Введение
Операционная система Microsoft® Windows® XP вносит ряд улучшений в службы сертификации и инфраструктуру открытых ключей (PKI). Эти улучшения позволяют организациям автоматически предоставлять пользователям сертификаты на основе открытых ключей.
Эта статья рассчитана на ИТ-менеджеров и системных администраторов. Она позволяет ознакомиться с техническими особенностями автоматической подачи заявок на сертификаты, всесторонне рассмотреть ее работу и получить основную информацию по устранению возможных проблем в работе.
Операционная система Windows® XP предоставляет пользователям и компьютерам возможность выполнять автоматическую подачу заявок на сертификаты, включая сертификаты для смарт-карт.
Использование функции автоматической подачи заявок позволяет организациям управлять жизненным циклом сертификатов пользователей. Этот процесс включает в себя:
- Обновление сертификатов
- Замещение сертификатов
- Требование нескольких подписей
Быстро и просто
Автоматическая подача заявок на сертификаты основана на сочетании установок групповой политики и шаблонов сертификатов версии 2. Это сочетание позволяет клиенту ОС Windows XP Professional подавать заявки на сертификаты пользователей во время их входа в свой домен, подавать заявку на сертификаты компьютера при его загрузке, а также периодически обновлять сертификаты в промежутке между этими событиями.
Автоматическая подача заявок на сертификаты пользователей обеспечивает быстрый и простой способ выдачи сертификатов пользователям, а также позволяет использовать возможности инфраструктуры открытых ключей (PKI) (такие, как вход в систему с помощью смарт-карт, EFS, SSL, S/MIME и прочих) в среде службы каталогов Active Directory®. Использование автоматической подачи заявки для пользователя позволяет минимизировать затраты на обычное развертывание инфраструктуры открытых ключей (PKI), а также уменьшить совокупную стоимость владения (TCO) внедрения инфраструктуры открытых ключей (PKI), когда клиенты ОС Windows XP Professional сконфигурированы для работы с Active Directory.
Поддержка отложенных запросов сертификатов и обновления сертификатов
Автоматическая подача заявки пользователем в ОС Windows XP Professional поддерживает как отложенные запросы сертификатов, так и обновление сертификатов.
Запрос сертификата
Вы можете запросить сертификат у центра сертификации (CA) ОС Windows Server 2003 вручную или автоматически. Этот запрос будет действителен до получения административного одобрения или до окончания процесса проверки. После того, как запрос будет одобрен и сертификат выдан, процесс автоматической подачи заявки завершается, после чего происходит автоматическая установка Вашего сертификата.
Обновление сертификата
Процесс обновления сертификата пользователя с истекшим сроком действия также использует все возможности механизма автоматической подачи заявок. Сертификаты автоматически обновляются от имени пользователя, в соответствии с данными, имеющимися в шаблоне сертификата.
Зависимости
Система автоматической подачи заявки имеет несколько требований к имеющейся инфраструктуре. Необходимо наличие:
- Windows Server 2003 и обновлений групповой политики
- Контроллера домена Windows 2000 или Windows Server 2003
- Клиента Windows XP
- Windows Server 2003 Enterprise Edition, работающего в качестве центра сертификации (CA) предприятия
Примечание
Настройки групповой политики для автоматической подачи заявки могут использоваться только на компьютере, работающем под управлением ОС Windows XP Professional или Windows Server 2003.