Partager via

Infrastructure à clé publique pour Lync Server 2013

  • Article

 

Rubrique Dernière modification : 2013-11-13

Microsoft Lync Server 2013 s’appuie sur des certificats pour l’authentification du serveur et établir une chaîne d’approbation entre les clients et les serveurs et entre les différents rôles serveur. Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 et Windows Server 2003 Public Key Infrastructure (PKI) fournissent l’infrastructure permettant d’établir et de valider cette chaîne d’approbation.

Les certificats sont des ID numériques. Ils identifient un serveur par son nom et indiquent ses propriétés. Afin de garantir que les informations d’un certificat sont valides, celui-ci doit être émis par une autorité de certification (CA) approuvée par les clients ou d’autres serveurs qui se connectent au serveur. Si le serveur se connecte uniquement avec d’autres clients et serveurs sur un réseau privé, la CA peut être une CA d’entreprise. Si le serveur interagit avec des entités en dehors du réseau privé, une CA publique peut être requise.

Même si les informations du certificat sont valides, il doit exister un moyen de vérifier que le serveur présentant le certificat est en fait celui représenté par le certificat. C’est ici que le PKI de Windows entre en jeu.

Chaque certificat est lié à une clé publique. Le serveur nommé sur le certificat contient une clé privée correspondante que lui seul connaît. Un client ou serveur se connectant utilise la clé publique pour chiffrer une information aléatoire et l’envoie au serveur. Si le serveur déchiffre l’information et la retourne sous forme de texte simple, l’entité se connectant peut ainsi être sûre que le serveur contient la clé privée du certificat et qu’il s’agit donc du serveur nommé sur le certificat.

Remarque

Les autorités de certification publiques ne sont pas toutes conformes aux exigences des certificats Lync Server 2013. Nous vous conseillons de vous reporter à la liste des autorités de certification publiques approuvées pour vos besoins de certificats publics. Pour plus d’informations, consultez Unified Communications Certificate Partners à l’adresse https://go.microsoft.com/fwlink/p/?LinkId=140898.

Points de distribution

Lync Server 2013 exige que tous les certificats de serveur contiennent un ou plusieurs points de distribution de liste de révocation de certificats (CRL). Les points de distribution CRL (CDP) sont des emplacements à partir desquels les CRL peuvent être téléchargés en vue de vérifier que le certificat n’a pas été révoqué depuis son émission et qu’il est toujours dans sa période de validité. Un point de distribution CRL est indiqué dans les propriétés du certificat sous forme d’URL et il s’agit généralement d’une adresse HTTP sécurisée.

Utilisation améliorée de la clé

Lync Server 2013 requiert que tous les certificats de serveur prennent en charge l’utilisation améliorée des clés (EKU) pour l’authentification du serveur. La configuration du champ EKU pour l’authentification du serveur signifie que le certificat est valide pour l’authentification des serveurs. Cette EKU est essentielle pour MTLS. Il est possible d’avoir plusieurs entrées dans l’EKU, ce qui permet au certificat d’avoir plusieurs rôles.

Remarque

La référence EKU d’authentification du client est requise pour les connexions MTLS sortantes à partir de Live Communications Server 2003 et de Live Communications Server 2005, mais elle n’est plus nécessaire. Toutefois, cette référence EKU doit être présente sur les serveurs Edge qui se connectent à AOL au moyen d’une connectivité de messagerie instantanée publique.