Certificats pour Lync Phone Edition
Dernière rubrique modifiée : 2014-01-07
Lync Server fait appel à des certificats pour authentifier les serveurs et établir une chaîne d’approbation entre les clients et les serveurs ainsi que parmi les divers rôles serveur. Le système d’exploitation Windows Server fournit l’infrastructure qui permet d’établir et de valider cette chaîne.
Les certificats sont des identifiants numériques. Ils identifient un serveur à l’aide de son nom et spécifient ses propriétés. Pour que les informations figurant dans un certificat soient valides, le certificat doit avoir été émis par une autorité de certification approuvée par les clients et les serveurs qui se connectent au serveur. Si le serveur se connecte uniquement à d’autres clients et serveurs sur un réseau privé, l’autorité de certification peut être une autorité de certification d’entreprise. Si le serveur communique avec des entités en dehors du réseau privé, une autorité de certification publique peut être nécessaire.
Même si les informations du certificat sont valides, il doit être possible de vérifier si le serveur soumettant le certificat est réellement celui qu’il représente. C'est à ce niveau qu’intervient l’infrastructure de clé publique Windows.
Chaque certificat est lié à une clé publique. Le serveur nommé dans le certificat détient une clé privée correspondante qu’il est le seul à connaître. Lorsqu’un client ou un serveur se connecte, il utilise la clé publique pour chiffrer une information aléatoire qu’il envoie au serveur. Si le serveur déchiffre les informations et les renvoie sous forme de texte simple, l’entité connectée est sûre que le serveur détient la clé privée du certificat et qu’il s'agit donc bien du serveur nommé dans le certificat.
Certificat d’autorité de certification racine pour Lync Phone Edition
Les communications entre Lync Phone Edition et Lync Server sont chiffrées par défaut au moyen des protocoles TLS (Transport Layer Security) et SRTP (Secure Real-Time Transport Protocol). Pour cette raison, le périphérique exécutant Lync Phone Edition doit approuver les certificats présentés par Lync Server. Si les ordinateurs exécutant Lync Server utilisent des certificats publics, ils seront sans doute approuvés par le périphérique, puisqu’il inclut la même liste d’autorités de certification approuvées que Windows CE. Cependant, étant donné que la plupart des déploiements de Lync Server utilisent des certificats internes pour les rôles serveur Lync Server internes, le certificat d’autorité de certification racine doit être installé depuis l’autorité de certification interne sur le périphérique. Il n’est pas possible d’installer manuellement le certificat d’autorité de certification racine sur le périphérique, par conséquent il doit être installé depuis le réseau. Lync Phone Edition utilise deux méthodes pour télécharger le certificat.
D’abord, le périphérique recherche les objets services de domaine Active Directory (AD DS) de la catégorie certificationAuthority. Si la recherche retourne des objets, le périphérique utilise l’attribut caCertificate. Cet attribut est supposé contenir le certificat et le périphérique installe celui-ci.
Le certificat d’autorité de certification racine doit être publié dans l’attribut caCertificate pour le périphérique Lync Phone Edition. Pour que le certificat d’autorité de certification racine soit placé dans l’attribut caCertificate, utilisez la commande suivante :
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
Si la recherche d’objets Active Directory de la catégorie CertificationAuthority ne retourne aucun objet ou si les objets retournés contiennent des attributs caCertificate vides, le périphérique recherche des objets Active Directory de la catégorie pKIEnrollmentService dans le contexte d’appellation de configuration. De tels objets existent si l’inscription automatique de certificat a été activée dans Active Directory. Si la recherche retourne des objets, le périphérique utilise l’attribut dNSHostName retourné pour faire référence à l’autorité de certification, puis il utilise l’interface Web de Microsoft Certificate Service pour récupérer le certificat d’autorité de certification racine à l’aide de la commande HTTP get-.
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
Si aucune de ces méthodes n’aboutit, le périphérique présente le message d'erreur « Cannot validate server certificate » (Impossible de valider le certificat du serveur) et l’utilisateur n’est pas en mesure de l’utiliser.
