búsqueda devuelve objetos, el dispositivo usará el atributo dNSHostName devuelto para hacer referencia a la entidad de certificación y, a continuación, usará la interfaz web del Servicio de servidor de certificados de Microsoft para recuperar el certificado de entidad de certificación raíz mediante el siguiente comando get- de HTTP:
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
Si ninguno de estos métodos tiene éxito, el dispositivo muestra el mensaje de error "No se puede validar el certificado de servidor" y el usuario no podrá usarlo.
Consideraciones acerca de la emisión de certificados a Lync Phone Edition
A continuación, se indican las consideraciones que deben tenerse en cuenta para emitir certificados a Lync Phone Edition:
De forma predeterminada, Lync Phone Edition usa TLS y SRTP, que requieren que:
-Lync Server y Microsoft Exchange Server presenten los certificados de confianza.
-El certificado de la cadena de la entidad de certificación raíz resida en el dispositivo.
Los certificados no se pueden instalar manualmente en el dispositivo.
Se deben definir opciones para realizar las siguientes tareas:
-Usar certificados públicos.
-Cargar previamente los certificados públicos en el dispositivo.
-Usar certificados de la organización.
-Recibir la cadena de la entidad de certificación raíz de la red.
Búsqueda de la cadena de la entidad de certificación raíz de la organización
Lync Phone Edition busca el certificado a través del objeto de inscripción automática de PKI de AD DS o bien a través de un nombre distintivo conocido. A continuación se recogen los detalles:
Para habilitar la inscripción automática de PKI mediante la entidad de certificación de la organización, el dispositivo realiza una solicitud LDAP (protocolo ligero de acceso a directorios) con el fin de hallar el objeto pKIEnrollmentService/dirección de servidor de la entidad de certificación y, en última instancia, descarga el certificado a través de HTTP en el sitio de CA de Windows/certsrv usando para ello las credenciales de usuario.
Use el nombre distintivo que se indica a continuación para usar la entidad de certificación raíz certutil -f -dspublish “ubicación del archivo .cer" con el propósito de cargar los certificados al NC de configuración:
Cn=Entidades de certificación, cn=Servicios de claves públicas, CN=Servicios, cn=Configuración, dc=<dominio AD>
Nota
La solicitud LDAP es BaseDN: CN=Configuration, dc= <Dominio> Filter: (objectCategory=pKIEnrollmentService) y el atributo de búsqueda es dNSHostname. Tenga en cuenta que el dispositivo descarga el certificado mediante el comando get- de HTTP http://<nombreDeHostDNS>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64.
Memoria caché de las entidades de certificación de confianza
La siguiente tabla recoge los certificados públicos en los que Lync Phone Edition confía.
Certificados de confianza públicos
Proveedor | Nombre del certificado | Fecha de vencimiento | Longitud de clave |
---|---|---|---|
Comodo |
Servicios de servidor de certificados AAA |
31/12/2028 |
2048 |
Comodo |
Raíz de CA externa AddTrust |
30/5/2020 |
2048 |
CyberTrust |
Raíz Baltimore CyberTrust |
12/5/2025 |
2048 |
CyberTrust |
Raíz global GTE CyberTrust |
13/8/2018 |
1024 |
VeriSign |
Entidad de certificación primaria pública de clase 2 |
1/8/2028 |
1024 |
VeriSign |
CA de servidor premium Thawte |
31/12/2020 |
1024 |
VeriSign |
CA de servidor Thawte |
31/12/2020 |
1024 |
VeriSign |
Entidad de certificación primaria pública de clase 2 |
1/8/2028 |
1024 |
Entrust |
Entidad de certificación Entrust.net (2048) |
24/12/2019 |
2048 |
Entrust |
Entidad de certificación de servidor Entrust.net |
25/5/2019 |
1024 |
Entrust |
Entidad de certificación raíz Entrust |
11/27/2026 |
2048 |
Entrust |
Entidad de certificación Entrust.net (2048) |
7/24/2029 |
2048 |
Equifax |
Entidad de certificación de seguridad Equifax |
22/8/2018 |
1024 |
GeoTrust |
CA global GeoTrust |
20/5/2022 |
2048 |
Go Daddy |
Entidad de certificación clase 2 Go Daddy |
29/6/2034 |
2048 |
Go Daddy |
http://www.valicert.com/ |
25/6/2019 |
1024 |
Go Daddy |
Entidad de certificación clase 2 Starfield |
29/6/2034 |
2048 |
DigiCert Inc. |
CA raíz ID asegurado DigiCert |
11/9/2031 |
2048 |
DigiCert Inc. |
CA raíz global DigiCert |
11/9/2031 |
2048 |
DigiCert Inc. |
CA raíz EV seguridad alta DigiCert |
11/9/2031 |
2048 |