Lync Server 2010 の暗号化

トピックの最終更新日: 2012-10-17

Microsoft Lync Server 2010 では、TLS と MTLS を使用してインスタント メッセージを暗号化します。トラフィックが内部ネットワークに限定されているか、内部ネットワークの境界を越えるかに関係なく、MTLS は、サーバー間のすべてのトラフィックに必要です。TLS はオプションですが、仲介サーバーとメディア ゲートウェイの間で使用することを強くお勧めします。この接続に TLS を構成する場合は MTLS も必要です。したがって、ゲートウェイは、仲介サーバーによって信頼される証明機関 (CA) から発行された証明書を使用して構成する必要があります。

クライアント間のトラフィックに対する要件は、そのトラフィックが内部の企業ファイアウォールを越えるかどうかによって異なります。厳密に言えば、内部のトラフィックでは、TLS を使用することも (インスタント メッセージが暗号化される)、TCP を使用することも (インスタント メッセージが暗号化されない) できます。

次の表に、各種トラフィックのプロトコル要件をまとめます。

トラフィックの保護

メディアの暗号化

メディア トラフィックは、Secure RTP (SRTP) を使用して暗号化されます。これは、秘密保持機能、認証、および RTP トラフィックに対する再生攻撃からの保護機能を提供するリアルタイム転送プロトコル (RTP) のプロファイルです。SRTP では、(メディア参加者のために) サーバーの要求が正常に認証された結果としてメディア リレー認証サービスによって生成されるセッション キーを使用します。このセッション キーは、ネゴシエートされたユーザー名とパスワードによって保護されます。このユーザー名とパスワードは、フロント エンド サーバーによってメディア リレー認証サービスに対して提示され、TLS のセキュリティで保護された SIP チャネル経由で参加者に送信されます。このセッション キーは、ユーザー名とパスワードによってセキュリティで保護されます。また、このセッション キーは、メディア リレー サービスで使用され、参加者の TLS 証明書とセキュリティで保護された SIP チャネルによって提供されます。このセッション キーを復号化すると、参加者は SRTP ストリームを復号化できます。さらに、仲介サーバーと内部の次ホップの間で双方向に送信されるメディアも、SRTP を使用して暗号化されます。仲介サーバーとメディア ゲートウェイの間で双方向に送信されるメディアは暗号化されません。仲介サーバーは、メディア ゲートウェイに対して暗号化をサポートできますが、ゲートウェイは、MTLS と証明書の保管をサポートする必要があります。

注:
音声ビデオ (A/V) は、最新バージョンの Windows Live Messenger でサポートされます。Windows Live Messenger で音声ビデオ フェデレーションを実装する場合は、Lync Server の暗号化レベルを変更する必要もあります。既定では、暗号化レベルは "必須" です。Lync Server 管理シェルを使用して、この設定を "サポート" に変更する必要があります。詳細については、「展開」のドキュメントの「パブリック IM 接続のサポートの準備」を参照してください。 音声ビデオ メディア トラフィックは、Microsoft Lync 2010 と Windows Live クライアントの間では暗号化されません。