Points à prendre en compte pour émettre des certificats à l’intention de Lync Phone Edition
Vous trouverez ci-dessous une liste des points à prendre en compte lors de l'émission de certificats pour Lync Phone Edition :
Par défaut, Lync Phone Edition utilise les protocoles TLS et SRTP, qui exigent que :
- les certificats de confiance soient présentés par Lync Server et Microsoft Exchange Server ;
- le certificat de la chaîne d’autorités de certification racines réside sur le périphérique.
Vous ne pouvez pas installer manuellement des certificats sur le périphérique.
Définissez des options pour :
- utiliser des certificats publics ;
- précharger les certificats publics sur le périphérique ;
- utiliser des certificats d’organisation ;
- recevoir la chaîne d’autorités de certification racines depuis le réseau.
Recherche du certificat de la chaîne d’autorités de certification racines de l’organisation
Lync Phone Edition peut rechercher le certificat à l’aide de l’objet d’inscription automatique PKI dans les services de domaine Active Directory ou d’un nom unique connu. Voici les détails :
Pour activer l’inscription automatique PKI en utilisant l’autorité de certification de l’organisation, le périphérique émet une requête LDAP (Lightweight Directory Access Protocol) pour rechercher l’adresse du serveur pKIEnrollmentService/CA, puis il télécharge le certificat à l’aide du protocole HTTP sur le site Windows CA /certsrv en utilisant les informations d’identification de l’utilisateur.
Pour utiliser l’autorité de certification certutil -f -dspublish « emplacement du fichier .cer » afin de télécharger les certificats dans le contexte d’appellation de configuration, utilisez le nom unique (DN) suivant :
Cn=Autorités de certification, cn=Services de clé publique, CN=Services, cn=Configuration, dc=<domaine AD>
.gif "note") Remarque : |
|---|
| La requête LDAP est BaseDN: CN=Configuration, dc= <Domaine> Filter: (objectCategory=pKIEnrollmentService) et l’attribut recherché est dNSHostname. Gardez à l’esprit que le périphérique télécharge le certificat à l’aide de la commande HTTP get- http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64. |
Cache des autorités de confiance
Le tableau suivant décrit les certificats publics approuvés par Lync Phone Edition.
Certificats publics approuvés
| Fournisseur | Nom du certificat | Date d’expiration | Longueur de la clé |
|---|---|---|---|
Comodo |
AAA Certificate Services |
31/12/2028 |
2048 |
Comodo |
AddTrust External CA Root |
30/05/2020 |
2048 |
CyberTrust |
Baltimore CyberTrust Root |
12/05/2025 |
2048 |
CyberTrust |
GTE CyberTrust Global Root |
13/08/2018 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
01/08/2028 |
1024 |
VeriSign |
Thawte Premium Server CA |
31/12/2020 |
1024 |
VeriSign |
Thawte Server CA |
31/12/2020 |
1024 |
VeriSign |
Class 3 Public Primary Certification Authority |
01/08/2028 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
24/12/2019 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
25/05/2019 |
1024 |
Entrust |
Entrust Root Certification Authority |
27/11/2026 |
2048 |
Entrust |
Entrust.net Certification Authority (2048) |
24/07/2029 |
2048 |
Equifax |
Equifax Secure Certificate Authority |
22/08/2018 |
1024 |
GeoTrust |
GeoTrust Global CA |
20/05/2022 |
2048 |
Go Daddy |
Go Daddy Class 2 Certification Authority |
29/06/2034 |
2048 |
Go Daddy |
http://www.valicert.com/ |
25/06/2019 |
1024 |
Go Daddy |
Starfield Class 2 Certification Authority |
29/06/2034 |
2048 |
DigiCert Inc. |
DigiCert Assured ID Root CA |
09/11/2031 |
2048 |
DigiCert Inc. |
DigiCert Global Root CA |
09/11/2031 |
2048 |
DigiCert Inc. |
DigiCert High Assurance EV Root CA |
09/11/2031 |
2048 |