Службы сертификации
Подача заявок центру сертификации (CA) предприятия
Ниже описывается процесс подачи заявок пользователей и компьютеров центру сертификации (CA) предприятия:
- Проверка подлинности пользователя доменом. Центр сертификации (CA) предприятия использует проверку подлинности домена для идентификации пользователя, т.е. он использует персональный маркер доступа пользователя Windows 2000 для подтверждения его подлинности. Это означает, что если пользователь вошел в домен Windows 2000 и запросил сертификат у центра сертификации (CA) предприятия, то Active Directory выполнит идентификацию пользователя для центра сертификации (CA) предприятия. Все запросы сертификатов обрабатываются центром сертификации (CA) от имени пользователя для получения правильного контекста безопасности8. Это позволяет модулю политики (политики центра сертификации) назначать права доступа пользователя к шаблону и к центру сертификации (CA). Модуль политики также может найти пользователя в Active Directory.
- Автоматическая подача заявки компьютером. Центр сертификации (CA) предприятия использует проверку подлинности домена для идентификации компьютера, т.е. он использует системный маркер доступа компьютера Windows 2000 в качестве доказательства его подлинности. Автоматическая подача заявки компьютером, активируемая с помощью службы групповой политики Windows 2000, является механизмом, с помощью которого компьютеры автоматически получают сертификаты. Вы используете групповую политику для определения шаблонов, которые можно применять к компьютеру. В начале загрузки список сертификатов (расположенный в Моем (MY) хранилище сертификатов локального компьютера) и доступный компьютеру сравнивается с шаблонами, примененными групповой политикой. Если компьютер не имеет сертификат для каждого соответствующего шаблона, то компьютер будет подавать заявки центру сертификации (CA) предприятия в лесу для получения сертификата этого шаблона.
Модель безопасности центра сертификации (CA) предприятия
Глобальная в пределах леса модель безопасности центра сертификации (CA) предприятия, управляется списками DACL объектов Active Directory. Списки DACL управляют следующими аспектами:
- Кто в предприятии может подавать заявку на сертификат.
- На какие типы сертификатов они могут подавать заявку.
- В какой центр сертификации (CA) предприятия они могут подавать запрос на сертификат.
Центры сертификации содержат списки DACL для определения пользователей, которым разрешено подавать заявки. В шаблонах сертификатов в Active Directory имеется список DACL, в котором указаны пользователи, которые могут подавать заявку на сертификаты с помощью шаблонов. В центрах сертификации (CA) предприятия также имеется список шаблонов, которые они могут использовать для обработки запросов.
Для того, чтобы пользователь мог подать заявку на сертификат в центр сертификации (CA) предприятия, должны выполниться следующие три условия:
- Пользователь должен состоять в группе, у которой есть права на использование шаблона, опубликованного в Active Directory.
- Пользователь должен состоять в группе, у которой есть права на использование центра сертификации (CA) предприятия.
- Центр сертификации (CA) предприятия должен быть настроен на выдачу шаблона, запрашиваемого пользователем.
В центре сертификации (CA) предприятия также имеется список DACL, который используется для управления администрированием центра сертификации. Административные задачи по управлению центром сертификации (CA) предприятия включают в себя:
- Отзыв сертификатов.
- Изменение периода публикации списка CRL, заданного по умолчанию.
- Изменение списка точек распространения списков отзыва (списка CDP – CRL Distribution Point), опубликованного в сертификатах центром сертификации (CA) предприятия. CDP являются элементами каталога или другими источниками распространения для списков CRL.
- Изменение списка доступа к информации о размещении центров сертификации (списка AIA – Authority Information Acces) опубликованного в сертификате центром сертификации (CA) предприятия. Адреса AIA представляют собой унифицированные указатели местоположения ресурса (uniform resource locators, URL), которые однозначно определяют местонахождение в Интернет. В сертификатах, которые выдает центр сертификации (CA), адреса AIA предоставляют проверяющей стороне информацию о том, где можно получить сертификат центра сертификации (CA). Адреса AIA могут быть URL следующих типов: HTTP, FTP, LDAP или ссылкой на файл.
- Влючение или выключение публикации сертификатов в Active Directory.
- Обновление центра сертификации (CA) предприятия.
- Изменение списков DACL в центре сертификации (CA) предприятия.
- Изменение списка шаблонов сертификатов, используемых центром сертификации (CA) предприятия.