Lync Server 2010 の暗号化
トピックの最終更新日: 2012-10-17
Microsoft Lync Server 2010 では、TLS と MTLS を使用してインスタント メッセージを暗号化します。トラフィックが内部ネットワークに限定されているか、内部ネットワークの境界を越えるかに関係なく、MTLS は、サーバー間のすべてのトラフィックに必要です。TLS はオプションですが、仲介サーバーとメディア ゲートウェイの間で使用することを強くお勧めします。この接続に TLS を構成する場合は MTLS も必要です。したがって、ゲートウェイは、仲介サーバーによって信頼される証明機関 (CA) から発行された証明書を使用して構成する必要があります。
クライアント間のトラフィックに対する要件は、そのトラフィックが内部の企業ファイアウォールを越えるかどうかによって異なります。厳密に言えば、内部のトラフィックでは、TLS を使用することも (インスタント メッセージが暗号化される)、TCP を使用することも (インスタント メッセージが暗号化されない) できます。
次の表に、各種トラフィックのプロトコル要件をまとめます。
トラフィックの保護
トラフィックの種類 | 保護用プロトコル |
---|---|
サーバー間 |
MTLS |
クライアントからサーバー |
TLS |
インスタント メッセージングおよびプレゼンス |
TLS (TLS 用に構成されている場合) |
オーディオとビデオ、およびメディアのデスクトップ共有 |
SRTP |
デスクトップ共有 (シグナリング) |
TLS |
Web 会議 |
TLS |
会議コンテンツのダウンロード、アドレス帳のダウンロード、配布グループの拡張 |
HTTPS |
メディアの暗号化
メディア トラフィックは、Secure RTP (SRTP) を使用して暗号化されます。これは、秘密保持機能、認証、および RTP トラフィックに対する再生攻撃からの保護機能を提供するリアルタイム転送プロトコル (RTP) のプロファイルです。SRTP では、(メディア参加者のために) サーバーの要求が正常に認証された結果としてメディア リレー認証サービスによって生成されるセッション キーを使用します。このセッション キーは、ネゴシエートされたユーザー名とパスワードによって保護されます。このユーザー名とパスワードは、フロント エンド サーバーによってメディア リレー認証サービスに対して提示され、TLS のセキュリティで保護された SIP チャネル経由で参加者に送信されます。このセッション キーは、ユーザー名とパスワードによってセキュリティで保護されます。また、このセッション キーは、メディア リレー サービスで使用され、参加者の TLS 証明書とセキュリティで保護された SIP チャネルによって提供されます。このセッション キーを復号化すると、参加者は SRTP ストリームを復号化できます。さらに、仲介サーバーと内部の次ホップの間で双方向に送信されるメディアも、SRTP を使用して暗号化されます。仲介サーバーとメディア ゲートウェイの間で双方向に送信されるメディアは暗号化されません。仲介サーバーは、メディア ゲートウェイに対して暗号化をサポートできますが、ゲートウェイは、MTLS と証明書の保管をサポートする必要があります。
注: |
---|
音声ビデオ (A/V) は、最新バージョンの Windows Live Messenger でサポートされます。Windows Live Messenger で音声ビデオ フェデレーションを実装する場合は、Lync Server の暗号化レベルを変更する必要もあります。既定では、暗号化レベルは "必須" です。Lync Server 管理シェルを使用して、この設定を "サポート" に変更する必要があります。詳細については、「展開」のドキュメントの「パブリック IM 接続のサポートの準備」を参照してください。 音声ビデオ メディア トラフィックは、Microsoft Lync 2010 と Windows Live クライアントの間では暗号化されません。 |
FIPS
Windows Server 2008 Service Pack 2 (SP2) および Windows Server 2008 R2 オペレーティング システムが、システム暗号化に Federal Information Processing Standard (FIPS) 140-2 アルゴリズムを使用するように構成されている場合、Lync Server 2010 および Microsoft Exchange Server 2010 Service Pack 1 (SP1) は FIPS 140-2 アルゴリズムをサポートして動作します。FIPS サポートを実装するには、Lync Server 2010 を実行する各サーバーで FIPS のサポートを構成する必要があります。FIPS 準拠のアルゴリズムの使用および FIPS サポートの実装方法の詳細については、マイクロソフト サポート技術情報の記事 811833「システム暗号化: 使用して FIPS 準拠アルゴリズムを暗号化、ハッシュ、署名」セキュリティ設定の効果では、Windows XP およびそれ以降のバージョンの Windows」(https://support.microsoft.com/kb/811833/ja-jp) を参照してください。Exchange 2010 における FIPS 140-2 のサポートと制限の詳細については、「Exchange 2010 SP1 and Support for FIPS Compliant Algorithms」(https://go.microsoft.com/fwlink/?linkid=205335&clcid=0x411) を参照してください。