Службы сертификации
Подача заявок через веб-страницы
В состав центров сертификации (CA) Windows 2000 входит веб-клиент, являющийся дополнительным компонентом. Он по умолчанию устанавливается в каждый центр сертификации (СА). Вы также можете установить его на любой отдельный сервер Windows 2000 в лесу, на котором работает IIS.
Каждый тип центра сертификации (CA) Windows 2000 имеет отдельный веб-клиент. Веб-клиенты позволяют центрам сертификации (СА) Windows 2000 поддерживать конечных пользователей, использующих различные веб-обозреватели и работающих в разных ОС, позволяя им подавать заявки в центр сертификации (CA) Windows 2000. Это означает, что Вы можете развернуть службу подачи заявок через веб-страницы для поддержки других систем (не Windows 2000) отдельно от центра сертификации (CA). У центра сертификации (CA) может быть любое количество веб-клиентов, тем самым Вы можете, например, использовать один центр сертификации (CA) для поддержки нескольких языков, т.е. можете установить французский или китайский веб-клиент и использовать для них одну службу сертификации.
Распространение сертификатов центра сертификации (CA)
В сети Windows 2000, существуют следующие три механизма распространения сертификатов центра сертификации (CA) на компьютеры, работающие под управлением ОС Windows 2000:
- Корневое хранилище сертификатов предприятия. Корневое хранилище сертификатов предприятия находится в Active Directory. Когда администратор домена устанавливает корневой центр сертификации (CA) Windows 2000 (как предприятия, так и изолированный) в лесу, то в процессе установки обновляется корневое хранилище предприятия, путем внесения новых сертификатов. Кроме этого, администраторы могут использовать средство DSStore из комплекта Windows 2000 Resource Kit для добавления сертификатов изолированного центра сертификации (CA) в хранилище сертификатов. Когда компьютер предприятия загружается, содержимое корневого хранилища сертификатов предприятия копируется на него и затем обновляется каждые восемь часов. С помощью этого простого механизма осуществляется распространение сертификатов на все компьютеры в лесу.
- Групповая политика Windows 2000. Вы можете также использовать возможности групповой политики Windows 2000 для распространения любых сертификатов центра сертификации (CA) в группе компьютеров в пределах леса. В случае использования внешнего центра сертификации (CA), которому должна доверять лишь определенная группа пользователей или компьютеров в лесу, но не все предприятие в целом (например, такое возможно при использовании приложений электронной коммерции), то для этих целей к таким компьютерам Вы можете применить соответствующие настройки групповой политики.
- Распространение сертификатов клиентам нижних уровней. Когда клиенты нижних уровней подают заявку центру сертификации (CA) Windows 2000 с помощью веб-клиента, то в ответ на запрос сертификата от центра сертификации (CA) клиенту будет загружена полная цепочка сертификатов (включая корневые сертификаты).
Обновление центра сертификации (CA)
Все сертификаты имеют ограниченный срок действия. Конечные объекты (пользователи) могут просто запросить другой сертификат. Однако, для центров сертификации (СА) проблема является более серьезной, поскольку другие стороны используют в своей работе их сертификаты, т.е. центры сертификации (CA) являются частью цепочки сертификатов. Кроме того, срок действия центра сертификации (CA) должен быть больше, чем срок действия сертификата, который выдает этот центр сертификации (CA). Поэтому важно, чтобы центр сертификации (CA) был способен обновлять свои сертификаты для того, чтобы они были действительными. В следующих трех подразделах описываются следующие аспекты относительно обновления центра сертификации (CA), которые необходимо Вам рассмотреть:
- Срок действия центра сертификации и выдаваемых им сертификатов
- Сертификаты корневого центра сертификации (CA)
- Центры сертификации (CA), выдающие сертификаты конечным пользователям и компьютерам