Развертывание IRM и RMS
Сертификация пользователей RMS
В процессе сертификации создается сертификат управления правами учетной записи, устанавливающий взаимосвязь между учетной записью пользователя и определенным компьютером. Благодаря этому служащий, работающий с информацией, может получать и использовать защищенную информацию при работе за этим компьютером. Первый раз, когда служащий публикует защищенную информацию или пытается получить доступ к защищенной информации с клиентского компьютера, используемое им RMS-совместимое приложение подает запрос на сертификат учетной записи в корневую инсталляцию Windows RMS.
Корневая инсталляция Windows RMS проверяет подлинность пользователя с помощью средств аутентификации Windows и создает сертификат учетной записи, в который включена пара ключей (открытый/закрытый), основанных на информации об учетных данных служащего. Кроме этого закрытый ключ служащего шифруется с помощью открытого ключа сертификата клиентского компьютера и добавляется в сертификат учетной записи пользователя. После этого сертификат учетной записи выдается запросившему его приложению. Приложение хранит сертификат учетной записи на компьютере или устройстве, тем самым обеспечивается его доступность для последующей публикации или подачи запросов для получения лицензии на использование.
Поскольку для подачи запроса на сертификат учетной записи необходимо наличие сертификата клиентского компьютера, то сертификация пользователя выполняется после процесса активации компьютера. Служащему необходимо иметь сертификат учетной записи на каждом компьютере, который он использует. В случае, если служащий использует более одного компьютера, то для каждого компьютера выдается уникальный сертификат, но при этом пара ключей (открытый/закрытый), содержащаяся в сертификатах, будет одинаковой для данного пользователя.
Когда приложение запрашивает лицензию на использование, то в запрос включается сертификат учетной записи. Сервер лицензирования RMS использует открытый ключ сертификата учетной записи для шифрования симметричного ключа в лицензии на публикацию, который был изначально зашифрован с помощью открытого ключа сервера RMS. Благодаря этому только доверенные объекты могут получить доступ к лицензии на использование и использовать ее.
Подача клиентскими компьютерами заявки на выполнение автономной публикации
Клиентские компьютеры могут выполнять подачу заявки в корневую инсталляцию или серверу лицензирования для получения сертификата лицензиара клиента RMS. Этот сертификат позволяет служащим публиковать защищенную информацию в случаях, когда их компьютер не подключен к корпоративной сети. При этом подписание и выдача лицензий на публикацию, содержащих права и условия использования защищенной информации, опубликованной с этого компьютера, выполняет сам клиентский компьютер вместо сервера лицензирования.
В процессе локальной подачи заявки выполняются следующие шаги:
- Клиентский компьютер отправляет сертификат учетной записи служащего и запрос подачи заявки на сервер RMS.
- Сервер проверяет, позволяют ли настройки, заданные сетевым администратором, выполнять предварительную подачу заявок, а также проверяет, не содержится ли сертификат в списке исключений базы данных конфигурации.
- Сервер создает пару ключей (открытый/закрытый), чтобы предоставить служащему, подавшему запрос, право на выполнение автономной публикации. Сервер создает сертификат лицензиара клиента и добавляет в него открытый ключ. Затем сервер шифрует закрытый ключ с помощью открытого ключа сертификата учетной записи и добавляет его в сертификат.
- Корневая инсталляция выдает локальному компьютеру сертификат лицензиара клиента.