Office Communications Server 2007 R2 における公開キー基盤

トピックの最終更新日: 2009-03-09

Office Communications Server 2007 R2 では、サーバー認証のために、またクライアントとサーバー間および異なるサーバー役割間の信頼チェーンを確立するために、証明書が利用されます。Windows Server 2003 および Windows Server 2008 の公開キー基盤 (PKI) は、この信頼チェーンを確立および検証するためのインフラストラクチャを提供します。

証明書とはデジタル ID です。証明書は、名前によってサーバーを識別し、そのプロパティを指定します。証明書の情報が有効であることを確認するには、サーバーに接続するクライアントまたはその他のサーバーから信頼されている CA から、証明書が発行されていることが必要です。プライベート ネットワークのその他のクライアントおよびサーバーのみとサーバーが接続する場合、CA はエンタープライズ CA であってもかまいません。サーバーがプライベート ネットワークの外部のエンティティと対話する場合は、パブリック CA が必要な場合があります。

証明書の情報が有効であっても、証明書を提示しているサーバーが、実際に証明書によって提示されているサーバーであることを確認する手段が必要です。ここで Windows PKI が役立ちます。

各証明書は、公開キーにリンクされています。証明書で名前が指定されているサーバーには、そのサーバーのみが知る、対応する秘密キーがあります。接続しようとしているクライアントまたはサーバーは、公開キーを使用して無作為な情報の断片を暗号化し、それをサーバーに送信します。サーバーがその情報を複合化し、プレーンテキストに戻すと、接続しようとしているエンティティは、証明書の秘密キーをサーバーが保持していること、つまり、そのサーバーが証明書で指定されていることが確認できます。

注意: すべてのパブリック CA が、Office Communications Server 証明書の要件に準拠しているわけではありません。認定パブリック CA ベンダの一覧を参照して、パブリック証明書のニーズに合ったベンダを探すことをお勧めします。詳細については、「Exchange 2007 および Communications Server 2007 の統合コミュニケーション証明書パートナー (機械翻訳)」(https://go.microsoft.com/fwlink/?LinkId=140898) を参照してください。

拡張キー使用法

Office Communications Server 2007 R2 では、サーバー認証のために、拡張キー使用法 (EKU) をすべてのサーバー証明書がサポートする必要があります。サーバー認証用に EKU フィールドを構成することは、サーバーの認証に対して、その証明書が有効であることを意味します。この EKU は、MTLS には不可欠です。EKU には、複数のエントリを指定し、複数の目的に向けて証明書を有効にできます。

注:
Live Communications Server 2003 および Live Communications Server 2005 からの発信 MTLS 接続には、クライアント認証 EKU が必要ですが、新しいバージョンでは必要なくなりました。ただし、この EKU は、パブリック IM 接続を使用して AOL に接続するエッジ サーバーには存在する必要があります。