Приложение A. Формирование цепочек сертификатов в Windows 2000.
В данном приложении описывается формирование цепочек сертификатов в среде служб сертификации Windows 2000. Эта тема рассматривается в следующих подразделах:
- Доверенные корневые сертификаты
- Корневое хранилище сертификатов предприятия на основе службы каталогов Active Directory
- Проверка промежуточных сертификатов
- Проверка отзыва
- Требования, выдвигаемые к цепочке сертификатов, для получения возможности входа с помощью смарт-карт
Для получения дополнительной информации о цепочках сертификатов и их применении в сетях, использующих доверенный открытый ключ, обратитесь к официальным документам, связанным с инфраструктурой открытых ключей, а также к ссылке на учебник по основам криптографии: "Прикладная криптография: протоколы, алгоритмы, исходный код на С" ("Applied Cryptography: Protocols, Algorithms, and Source Code in C")(EN), приведенной ниже в разделе "Дополнительная информация".
Доверенные корневые сертификаты
Для того, чтобы цепочки сертификатов считались действительными, они должны подтверждаться доверенным корневым сертификатом. При установке центра сертификации (CA) эти корневые сертификаты распространяются следующим образом:
- Добавляются администратором компьютера с помощью Мастера импорта сертификатов (Certificate Import wizard) оснастки Сертификаты (Certificates).
- Добавляются администратором домена с помощью групповой политики открытых ключей (Для получения дополнительной информации об этом, включая информацию о том, что именно необходимо предпринять, пользуйтесь результатами поиска в справочной системе Windows 2000, осуществив поиск по ключевым словам "public key policies").
- Добавляются из Active Directory в том случае, когда администратор домена устанавливает центр сертификации (CA), или добавляются с помощью средства DSStore из комплекта Windows 2000 Resource Kit. Вы используете средство DSStore для установки корневого сертификата в Active Directory, чтобы затем клиенты могли получать сертификаты от Active Directory, когда они обрабатывают события автоматической подачи заявки. (Для получения дополнительной информации о средстве DSStore обратитесь к официальному документу "Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт" (EN) (ссылка на этот документ дана в разделе "Дополнительная информация"),
Корневое хранилище сертификатов предприятия на основе службы каталогов Active Directory
Корневое хранилище сертификатов предприятия на основе службы каталогов Active Directory содержит доверенные корневые сертификаты. Как понятно из названия, это хранилище находится в Active Directory. Кроме этого существуют локальные корневые хранилища сертификатов предприятия на индивидуальных компьютерах. При установке администратором центра сертификации (CA), в Active Directory создается контейнер: корневое хранилище сертификатов предприятия (enterprise root certificate store), со следующим различимым именем:
CN=,CN=Certification Authorities,CN=Public Key Services,CN=Services, CN=Configuration,DC=,DC=com CN=,CN=Центры сертификации,CN=Службы открытых ключей,CN=Службы, CN=Конфигурация,DC=,DC=com
У каждого объекта в контейнере корневого хранилища сертификатов предприятия центра сертификации (CA) имеется атрибут cACertificate. Один или несколько сертификатов в каждом контейнере центра сертификации (CA) хранятся с этим атрибутом. При возникновении события автоматической подачи заявки на сертификат (что происходит через каждые восемь часов, после перезагрузки, во время обновления групповой политики, или вручную с помощью утилиты DSStore), корневые сертификаты из этих контейнеров загружаются на рядовые сервера. При использовании центра сертификации (CA) предприятия (производства корпорации Microsoft) именно такой механизм распространения доверия предпочтителен.
Для получения дополнительной информации об использовании DSStore для управления этими корневыми сертификатами на основе службы каталогов Active Directory, обратитесь к официальному документу "Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт" (EN) (ссылка на этот документ дана в разделе "Дополнительная информация").