Службы сертификации
Изолированный центр сертификации
Для установки изолированного центра сертификации (CA) необходимо выбрать политику изолированного центра сертификации (CA) во время установки службы сертификации Windows 2000. Изолированный центр сертификации (CA) Windows 2000, как понятно из его названия, может работать независимо от Active Directory и других компонентов леса Windows 2000. Вы можете установить изолированный центр сертификации (CA) на сервер, работающий под управлением ОС Windows 2000 в домене Windows NT® 4.0 точно так же, как и в лесу Windows 2000.
При запросе сертификата сторона, запрашивающая сертификат у изолированного центра сертификации, должна указать полную идентифицирующую информацию о себе и о типе сертификата, который она запрашивает (в отличие от запроса к центру сертификации (CA) предприятия, в случае которого информация о пользователе уже присутствует в Active Directory а тип сертификата описывается шаблоном сертификата). По умолчанию, все запросы, отсылаемые к изолированному центру сертификации, переводятся в состояние ожидания до тех пор, пока администратор изолированного центра сертификации (с помощью оснастки Центр сертификации (CA)) не выполнит проверку подлинности запрашивающей стороны и не одобрит запрос. Кроме этого, администратор (или пользователь) должны явно перенести сертификат изолированного центра сертификации в корневое хранилище для того, чтобы пользователи домена могли ему доверять.
Изолированный центр сертификации не может выдавать сертификаты для входа в домен Windows 2000 с помощью смарт-карт. Тем не менее, другие типы сертификатов могут выпускаться и храниться на смарт-карте.
Примечание
Изолированный центр сертификации (CA) не всегда работает независимо от Active Directory. Если администратор корневого домена устанавливает изолированный центр сертификации (CA) в лесу Windows 2000, то изолированный центр сертификации (CA) будет иметь возможность пользоваться всеми преимуществами Active Directory и публикации объектов CA и CRL.
Списки отзыва сертификатов
Список отзыва сертификатов (список CRL) обслуживается центром сертификации (CA). В нем хранятся серийные номера отозванных сертификатов. Центры сертификации (CA) предприятия Windows 2000 публикуют списки CRL в Active Directory. Изолированный центр сертификации (CA) будет публиковать списки CRL в Active Directory только в том случае, если он был установлен администратором предприятия. Вы можете изменить расписание публикации списков CRL (минимальный период публикации – один час).
Поскольку репликация9 Active Directory занимает некоторое время, то список CRL действуют дольше, чем интервал публикации. Срок действия списка CRL на 10 процентов больше, чем длительность периода публикации, и может максимально достигать 12 часов. Если заданного по умолчанию для репликации каталога времени недостаточно, то, редактируя реестр, Вы можете указать время, на которое увеличится срок действия списка CRL. Центр сертификации (CA) предприятия вставляет единый идентификатор ресурса (URI)10 в расширение сертификата, известное также, как расширение CDP. Также можно публиковать списки CRL в других местах с помощью HTTP, FTP или сслыки на файл.
Как только произойдет обновление Active Directory после новой публикации списка CRL, путем репликации изменения будут внесены во все контроллеры домена в лесу. Время, затрачиваемое на репликацию, зависит от пропускной способности сети и расписания репликации:
- Внутрисайтовая репликация. Наличие одного сайта Windows 2000 и LAN-соединения между всеми контроллерами домена позволяют провести внутрисайтовую репликацию в течение нескольких минут.
- Межсайтовая репликация. Наличие двух и более сайтов Windows 2000, использующих WAN-соединение, приводит к тому, что репликация между ними занимает больше времени, чем в пределах одного сайта. В зависимости от имеющейся топологии межсайтовой репликации возможна ситуация, когда обновление должно производиться через несколько сайтов, что приводит к дополнительным задержкам. Чтобы компенсировать эти задержки срок действия списка CRL увеличивается. Как было сказано выше, для выполнения репликации, к сроку действия списка CRL по умолчанию добавляется 10 процентов времени от длительности периода публикации (и может максимально доходить до 12 часов). Например, для центра сертификации (CA) период публикации указан в 24 часа, т.е. каждые 24 часа он будет публиковать новые списки CRL. С учетом добавленного времени реальное значение будет составлять приблизительно 26.4 часа (сюда также включено время на синхронизацию).