Обновление сертификатов
В данном разделе рассматриваются интервалы обновления сертификатов, принудительное обновление сертификатов, а также обновление сертификатов для смарт-карт.
Интервалы обновления
ОС Windows XP при ее совместном использовании с центром сертификации ОС Windows Server 2003 будет автоматически осуществлять обновление сертификатов в те сроки, которые указаны в шаблоне сертификатов. Интервалы обновления указываются в шаблоне сертификата, при этом по умолчанию установлено значение в 6 недель (до истечения срока действия сертификата).
Основные критерии включения механизма обновления сертификата:
- Автоматическое обновление сертификата будет выполнено только в том случае, когда истечет 80% срока действия сертификата или по достижению интервала обновления, указанного в шаблоне (в зависимости от того, какое из этих двух событий наступит раньше).
- Если интервал обновления имеет значение большее 20% срока действия сертификата, автоматическая подача заявки на обновление сертификата все равно не будет выполнена до тех пор, пока не будет достигнут порог в 80%.
Принудительная повторная подача заявки
Администратор может заставить всех пользователей выполнить повторную подачу заявки на шаблон, обновив версию шаблона. При запросе службы каталогов Active Directory во время входа в систему выполняется проверка версии шаблона сертификата. Шаблон сертификата считается обновленным, если его версия изменилась в сторону увеличения, и все пользователи должны повторно осуществить подачу заявки на него.
Для ручного обновления версии шаблона, позволяющего заставить выполнить повторную подачу заявки, щелкните правой кнопкой мыши на шаблоне и выберите Подать повторную заявку для всех владельцев сертификатов (Reenroll All Certificate Holders), как показано ниже на Рисунке 14.
Рисунок 14 – Выполнение принудительной повторной подачи заявки вручную
Обновление сертификатов для смарт-карт
Возможности по обновлению смарт-карт могут отличаться в зависимости от типа CSP, используемого в смарт-карте, и того состояния, в котором находится смарт-карта в момент обновления. В общем случае, если на используемой смарт-карте имеется свободное место для дополнительной подачи заявки и при этом CSP обеспечивает поддержку нескольких ключей на смарт-карте, то при автоматической подаче заявки будет выдан запрос для карты на генерирование нового ключа для подачи заявки. В случае успеха сертификат будет записан на карту и контейнер будет помечен заданным по умолчанию. Контейнер, используемый по умолчанию, является единственным контейнером, который будет пересчитан процессом Winlogon для сертификата входа в систему со смарт-картой и ключа. В том случае, если смарт-карта или производитель поставщиков криптографии (CSP) не могут сгенерировать новый ключ на карте, будет повторно использован существующий ключ и новый сертификат будет принудительно установлен на карту. Данное событие будет занесено в журнал событий приложений компьютера.
Примечание
При выполнении автоматической подачи заявки всегда будут использоваться самые последние сгенерированные ключи для всех запросов на подачу заявки и обновление. Исключением из правил могут являться некоторые CSP смарт-карт, которые не поддерживают новые ключи ввиду ограничений смарт-карты. Событие о повторном использовании ключа будет занесено в журнал приложений на клиентском компьютере.
Обновление отозванных сертификатов
Отозванные сертификаты нельзя обновлять и использовать для подписания запросов на обновление. Это ограничено в самом процессе автоматической подачи заявки.