Приложение A. Формирование цепочек сертификатов в Windows 2000.
Проверка промежуточных сертификатов
Большинство моделей иерархической организации центров сертификации (СА) используют несколько уровней центров сертификации (СА). Использование многоуровневой иерархии упрощает администрирование и позволяет использовать конфигурацию с высокой безопасностью, где корневые центры сертификации (CA) закрыты в хранилище и используются только для подписи (или отзыва) подчиненных центров сертификации (СА). Часть процесса проверки цепочки включает в себя получение и анализ всех промежуточных сертификатов в цепочке сертификатов. В большинстве случаев, возможно, что клиент потерял все или часть сертификатов цепочки, используемой для проверки сертификата. В случае потери клиентом части или всей цепочки сертификатов центра сертификации (CA), используются AIA-расширения для определения и восстановления утерянных промежуточных сертификатов центра сертификации (CA). AIA-расширения используется функцией API CertGetCertificateChain(), которая вызывается приложениями для обработки цепочек сертификатов.
Центр сертификации (CA) Windows 2000 включают информацию AIA во все выданные сертификаты, включая промежуточные сертификаты. Обычно AIA использует ссылки LDAP, HTTP или прямые ссылки на файл для указания места, где постоянно находятся промежуточные сертификаты. Ниже приведен пример ldap:/// AIA:
URL=ldap:///CN=W2K%20NTDEV%20Ent%20User%20CA,CN=AIA,CN=Public%20 Key%20Services, CN=Services,CN=Configuration,DC=ntdev,DC=microsoft, DC=com ?cACertificate?base?objectclass=certificationAuthority
Проверка отзыва
Для того, чтобы возможно было войти с помощью смарт-карты, должна быть доступна информация об отзыве для каждого сертификата из цепочки сертификатов, и каждый список CRL должен быть действителен. Наличие отозванного сертификата (для смарт-карты или контроллера домена), или недоступность информации об отозванных сертификатах, делает вход в систему невозможным.
Информация об отзыве хранится в CDP-расширении каждого сертификата. Как и в случае с AIA, CDP содержат ссылки, указывающие на то место, где находятся списки CRL, которые могут быть получены приложениями (с помощью функции CertGetCertificateChain() API). Эту информацию можно просмотреть через интерфейс пользователя сертификата, доступ к которому Вы можете получить, щелкнув дважды на сертификате в оснастке Сертификаты (Certificates). Ниже приведен пример ldap:/// CDP:
URL=ldap:///CN=W2K%20NTDEV%20Machine%20CA%202,CN=W2KMACHINE CA,CN=CDP, CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=ntdev, DC=microsoft,DC=com?certificateRevocationList?base?objectclass=cRLDi stributionPoint
Примечание
В списке CRL указываются серийные номера отозванных сертификатов.
Требования, выдвигаемые к цепочке сертификатов, для получения возможности входа с помощью смарт-карт
Существует и другой способ входа в систему (отличающийся от обычного входа с использованием паролей и процесса проверки подлинности Kerberos) – вход с помощью смарт-карт. Для входа с помощью смарт-карт используются сертификаты X.509 версии 3 (их описание представлено в разделе "Сертификаты X.509 версии 3" Приложения Б). Для того, чтобы можно было пользоваться входом с помощью смарт-карт, необходимо, чтобы и у контроллера домена, и у клиента были действующие сертификаты, выданные центрами сертификации (CA) предприятия Windows 2000. При этом оба сертификата должны удовлетворять следующим требованиям:
- Сертификат смарт-карты должен быть выдан центром сертификации (СА) предприятия Windows 2000 в Вашем лесу.
- Каждый сертификат из цепочки сертификатов должен быть доступен, т.е. либо он уже должен быть на компьютере или должен быть доступен по сети с помощью стандартных протоколов (таких, как http:, ldap: или доступа к файлам). Это означает, что вся информация об отзыве для каждого сертификата в цепочке сертификата должна быть доступна.
- Вся информация об отзыве для каждого сертификата в цепочке сертификатов должна быть доступна.
- Ни один сертификат из цепочки сертификатов не должен быть отозван.
- Оба сертификата должны иметь цепочку к доверенным корневым сертификатам.
- Сертификаты смарт-карт должны быть основаны на шаблоне сертификата SmartCard Logon или SmartCard User.