Работа автоматической подачи заявок
Список необходимых ресурсов
Процесс автоматической подачи заявки обработает список шаблонов и создаст список необходимых ресурсов для всех шаблонов, имеющих для шаблона запись управления доступом ACE (ACE – access control entry) на автоматическую подачу заявки для данного компьютера или пользователя. Компьютер и/или пользователь также должен иметь разрешение на чтение, указанное в записи ACE для шаблона, или шаблон не будет перечислен вообще. "Мое" ("MY") хранилище пользователей или компьютеров также будет обработано для обнаружения отозванных сертификатов, сертификатов без закрытых ключей, сертификатов с неверным сроком действия и т.д., которые будут добавлены в список необходимых ресурсов.
Возможно, что у пользователя могут быть сертификаты в "Моем" хранилище, но не будет соответствующих разрешений, включенных в список управления доступом (ACL) для шаблона в службе каталогов Active Directory. Такие сертификаты будут обработаны и добавлены в список, но подачу заявки скорее всего выполнить не удастся из-за того, что разрешения, установленные для шаблона, не позволяют выполнять подачу заявки или обновление.
Элементы списка необходимых ресурсов могут быть удалены в том случае, если обнаруживается подходящий, действующий сертификат в "Моем" хранилище. Если шаблон сертификата будет помечен как требующий проверки Active Directory на наличие сертификата, то в службу каталогов Active Directory будет подан запрос на наличие дубликата сертификата, содержащегося в атрибуте userCertificate объекта пользователя, и в случае успеха требование будет удалено из списка.
Примечание
Проверка Active Directory на наличие сертификата, связанного с объектом пользователя или компьютера, может повлиять на производительность и может вызвать задержки в обработке процесса автоматической подачи заявки из-за требований сети и каталога к выполнению этой операции. Это вызвано тем, что в соответствии с атрибутом userCertificate действующие сертификаты будут загружены и проверены. При этом без загрузки сертификата и обработки его локально невозможно запросить каталог по протоколу LDAP, для получения простого ответа, действительно ли данный тип сертификата существует.
Процесс автоматической подачи заявки также управляет хранилищем пользователя "REQUEST". Этот включает в себя перечисление всех отложенных запросов в хранилище и, если такое возможно, последующую установку ожидаемого сертификата, полученного от центра сертификации (CA). Архивирование или удаление сертификата, основанное на правиле для шаблона сертификата, выполняется следующим образом:
- Если уже существует запрос в хранилище "REQUEST", то этот сертификат будет удален из общего списка необходимых ресурсов.
- Если запрос находился в состоянии ожидания более чем 60 дней, то он будет удален, а список необходимых ресурсов останется без изменений.
Автоматическая подача заявки может использоваться для восстановления отложенных запросов только для сертификатов, в которых присутствует информация о шаблоне (например, информация о шаблоне может содержаться в начальном запросе). Для процесса автоматической подачи заявки не нужно использовать соответствующий список ACL, чтобы обработать отложенный запрос сертификата. Если пользователь осуществляет автоматическую подачу заявки с помощью веб-страницы и запрос сертификата отложен, то автоматическая подача заявки сама обработает отложенный запрос для пользователя.
Правила замещения шаблонов будут обработаны и в список необходимых ресурсов будут внесены соответствующие дополнения и исключения. Например, если в шаблоне указывается, что "X замещает Y," то это означает, что если Вам необходимо было выполнять автоматическую подачу заявки для получения X и Y, то в действительности Вам необходимо ее выполнить только для X. В случае если у Вас есть только Y, то Вам необходимо также получить и X. Это последний шаг в обработке правил, после которого список необходимых ресурсов считается завершенным.
Для всех шаблонов, не требующих взаимодействия с пользователем, процесс автоматической подачи заявки будет создавать запросы в фоновом режиме и направлять их в центр сертификации (CA). После завершения этого процесса список необходимых ресурсов обновляется.
При выдаче сертификата центром сертификации (CA) сертификат устанавливается в "Моем" хранилище пользователя или компьютера. Если сертификат находится в состоянии ожидания, что определяется наличием флажка Одобрения диспетчера сертификатов ЦС (CA Manager approval) в оснастке Шаблон сертификатов (Certificate Template) консоли управления MMC, то информация о запросе сохраняется в хранилище REQUEST.