Иллюстрированный самоучитель по настройке Windows 2000/2003

Службы сертификации

Политики центра сертификации Windows 2000

При установке служб сертификации Windows 2000, Вы должны сделать выбор, какую из двух возможных вариантов политик центра сертификации Вы будете использовать. Каждая из политик обладает разными характеристиками при обработке запросов сертификатов, выдаче сертификатов, отзыве сертификатов и публикации списков CRL. (Политики центра сертификации (CA) никак не связаны с групповыми политиками Windows 2000. Тем не менее, групповая политика играет роль в инфраструктуре открытых ключей (PKI) Windows 2000. Для получения информации об этом, обратитесь к разделу "Распространение сертификатов центра сертификации (CA)").

Этими двумя политиками служб сертификации центра сертификации ОС Windows 2000 являются: политика предприятия и изолированная политика. Во время установки служб сертификации Вам необходимо выбрать политику, которую будет использовать центр сертификации (CA). В качестве альтернативы Вы можете установить изолированный центр сертификации (CA) и затем заменить изолированную политику на свою собственную политику.

Политика предприятия и изолированная политика отличаются способом взаимодействия с Active Directory, выполнением проверки подлинности, а также тем, используют ли они шаблоны сертификатов:

  • Политика предприятия. Центр сертификации (CA), использующий политику предприятия, далее будем называть центром сертификации (CA) предприятия:
  • Active Directory. Центры сертификации предприятия интегрированы со службой каталогов Active Directory и зависят от ее наличия.
  • Проверка подлинности. Центры сертификации (CA) предприятия при проверке подлинности стороны, запросившей сертификат, и сравнение маркера клиента с разграничительным списком управления доступом DACL (Discretionary Access Control List, DACL)1 включенного в шаблон сертификата и в службу, могут выступать от имени пользователя.
  • Шаблоны сертификатов. Центры сертификации (CA) предприятия используют шаблоны сертификатов для определения того, для каких целей используются сертификаты, а также в качестве среднего значения политики подачи заявок для леса.
  • Изолированная политика. Центр сертификации (CA), использующий изолированную политику, будем называть изолированным центром сертификации (CA):
  • Active Directory. Изолированные центры сертификации (CA) обычно не интегрированы с Active Directory. Тем не менее, в качестве опции существует возможность использования преимуществ наличия Active Directory. Часто изолированный центр сертификации (CA) работает автономно для обеспечения высокого уровня безопасности. (Интеграция с Active Directory происходит в том случае, когда изолированный центр сертификации (CA) установлен администратором корневого домена или администратором предприятия).
  • Проверка подлинности. Изолированные центры сертификации (CA) полагаются на административные действия для проверки подлинности запрашивающей стороны и для выдачи запрашиваемого сертификата.
  • Шаблоны сертификатов. Изолированные центры сертификации (CA) не используют шаблоны сертификатов.

В сети Windows 2000, установка как центра сертификации (CA) предприятия, так и изолированного центра сертификации (CA) администратором корневого домена или администратором предприятия приводит к созданию объектов CA и CRL в Active Directory. Поэтому в обоих случаях большая часть процесса построения цепочек сертификатов и проверки отзыва сертификатов осуществляется с помощью LDAP-запросов 2 к Active Directory.

Кроме этого, установка корневых центров сертификации (CA) (как изолированного, так и предприятия) администратором корневого домена или администратором предприятия, автоматически приводит к добавлению корневого сертификата в Active Directory, а все клиенты Windows 2000 в сети предприятия автоматически получают копии сертификатов этих центров сертификации (CA).

Как центр сертификации (CA) предприятия, так и изолированный центр сертификации (CA) могут выпускать сертификаты, предназначенные для цифровых подписей, безопасной электронной почты, использующей S/MIME3, и для прохождения проверки подлинности на безопасных веб-серверах с помощью SSL4 (Secure Sockets Layer, SSL) или TLS5 (Transport Layer Security, TLS). Кроме этого центры сертификации (CA) предприятия могут выпускать сертификаты для входа в домен Windows 2000 с помощью смарт-карт. Центр сертификации (CA) предприятия может также выпускать сертификаты, которые могут использоваться для проверки подлинности пользователя на сервере Microsoft IIS (Internet Information Services, IIS) в лесу.

Примечание
Все сертификаты для входа со смарт-картой и сертификаты агента подачи заявок должны быть выпущены центром сертификации (CA) предприятия. Это требование должно выполняться из-за дополнительной безопасности, обеспечиваемой центрами сертификации при проверке подлинности стороны, запрашивающей сертификаты. Если Вам необходимо использовать такую функциональность в Вашем предприятии, то Вам следует установить центр сертификации (CA) предприятия в Вашей иерархии центров сертификации инфраструктуры открытых ключей. Центры сертификации (CA) предприятия и изолированные центры сертификации (CA) описываются более детально в следующих двух подразделах
.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.