Preparando certificados para o Communicator Web Access
Tópico modificado em: 2011-11-17
O Communicator Web Access (versão 2007 R2) usa dois protocolos diferentes - TLS mútuo (MTLS) e protocolo SSL – para realizar as tarefas designadas. MTLS é um protocolo que fornece comunicação segura entre dois computadores. Nesse caso, o MTLS é usado para autenticar as conexões entre o Communicator Web Access e o Office Communicator Server 2007 R2.
Protocolo SSL é um protocolo de Internet usado como uma maneira de autenticar os participantes de uma conversa e de criptografar essa conversa. Com o Communicator Web Access, o SSL (e seus certificados) é usado para proteger as conexões entre os clientes e o servidor.
Embora o Communicator Web Access use dois protocolos diferentes, você pode instalar um único certificado: na maioria dos casos o mesmo certificado pode ser usado para MTLS e SSL. (O certificado MTLS é atribuído quando você ativa o Communicator Web Access, enquanto o SSL é atribuído cada vez que você cria um servidor virtual). Se você tiver somente um servidor do Communicator Web Access, pode usar um único certificado desde que ele cumpra os critérios a seguir:
Nome da entidade |
Corresponde ao URL do site do Communicator Web Access. Por exemplo, se o URL for https://im.contoso.com, o certificado deve ter im.contoso.com como nome da entidade. Corresponde ao nome de domínio totalmente qualificado (FQDN) do servidor do Communicator Web Access. O URL do servidor do Communicator Web Access deve ser definido no campo SAN. |
Nome alternativo da entidade (SAN) |
Inclui o seguinte:
|
Por exemplo, suponha você tem um computador com o nome cwaserver.contoso.com, e os usuários acessam esse servidor usando o nome de host im.contoso.com. Nesse caso, o seu certificado precisaria incluir as informações a seguir:
Nome da entidade |
|
Nome alternativo da entidade (SAN) |
|
É possível que um único computador do Communicator Web Access hospede vários servidores virtuais (por exemplo, im.contoso.com e im.fabrikam.com). Nesse caso você precisará de dois certificados, um para contoso.com e outro para fabrikam.com.
Também é possível ter certificados separados de SSL e MTLS. Por exemplo, se o URL do Communicator Web Access é https://im.contoso.com, seu certificado SSL deve ter as informações a seguir:
Nome da entidade |
|
Nome alternativo da entidade (SAN) |
|
O certificado MTLS deve listar o nome de domínio totalmente qualificado (FQDN) do computador do Communications Web Access no nome da entidade do certificado. Se o FQDN do computador for cwaserver.contoso.com, o certificado MTLS deve incluir as informações a seguir (sem exigir o nome alternativo):
Nome da entidade |
|
Os certificados atribuídos ao servidor do Communicator Web Access e ao Office Communications Server não precisam ser emitidos pela mesma autoridade de certificação (CA). Isso permite atribuir um certificado de uma CA pública a um servidor virtual usado pelos usuários externos. Consulte os detalhes em Solicitando um certificado de terceiros para o Communicator Web Access. Isso é importante para usuários que fazem o logon no Communicator Web Access de um computador público (por exemplo, um computador em um cybercafé) ou emprestado. Se o servidor virtual usar um certificado SSL emitido por uma CA que não é confiável para o computador, o usuário verá uma mensagem "conteúdo bloqueado" quando acessar a tela de entrada do Communicator Web Access. Embora o usuário possa fazer o logon, ele não poderá enviar mensagens imediatas ou participar das sessões de compartilhamento do desktop. A única solução é atribuir um novo certificado ao servidor virtual, ou fazer cada cliente obter um certificado da CA usada por esse servidor virtual.