Lync Server 2013 的 TLS 和 MTLS
上次修改的主题: 2013-11-07
传输层安全性 (TLS) 和相互传输层安全性 (MTLS) 协议提供 Internet 上的加密通信和终结点身份验证。 Microsoft Lync Server 2013 使用这两个协议创建受信任服务器网络,并确保通过该网络进行的所有通信都经过加密。 服务器之间的所有 SIP 通信都通过 MTLS 进行。 从客户端到服务器的 SIP 通信都通过 TLS 进行。
TLS 允许用户通过其客户端软件对其连接到的 Lync Server 2013 服务器进行身份验证。 在 TLS 连接中,客户端从服务器请求获取有效证书。 有效证书必须满足以下条件:由受客户端信任的 CA 颁发,且服务器的 DNS 名称必须与证书上的 DNS 名称一致。 如果证书有效,则客户端使用证书中的公钥对用于通信的对称加密密钥进行加密,因此只有证书的原始所有者可以使用其私钥对通信内容进行解密。 生成的连接将会受到信任,之后再不会受到其他受信任的服务器或客户端的质询。 在此上下文中,可将用于 Web 服务的安全套接字层 (SSL) 视为是基于 TLS 的。
服务器到服务器的连接依赖 MTLS 来进行相互身份验证。 在 MTLS 连接上,发出消息的服务器和接收消息的服务器交换来自相互信任的 CA 的证书。 证书可向一台服务器证明另一台服务器的身份。 在 Lync Server 2013 部署中,由企业 CA 颁发的证书在其有效期内且未由颁发 CA 吊销,这些证书被所有内部客户端和服务器自动视为有效,因为 Active Directory 域的所有成员都信任该域中的 Enterprise CA。 在联盟方案中,发证 CA 必须得到联盟伙伴双方的信任。 如果需要,任一伙伴均可以使用不同的 CA,只要该 CA 同时获得另一个伙伴的信任即可。 通过在边缘服务器的受信任的根 CA 中包含伙伴的根 CA 证书,或通过使用双方信任的第三方 CA,可以很轻松地建立此信任。
TLS 和 MTLS 有助于防止窃听攻击和中间人攻击。 在中间人攻击中,攻击者将通过其计算机重新路由两个网络实体之间的通信,而这两个网络实体对此毫不知情。 受信任服务器的 TLS 和 Lync Server 2013 规范仅 (拓扑生成器中指定的服务器) 通过使用两个终结点之间的公钥加密协调的端到端加密来缓解应用程序层中人部分受到攻击的风险, 攻击者必须具有具有相应私钥的有效且受信任的证书,并将其颁发给客户端要与之通信的服务的名称解密通信。 不过,最终,您还是必须遵循有关您的网络基础结构(在此示例中为企业 DNS)的最佳安全做法。 Lync Server 2013 假定 DNS 服务器受信任的方式与域控制器和全局目录受信任的方式相同,但 DNS 确实通过防止攻击者服务器成功响应对欺骗名称的请求来提供一定程度的防范 DNS 劫持攻击。
下图概括显示了 Lync Server 2013 如何使用 MTLS 创建受信任服务器网络。
Lync Server 网络中的受信任连接