Службы сертификации
Центр сертификации предприятия
Для установки центра сертификации (CA) предприятия необходимо выбрать политику центра сертификации предприятия во время установки служб сертификации Windows 2000. Центр сертификации предприятия Windows 2000 имеет самую простую административную модель с самыми низкими расходами в пересчете на один сертификат. Для минимизации административной нагрузки, связанной с выпуском сертификатов, и обеспечения встроенной единой точки управления, центр сертификации (CA) предприятия работает совместно со следующими двумя службами Windows 2000:
- Active Directory. Центр сертификации (CA) предприятия использует Active Directory в качестве регистрационной базы данных. Создание пользователя в домене Windows 2000 автоматически приведет к регистрации пользователя во всех центрах сертификации (CA) предприятия в лесу. Это позволит пользователям, обладающим соответствующими правами, запрашивать сертификаты у любого центра сертификации (CA) предприятия. Центры сертификации (CA) предприятия используют информацию, опубликованную в Active Directory при заполнении данных в сертификате.
- Модель безопасности Windows 2000. Центр сертификации (CA) предприятия использует службы безопасности Windows 2000 для идентификации пользователя запрашивающего сертификат и для проверки его полномочий, основанной на его членстве в группах Windows 2000.
В следующих трех разделах будут описаны такие особенности центров сертификации (CA) предприятия:
- Шаблоны сертификатов центра сертификации (CA) предприятия
- Подача заявки центру сертификации (CA) предприятия
- Модель безопасности центра сертификации (CA)
Шаблоны сертификатов центра сертификации предприятия
Центры сертификации (CA) предприятия Windows 2000 используют шаблоны сертификатов для контроля содержимого выдаваемых сертификатов. Эти шаблоны определяют информацию, записываемую в сертификат, расширения сертификатов и происхождение информации. Они также упрощают использование и управление центром сертификации, скрывая технические детали содержимого сертификата. Windows 2000 поставляется с широким набором шаблонов, которые опубликованы в Active Directory и являются глобальными для всего леса Windows 2000.
Существует два типа шаблонов:
- Специализированные шаблоны, которые создают сертификаты, использовать которые можно только для одного приложения. Например, шаблон сертификата входа со смарт-картой (Smart Card Logon Certificate Template), который используется специально для входа со смарт-картой. В качестве другого примера можно привести шаблон для файловой системы EFS (Encrypting File System, EFS)6 или шаблон для S/MIME.
- Многоцелевые шаблоны. Они создают сертификаты, предназначенные для использования в нескольких приложений, например, SSL, S/MIME и EFS. Существуют шаблоны и для компьютеров и для пользователей, для использования в SSL-серверах или в центрах распространения ключей KDC (Key Distribution Centers, KDC)7.