Lync Server 2010 の公開キー基盤

 

トピックの最終更新日: 2012-10-14

Microsoft Lync Server 2010 は、サーバーの認証と、クライアントとサーバー間および異なるサーバー役割間の信頼チェーンの確立に証明書を使用します。Windows Server 2008、Windows Server 2008 R2、および Windows Server 2003 の公開キー基盤 (PKI) は、この信頼チェーンを確立および検証するためのインフラストラクチャを提供します。

証明書とはデジタル ID です。証明書は、名前によってサーバーを識別し、そのプロパティを指定します。証明書の情報が有効であるためには、サーバーに接続するクライアントやその他のサーバーが信頼する CA から証明書が発行されている必要があります。サーバーがプライベート ネットワーク上の他のクライアントおよびサーバーとのみ接続する場合は、CA はエンタープライズ CA で問題ありません。サーバーがプライベート ネットワーク外のエンティティと対話する場合は、パブリック CA が必要な可能性があります。

証明書の情報が有効であっても、証明書を提示しているサーバーが、実際に証明書によって提示されているサーバーであることを確認する手段が必要です。ここで Windows PKI が役立ちます。

各証明書は、公開キーにリンクされています。証明書で名前が指定されているサーバーには、そのサーバーのみが知る、対応する秘密キーがあります。接続しようとしているクライアントまたはサーバーは、公開キーを使用して無作為な情報の断片を暗号化し、それをサーバーに送信します。サーバーがその情報を復号化し、プレーン テキストに戻すと、接続しようとしているエンティティは、証明書の秘密キーをサーバーが保持していること、つまり、そのサーバーが証明書で指定されていることを確認できます。

メモ: すべてのパブリック CA が Lync Server 2010 証明書の要件に準拠しているわけではありません。認定されているパブリック CA ベンダーの一覧を参照して、パブリック証明書のニーズに合ったベンダーを探すことをお勧めします。詳細については、マイクロソフト サポート技術情報の記事 929395「統合コミュニケーション証明書パートナー」(https://support.microsoft.com/kb/929395/ja-jp) を参照してください。

CRL 配布ポイント

Lync Server 2010 では、すべてのサーバー証明書に 1 つ以上の証明書失効リスト (CRL) 配布ポイントが含まれている必要があります。CRL 配布ポイント (CDP) とは、証明書の発行後にそれが失効していないこと、および証明書が有効期限内にあることを確認するために、CRL をダウンロードできる場所です。CRL 配布ポイントは、URL として証明書のプロパティに記述され、通常、セキュア HTTP です。

拡張キー使用法

Lync Server 2010 では、サーバー認証のために、拡張キー使用法 (EKU) をすべてのサーバー証明書がサポートする必要があります。サーバー認証用に EKU フィールドを構成することは、サーバーの認証に対して、その証明書が有効であることを意味します。この EKU は、MTLS には不可欠です。EKU には、複数のエントリを指定し、複数の目的に対して証明書を有効にできます。

注:
Live Communications Server 2003 および Live Communications Server 2005 からの発信 MTLS 接続には、クライアント認証 EKU が必要ですが、新しいバージョンでは必要なくなりました。ただし、この EKU は、パブリック IM 接続を使用して AOL に接続するエッジ サーバーには存在する必要があります。