Lync Server 2013 の公開キー インフラストラクチャ

 

トピックの最終更新日: 2013-11-13

Microsoft Lync Server 2013 は、サーバー認証用の証明書に依存し、クライアントとサーバー間、および異なるサーバーロール間で信頼の連鎖を確立します。 Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 公開キー インフラストラクチャ (PKI) は、この信頼チェーンを確立して検証するためのインフラストラクチャを提供します。

証明書とはデジタル ID です。 証明書は、名前によってサーバーを識別し、そのプロパティを指定します。 証明書の情報が有効であるためには、サーバーに接続するクライアントやその他のサーバーが信頼する CA から証明書が発行されている必要があります。 サーバーがプライベート ネットワーク上の他のクライアントおよびサーバーとのみ接続する場合は、CA はエンタープライズ CA で問題ありません。 サーバーがプライベート ネットワーク外のエンティティと対話する場合は、パブリック CA が必要な可能性があります。

証明書の情報が有効であっても、証明書を提示しているサーバーが、実際に証明書によって提示されているサーバーであることを確認する手段が必要です。 ここで Windows PKI が役立ちます。

各証明書は、公開キーにリンクされています。 証明書で名前が指定されているサーバーには、そのサーバーのみが知る、対応する秘密キーがあります。 接続しようとしているクライアントまたはサーバーは、公開キーを使用して無作為な情報の断片を暗号化し、それをサーバーに送信します。 サーバーがその情報を解読しプレーンテキストに戻すと、接続しようとしているエンティティは、証明書の秘密キーをサーバーが保持していること、つまり、そのサーバーが証明書で指定されていることを確認できます。

注意

すべてのパブリック CA が Lync Server 2013 証明書の要件に準拠しているわけではありません。 認定されているパブリック CA ベンダーの一覧を参照して、パブリック証明書のニーズに合ったベンダーを探すことをお勧めします。 詳細については、ユニファイド コミュニケーション証明書パートナーの詳細については、以下を https://go.microsoft.com/fwlink/p/?LinkId=140898参照してください。

CRL 配布ポイント

Lync Server 2013 では、すべてのサーバー証明書に 1 つ以上の証明書失効リスト (CRL) 配布ポイントが含まれている必要があります。 CRL 配布ポイント (CDP) とは、証明書の発行後にそれが失効していないこと、および証明書が有効期限内にあることを確認するために、CRL をダウンロードできる場所です。 CRL 配布ポイントは、URL として証明書のプロパティに記述され、通常、セキュア HTTP です。

拡張キー使用法

Lync Server 2013 では、サーバー認証の目的で拡張キー使用法 (EKU) をサポートするために、すべてのサーバー証明書が必要です。 サーバー認証用に EKU フィールドを構成することは、サーバーの認証に対して、その証明書が有効であることを意味します。 この EKU は、MTLS には不可欠です。 EKU には、複数のエントリを指定し、複数の目的に対して証明書を有効にできます。

注意

クライアント認証 EKU は、Live Communications Server 2003 および Live Communications Server 2005 からの送信 MTLS 接続に必要ですが、不要になりました。 ただし、この EKU は、パブリック IM 接続を使用して AOL に接続するエッジ サーバーに存在する必要があります。