Certificados para o Lync 2010 Phone Edition
Tópico modificado em: 2014-01-07
O Lync Server se baseia em certificados para autenticação do servidor e para estabelecer uma cadeia de confiança entre clientes e servidores em meio às diferentes funções de servidor. O sistema operacional Windows Server dispõe da infraestrutura para estabelecer e validar essa cadeia de confiança.
Os certificados são IDs digitais. Eles identificam um servidor por nome e especificam suas propriedades. Para assegurar que as informações em um certificado são válidas, o certificado deve ser emitido por uma AC (autoridade de certificação) que tem a confiança de clientes ou outros servidores que se conectam ao servidor. Se o servidor se conecta apenas a outros clientes e servidores em uma rede privada, a AC pode ser uma AC empresarial. Caso o servidor interaja com entidades fora da rede privada, uma AC pública pode ser exigida.
Mesmo que as informações de um certificado sejam válidas, deve haver alguma forma de verificar se o servidor que está apresentando o certificado é realmente o representado pelo certificado. É aqui que entra o Windows PKI (infraestrutura de chave pública).
Cada certificado é vinculado a uma chave pública. O servidor nomeado no certificado retém uma chave privada correspondente que somente ele conhece. Um cliente ou servidor de conexão usa a chave pública para criptografar uma parte aleatória das informações e enviá-la ao servidor. Se o servidor desencriptar a informação e retorná-la como texto sem formatação, a entidade que está se conectando pode ter certeza de que o servidor tem a chave privada para o certificado e é, portanto, o servidor nomeado no certificado.
Certificado CA Raiz para Lync Phone Edition
A comunicação entre Lync Server e Lync Phone Edition é criptografada, por padrão, usando TLS (Transport Layer Security) e SRTP (secure real-time transport protocol). Por esta razão, o dispositivo executando Lync Phone Edition deve confiar nos certificados apresentados pelo Lync Server. Caso os computadores executando o Lync Server utilizem certificados públicos, eles provavelmente terão confiança do dispositivo automaticamente pois o dispositivo contém a mesma lista de CAs confiados que o Windows CE. No entanto, já que a maioria das implantações de Lync Server usam certificados internos para as funções de servidor Lync Server internas, há a necessidade de instalar o certificado CA raiz a partir do CA interno para o dispositivo. Não é possível instalar o certificado CA raiz manualmente no dispositivo, então ele precisa vir da rede. O Lync Phone Edition é capaz de fazer o download do certificado usando dois métodos.
Primeiro, o dispositivo procura por objetos de Serviços de Domínio Active Directory (AD DS) da categoria certificationAuthority. Caso a busca retorne algum objeto, o dispositivo utiliza o atributo caCertificate. Presume-se que este atributo contenha o certificado e o dispositivo o instala.
O certificado CA raiz deve ser publicado no caCertificate para o Lync Phone Edition. Para que o certificado CA raiz adicione ao atributo caCertificate, utilize o comando a seguir:
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
Caso a busca por objetos Active Directory da categoria certificationAuthority não retorne qualquer objeto ou se os objetos retornados tenham atributos caCertificate vazios, o dispositivo procura por objetos Active Directory da categoria pKIEnrollmentService no contexto de nomeação de categoria. Esses objetos existirão se a Inscrição Automática do Certificado tiver sido habilitada no Active Directory. Caso a busca retorne qualquer objeto, o dispositivo usa o atributo dNSHostName que foi retornado para fazer referência ao CA e então usa a interface web do Windows Certificate Services para recuperar o certificado CA raiz utilizando o seguinte comando HTTP get-:
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
Caso nenhum destes métodos seja bem sucedido, o dispositivo apresenta a mensagem de erro "Não foi possível validar o certificado de servidor" e o usuário não conseguiria utilizá-lo.
Considerações para Emitir Certificados para o Lync Phone Edition
Uma lista de considerações para emitir certificados para Lync Phone Edition segue:
Por padrão, o Lync Phone Edition utiliza TLS e SRTP, o que requer que:
-Certificados confiáveis sejam apresentados pelo Lync Server e Microsoft Exchange Server.
-O certificado de cadeia CA raiz esteja no dispositivo.
Você não pode instalar certificados no dispositivo manualmente.
Configure as opções para fazer o seguinte:
-Usar certificados públicos.
-Pré-carregar os certificados públicos no dispositivo.
-Usar certificados de organização.
-Receber a cadeia de CA raiz da rede.
Encontrando a Cadeia de CA Raiz da organização
Lync Phone Edition pode encontrar o certificado utilizando o objeto de registro automático PKI no AD DS ou um nome diferenciado (DN) conhecido. Seguem os detalhes:
Para habilitar o registro automático PKI usando o CA da organização, o dispositivo faz uma solicitação LDAP (Lightweight Directory Access Protocol) para encontrar o endereço de servidor pKIEnrollmentService/CA e eventualmente faz o download do certificado, utilizando HTTP ao site Windows CA /certsrv utilizando as credenciais do usuário.
Para usar o CA raiz certutil -f -dspublish “.cer file location" para carregar os certificados à configuração NC, utilize os seguintes DNs:
Cn=Autoridades de Certificado, cn=Serviços de Chave Pública, CN=Serviços, cn=Configuração, dc=<AD domain>
.gif "note") Observação: |
|---|
| A solicitação LDAP é BaseDN: CN=Configuration, dc= <Domain> Filtro: (objectCategory=pKIEnrollmentService), e o atributo procurado é dNSHostname. Esteja ciente de que o dispositivo faz o download do certificado utilizando o comando HTTP get- http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64. |
Cache de Autoridades Confiáveis
A tabela a seguir descreve os certificados públicos nos quais o Lync Phone Edition confiava.
Certificados Públicos Confiados
| Fornecedor | Nome do Certificado | Data de Expiração | Comprimento de chave |
|---|---|---|---|
Comodo |
AAA Certificate Services |
31/12/2028 |
2048 |
Comodo |
AddTrust External CA Root |
30/05/2020 |
2048 |
CyberTrust |
Baltimore CyberTrust Root |
12/05/2025 |
2048 |
CyberTrust |
GTE CyberTrust Global Root |
13/08/2018 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
01/08/2028 |
1024 |
VeriSign |
Thawte Premium Server CA |
31/12/2020 |
1024 |
VeriSign |
Thawte Server CA |
31/12/2020 |
1024 |
VeriSign |
Class 3 Public Primary Certification Authority |
01/08/2028 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
24/12/2019 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
25/05/2019 |
1024 |
Entrust |
Autoridade de certificação raiz Entrust |
27/11/2026 |
2048 |
Entrust |
Autoridade de certificação Entrust.net (2048) |
24/7/2029 |
2048 |
Equifax |
Equifax Secure Certificate Authority |
22/08/2018 |
1024 |
GeoTrust |
GeoTrust Global CA |
20/05/2022 |
2048 |
Go Daddy |
Go Daddy Class 2 Certification Authority |
29/06/2034 |
2048 |
Go Daddy |
http://www.valicert.com/ |
25/06/2019 |
1024 |
Go Daddy |
Starfield Class 2 Certification Authority |
29/06/2034 |
2048 |
DigiCert Inc. |
AC raiz de ID assegurada DigiCert |
9/11/2031 |
2048 |
DigiCert Inc. |
AC global raiz DigiCert |
9/11/2031 |
2048 |
DigiCert Inc. |
AC raiz EV de alta garantia DigiCert |
9/11/2031 |
2048 |