Lync Phone Edition 的憑證
上次修改主題的時間: 2014-01-07
Lync Server 依賴憑證進行伺服器驗證,以及在用戶端和伺服器之間與不同的伺服器角色之間建立信任鏈結。Windows Server 作業系統提供了建立和驗證此信任鏈結的基礎結構。
憑證是數位 ID,會透過名稱識別伺服器以及指定其內容。若要確保憑證上的資訊有效,憑證必須是由連接到伺服器的用戶端或其他伺服器信任的憑證授權單位 (CA) 所核發。如果伺服器僅與私人網路上的其他用戶端和伺服器連線,則 CA 可以是企業 CA。如果伺服器與私人網路外的實體互動,則可能需要公用 CA。
即使憑證上的資訊有效,仍然必須以某種方式驗證提供憑證的伺服器確實是憑證所代表的伺服器。Windows 公開金鑰基礎結構 (PKI) 的功用就在於此。
每一個憑證都會連結到公開金鑰。憑證上命名的伺服器擁有只有本身知道的對應私密金鑰。連接的用戶端或伺服器會使用公開金鑰加密資訊的任意片段,並將它傳送至伺服器。如果伺服器解密資訊並且以純文字傳回該資訊,則連接的實體就能確定該伺服器擁有憑證的私密金鑰,因此確實是憑證上署名的伺服器。
Lync Phone Edition 的根 CA 憑證
Lync Phone Edition 和 Lync Server 之間的通訊,依預設會使用傳輸層安全性 (TLS) 和安全即時傳輸通訊協定 (SRTP) 來加密。因此,執行 Lync Phone Edition 的裝置必須要能信任 Lync Server 所提供的憑證。如果執行Lync Server 的電腦使用公用憑證,裝置大多會自動信任該憑證,因為裝置包含的受信任 CA 清單和 Windows CE 擁有的相同。不過,由於大部分 Lync Server 部署使用內部 Lync Server 伺服器角色的內部憑證,來自內部 CA 的根 CA 憑證必須安裝在裝置上。您無法手動將根 CA 憑證安裝到裝置,所以必須透過網路來安裝。Lync Phone Edition 可使用兩個方法下載憑證。
首先,裝置會搜尋 certificationAuthority 類別的 Active Directory 網域服務 (AD DS) 物件。如果搜尋傳回任何物件,裝置會使用 caCertificate 屬性。系統會假設該屬性要保留憑證,而此裝置則會安裝憑證。
根 CA 憑證必須發行至 Lync Phone Edition 的 caCertificate 中。若要將根 CA 憑證加入 caCertificate 屬性中,請使用下列命令:
certutil -f -dspublish <Root CA certificate in .cer file> RootCA
如果搜尋 certificationAuthority 類別的 Active Directory 物件時未傳回任何物件,或者傳回的物件其 caCertificate 屬性是空的,則裝置會在設定命名內容中搜尋 pKIEnrollmentService 類別的 Active Directory 物件。如果 Active Directory 中已經啟用憑證 AutoEnrollment,這類物件就會存在。如果搜尋傳回任何物件,裝置會使用傳回的 dNSHostName 屬性來參考 CA,然後使用 Windows 憑證服務的 Web 介面,透過下列 HTTP GET 命令來擷取根 CA 憑證:
http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64
如果這些方法都失敗,裝置會顯示錯誤訊息「無法驗證伺服器憑證」,使用者便無法使用此裝置。
發出憑證給 Lync Phone Edition 的考量事項
以下列出發出憑證給 Lync Phone Edition 時的考量事項:
Lync Phone Edition 預設使用 TLS 和 SRTP,需要條件為:
- 信任 Lync Server 和 Microsoft Exchange Server 提供的憑證。
- 根 CA 鏈結憑證位於裝置中。
您無法手動將憑證安裝到裝置。
設定選項執行下列動作:
- 使用公用憑證。
- 預先載入公用憑證到裝置上。
- 使用組織憑證。
- 接收透過網路傳來的根 CA 鏈結。
尋找組織根 CA 鏈結
Lync Phone Edition 可以使用 AD DS 中的 PKI 自動註冊物件,或是透過熟知的辨別名稱 (DN) 來尋找憑證。以下為詳情:
若要透過組織 CA 啟用 PKI 自動註冊,裝置會發出輕量型目錄存取通訊協定 (LDAP) 要求以尋找 pKIEnrollmentService/CA 伺服器位址,最後再以使用者認證透過 HTTP 將憑證下載至 Windows CA /certsrv 網站。
若要使用 certutil -f -dspublish ".cer 檔案位置" 根 CA,將憑證上傳至 configuration NC,請使用下列 DN:
Cn=憑證授權單位、cn=公開金鑰服務、CN=服務、cn=設定、dc=<AD 網域>
.gif "note") 附註: |
|---|
| LDAP 要求為 BaseDN:CN=Configuration, dc= <Domain> Filter:(objectCategory=pKIEnrollmentService),搜尋屬性為 dNSHostname。請注意裝置會使用 HTTP get - 命令 http://<dNSHostname>/certsrv/certnew.p7b?ReqID=CACert&Renewal=-1&Enc=b64 下載憑證。 |
信任的授權單位快取
下表說明 Lync Phone Edition 信任的公用憑證。
公用信任憑證
| 廠商 | 憑證名稱 | 到期日 | 金鑰長度 |
|---|---|---|---|
Comodo |
AAA Certificate Services |
2028/12/31 |
2048 |
Comodo |
AddTrust External CA Root |
2020/5/30 |
2048 |
CyberTrust |
Baltimore CyberTrust Root |
2025/5/12 |
2048 |
CyberTrust |
GTE CyberTrust Global Root |
2018/8/13 |
1024 |
VeriSign |
Class 2 Public Primary Certification Authority |
2028/8/1 |
1024 |
VeriSign |
Thawte Premium Server CA |
2020/12/31 |
1024 |
VeriSign |
Thawte Server CA |
2020/12/31 |
1024 |
VeriSign |
Class 3 Public Primary Certification Authority |
2028/8/1 |
1024 |
Entrust |
Entrust.net Certification Authority (2048) |
2019/12/24 |
2048 |
Entrust |
Entrust.net Secure Server Certification Authority |
2019/5/25 |
1024 |
Entrust |
Entrust Root Certification Authority |
2026/11/27 |
2048 |
Entrust |
Entrust.net Certification Authority (2048) |
2029/7/24 |
2048 |
Equifax |
Equifax Secure Certificate Authority |
2018/8/22 |
1024 |
GeoTrust |
GeoTrust Global CA |
2022/5/20 |
2048 |
Go Daddy |
Go Daddy Class 2 Certification Authority |
2034/6/29 |
2048 |
Go Daddy |
http://www.valicert.com/ |
2019/6/25 |
1024 |
Go Daddy |
Starfield Class 2 Certification Authority |
2034/6/29 |
2048 |
DigiCert Inc. |
DigiCert Assured ID Root CA |
2031/11/9 |
2048 |
DigiCert Inc. |
DigiCert Global Root CA |
2031/11/9 |
2048 |
DigiCert Inc. |
DigiCert High Assurance EV Root CA |
2031/11/9 |
2048 |