Certificat d'autorité de certification racine d'Office Communicator Phone Edition
Dernière rubrique modifiée : 2009-05-28
Office Communications Server 2007 R2 fait appel à des certificats pour authentifier les serveurs et établir une chaîne d'approbation entre les clients et les serveurs ainsi que parmi les divers rôles de serveur. L'infrastructure de clé publique Windows Server 2003 est une infrastructure qui permet d'établir et de valider cette chaîne.
Les protocoles TLS et SRTP chiffrent par défaut les communications entre Communicator Phone Edition et Office Communications Server 2007 R2. Par conséquent, le dispositif doit être en mesure d'approuver les certificats présentés par les serveurs Office Communications Server 2007 R2. Si les serveurs Office Communications Server 2007 R2 utilisent des certificats publics, ils seront sans doute approuvés par le dispositif, puisqu'il inclut la même liste d'autorités de certification approuvées que Windows CE. Toutefois, étant donné que la plupart des déploiements d'Office Communications Server 2007 R2 utilisent des certificats internes pour les rôles de serveurs Office Communications Server 2007 R2, le certificat d'autorité de certification racine provenant de l'autorité de certification interne doit être installé sur l'appareil. Vous ne pouvez pas installer manuellement le certificat d'autorité de certification racine sur le dispositif ; il doit donc provenir du réseau. Communicator Phone Edition peut télécharger le certificat de deux manières différentes.
Le dispositif recherche des objets du répertoire Active Directory de la catégorie certificationAuthority. Si la recherche retourne des objets, l'attribut caCertificate est utilisé. Cet attribut est supposé contenir le certificat et le dispositif installe le certificat.
Le certificat d'autorité de certification racine doit être publié dans l'attribut caCertificate pour l'appareil Office Communicator Phone Edition. Pour que le certificat d'autorité de certification racine soit placé dans l'attribut caCertificate, utilisez la commande suivante :
certutil -f -dspublish <Certificat d'autorité de certification racine dans fichier .cer> RootCA.
Si la recherche d'objets Active Directory de la catégorie CertificationAuthority ne retourne aucun objet ou s'il existe des attributs caCertificate vides, le dispositif recherche des objets Active Directory de la catégorie pKIEnrollmentService dans le contexte de nommage de configuration. De tels objets existent si l'inscription automatique de certificat est activée dans Active Directory. Si la recherche retourne des objets, elle utilisera l'attribut dNSHostName retourné pour faire référence à l'autorité de certification, puis l'interface Web de Microsoft Certificate Service pour récupérer le certificat d'autorité de certification racine à l'aide de la commande HTTP GET http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64.
Si aucune des méthodes n'aboutit, le dispositif présente le message d'erreur « Cannot validate server certificate » (Impossible de valider le certificat du serveur) et l'utilisateur n'est pas en mesure de l'utiliser.
Certificats d'Office Communicator Phone Edition
Vous trouverez ci-dessous une liste d'éléments à prendre en compte lors de l'émission de certificats pour Office Communicator Phone Edition.
- Par défaut, Communicator Phone Edition utilise les protocoles Transport Layer Security (TLS) et Secure Real-time Transport Protocol (SRTP).
- Configuration requise : certificats d'approbation présentés par les serveurs Office Communications Server 2007 R2 et Exchange Server 2007.
- Configuration requise : le certificat de chaîne de l'autorité de certification racine réside sur le dispositif.
- Aucune installation manuelle du certificat sur l'appareil n'est possible.
- Options :
- Utilisation de certificats publics
- Certificats publics préchargés sur l'appareil
- Utilisation de certificats d'entreprise
- Réception de la chaîne d'autorités de certification racines depuis le réseau
Chaîne d'autorités de certification racine d'entreprise
Communicator Phone Edition peut localiser le certificat à l'aide de l'infrastructure de clé publique de l'objet d'inscription automatique figurant dans les services du domaine Active Directory ou par un nom distinct connu.
- Activez d'inscription automatique de l'infrastructure de clé publique par l'autorité de certification d'entreprise.
- Le dispositif émet une requête LDAP pour rechercher l'adresse du service pKIEnrollmentService/CA server et télécharger le cas échéant le certificat à l'aide du protocole HTTP sur le site Windows CA /certsrv en utilisant les informations d'identification de l'utilisateur.
- Utilisez certutil -f -dspublish "emplacement du fichier .cer" RootCA pour télécharger les certificats vers le contexte de nommage de configuration.
- Cn=Autorités de certification, cn=Services de clé publique, CN=Services, cn=Configuration, dc=<Domaine AD>
La requête LDAP est BaseDN: CN=Configuration, dc= <Domaine> Filter: (objectCategory=pKIEnrollmentService) et l'attribut recherché est dNSHostname. Gardez à l'esprit que le dispositif télécharge le certificat à l'aide du protocole HTTP get - http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64.
Mise en cache des autorités de confiance
Le tableau 1 dresse la liste des certificats publics approuvés par Office Communicator Phone Edition.
Tableau 1. Certificats publics
Fournisseur |
Nom du certificat |
Date d'expiration |
Longueur de la clé |
Comodo |
AAA Certificate Services |
31/12/2020 |
2048 |
Comodo |
AddTrust External CA Root |
30/05/2020 |
2048 |
Cybertrust |
Baltimore CyberTrust Root |
12/05/2025 |
2048 |
Cybertrust |
GlobalSign Root CA |
28/01/2014 |
2048 |
Cybertrust |
GTE CyberTrust Global Root |
13/08/2018 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
01/08/2028 |
1024 |
VeriSign |
Thawte Premium Server CA |
31/12/2020 |
1024 |
VeriSign |
Thawte Server CA |
31/12/2020 |
1024 |
VeriSign |
Comodo |
07/01/2010 |
1000 |
VeriSign |
Class 3 Public Primary Certification Authority |
01/08/2028 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
24/12/2019 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
25/05/2019 |
1024 |
Equifax |
Equifax Secure Certification Authority |
22/08/2018 |
1024 |
GeoTrust |
GeoTrust Global CA |
20/05/2022 |
2048 |
GoDaddy |
GoDaddy Class 2 Certification Authority |
29/06/2034 |
2048 |
GoDaddy |
http://www.valicert.com/ |
25/06/2019 |
1024 |
GoDaddy |
Starfield Class 2 Certification Authority |
29/06/2034 |
2048 |