Службы сертификации
Местоположение информации центра сертификации (CA) при ее публикации в Active Directory
Различная информация инфраструктуры открытых ключей (PKI) должна быть широко доступна. В Windows 2000, эта информация публикуется в Active Directory. Опубликованные данные содержат информацию о:
- Сертификатах пользователей - для приложений, использующих асинхронный обмен данными таких, как S/MIME и EFS.
- Сертификатах центра сертификации (CA) - для построения цепочки сертификатов к доверенному корневому центру.
- Списках CRL – для возможности проверки статуса (смотрите также предыдущий подраздел).
В Active Directory центр сертификации (CA) предприятия может публиковать сертификаты для пользователей, сертификаты для центров сертификации (CA) и списки CRL.
Для особых типов данных в Active Directory есть три раздела каталогов: данные домена (domain data directory partition), данные конфигурации (configuration data directory partition), данные схемы (schema data directory partition). Раздел каталога данные домена (domain data directory partition) содержит все объекты в каталоге для данного домена. В каждом домене данные домена реплицируются на каждый контроллер этого домена (репликация на контроллеры других доменов не происходит). Раздел каталога данные конфигурации (configuration data directory partition) содержит топологию репликации и связанные метаданные. Приложения, использующие в своей работе Active Directory, хранят информацию в этом разделе. Эти данные являются общими для всех доменов в доменном дереве или леса. Данные конфигурации реплицируются на все контроллеры домена в лесу. Раздел каталога данные схемы (schema data directory partition) содержит все типы объектов (и их атрибуты), которые могут создаваться в Active Directory. Эти данные являются общими для всех доменов в доменном дереве или леса. Данные схемы реплицируются на все контроллеры домена в лесу.
Глобальный каталог ОС Windows 2000, играет важную роль во время входа пользователей в систему (для домена, работающего только в основном режиме) и в создании запросов. Он является базой данных, которая хранится на одном или нескольких контроллерах домена. В том случае, если контроллер домена также является и глобальным каталогом, то кроме трех разделов каталога: данных домена, данных конфигурации, данных схемы, он также хранит и реплицирует четвертую категорию информацию – частичную реплику (partial replica) раздела каталога данных домена для всех доменов. Эта частичная реплика содержит подмножество свойств всех объектов для всех доменов в лесу, которые реплицируются на все контроллеры домена в лесу.
Сертификаты пользователей публикуются в объекте пользователя (User) в разделе каталога данные домена (domain data directory partition). Сертификаты пользователя также реплицируются в глобальный каталог Windows 2000 для обеспечения доступа к сертификату через лес.
Сертификаты центра сертификации (CA) опубликованы в объекте CertificationAuthority, а списки CRL – в объекте CRLDistributionPoint в Active Directory. Чтобы гарантировать возможность построения цепочки центров сертификации (СА) и доступности информации о состоянии отзыва независимо от структуры домена, эти объекты публикуются в разделе домена данные конфигурации (configuration data directory partition), содержимое которого реплицировано во всем лесу. Точки CDP и указатели AIA в сертификатах организованы таким образом, что они работают независимо от того, к какому домену принадлежит контроллер домена в лесу.