Инфраструктура открытых ключей
Сертификаты в инфраструктуре открытых ключей
Сертификат в своей основе – цифровой документ, выданный уполномоченным центром, подтверждающий подлинность держателя закрытого ключа. Сертификат связывает открытый ключ с объектом (пользователем, компьютером или службой), обладающим соответствующим закрытым ключом.
Стандартный формат сертификатов, использующихся в Windows 2000 – X.509v3. Сертификат X.509 содержит информацию о пользователе или объекте, которому был выдан данный сертификат, о самом сертификате, а также дополнительную информацию о центре, выдавшем сертификат.
Службы сертификации
Windows 2000 обеспечивает возможность использования инфраструктуры открытых ключей независимо от внешних центров сертификации (CA) с помощью компонента, называемого службами сертификации. Службы сертификации, интегрированные с Active Directory и службами распределенной безопасности (см. Рисунок 4), позволяют создавать собственные центры сертификации и управлять ими.
Центр сертификации устанавливает и удостоверяет подлинность держателей сертификатов, а также отзывает сертификаты, если они более не действительны, и публикует листы отзыва сертификатов (Certificate Revocation Lists, CRL), используемые при проверке сертификатов. Простейшая инфраструктура открытых ключей содержит только один корневой центр сертификации. Однако на практике большинство организаций, работающих с инфраструктурой открытых ключей, используют несколько центров сертификации, организованных в доверенные группы, называемые иерархиями сертификации.
Отдельным компонентом служб сертификации являются веб-страницы подачи заявок центра сертификации. Эти страницы устанавливаются по умолчанию при создании центра сертификации. Они позволяют запрашивать сертификаты с помощью веб-обозревателя. Кроме этого, веб-страницы центра сертификации могут быть установлены на серверах под управлением Windows 2000, не имеющих сертификационных центров. В этом случае с помощью веб-страниц можно перенаправлять запросы на выдачу сертификатов центру сертификации, прямой доступ к которому нежелателен. Если необходимо создать собственные веб-страницы для доступа к центру сертификации, соответствующие веб-страницы, включенные в Windows 2000, могут служить образцами.
С целью упрощения развертывания системы безопасности, основанной на открытых ключах, в Windows 2000 процесс подачи заявок на сертификаты компьютеров автоматизирован. Благодаря использованию Active Directory серверы будут готовы к получению сертификатов и при необходимости получат их автоматически. Это значит, что администратору не нужно будет ходить от сервера к серверу и вручную подавать запросы на сертификаты.
Политики открытых ключей
В Windows 2000 можно использовать групповую политику для таких задач, как автоматическая раздача сертификатов компьютерам, формирование списков доверенных сертификатов и центров сертификации и управление политиками восстановления для шифрованной файловой системы.