Както е известно, сертификати, необходими за сигурно удостоверяване, създават SSL-връзки изпратете S / MIME-съобщения и други действия, насочени към гарантиране на сигурността. Всяка година, използването на сертификати се разраства, и с цел да отговорят на новите изисквания, на Microsoft съвсем сериозно преработен стария сертификат обслужване Услуги.
- Сертифициращите органи (CAS) - Този компонент ви позволява да се инсталира и конфигурира корен (корен), или роб (подчинен) сертифициращите органи (известни още като "центрове за сертифициране"), които се използват да издава сертификати на потребители, компютри и услуги.
- е необходим уеб записване за искане сертификат и да получат информация за прекратените удостоверения чрез уеб браузър.
- Онлайн Responder позволява на клиентите да получат информация за състоянието на удостоверението без списъците на отмяна.
- Мрежа за записване Device Service (ПБС) се използва от рутери и други мрежови устройства, без потребителски акаунти в домейна, за да се получи сертификати. Записването за обслужване на мрежовите устройства, използващи ПРДЕ протокол (Simple Уверение Protocol), който е разработен от Cisco. Разширяване ПБС за IIS, се конфигурира чрез ключове в регистъра HKEY_LOCAL_ROOT \ Software \ Microsoft \ Криптография \ MSCEP.
- Уверение Web Service предоставя на клиентите възможност да се запишат автоматично сертификати и да ги получите чрез HTTPS.
- Уверение политика Web Service ви позволява да дефинирате политиката за автоматични свидетелства за регистрация и ги предава на клиентите в HTTPS. По това време, като Web Service получава информация от АД чрез политики LDAP.
Опции за инсталиране и управление на АД CS
Инсталиране АД CS се произвежда чрез добавяне роли в диспечера на моментна Server. Както и преди, за да регулирате настройките на параметрите, използвани CAPolicy.inf конфигурационен файл, които трябва да бъдат в% SystemRoot% на. Ако имате нужда да инсталирате компонента на сървъра на Органа две Сертификация и Уверение Web Service, това трябва да става на два етапа, като при инсталирането на СО не можете да изберете да инсталирате компонента Web Service.
Enterprise PKI ви позволява едновременно да се следи здравето и наличието на множество CA, проверка на състоянието на сертификати от сертифициращи органи, наличието на AIA (Достъп до информация), както и списъците с невалидните. С помощта на многоцветни марка може да се види от наличието и PKI държавата. Pkiview полезно, когато разположи в организирането на няколко Калифорния, както и информация за тях може да се получи от няколко източника, работещи на различни протоколи.
шаблони за сертификат
С помощта на можете да определи формата и съдържанието на публикуваните сертификат сертификат за шаблони, и да поиска разрешение да поискат сертификати за потребители и компютри. Само Enterprise CA може да използва сертификат шаблони.
Нови начини да искат сертификати
Между другото, как потребители и компютри получават сертификати? С други думи, те могат да подадат молба за издаване на сертификат и да го инсталирате на компютъра си? Можете, разбира се, ръцете, за да създадете заявка за PKCS # 10 и чрез командния ред и преминават искане certreq до Калифорния, но не винаги имат възможност да обясни на потребителите как да го направя. Ако домейн на потребителя, и е свързан с корпоративната мрежа, можете да използвате Group Policy, за да изберете автоматично подаване и обработка на приложения. В резултат на това, потребителят може дори да не подозирате, че той е бил инсталиран нов сертификат или актуализирана възраст.
Клиентите, които не принадлежат към домейна или нямат пряк достъп до мрежата със СО, могат да поискат удостоверение от уеб интерфейс. Компонент Уеб записване, което е необходимо за това, настояще и минало, но е бил променен значително. Xenroll.dll старата библиотека, която е написана преди много години и за дълго време, допълнени с нови функции и грешки, е заменена с нова - CertEnroll.dll, защото е по-лесно да се напише от нулата, отколкото да се определи нещо, което беше. Уеб Записването ви позволява да прилагате в PKCS # 10 формат или да създадете заявки за интерактивно от браузър, autoenrollment не се поддържа.
Ако искате да се избегне исканията на СО за новите сертификати от интернет, но има и клиенти, които имат нужда да се подновява сертификатите, когато, например, за бизнес пътувания, можете да използвате само в режим на актуализация (подновяване само). В този случай, клиентите на първо издаване на сертификата трябва да бъдат в една и съща мрежа, тъй като СО, и в случай на подновяване сертификат могат да се възползват от Web записване на Калифорния.
Политика за тези услуги са конфигурирани чрез Group Policy или на клиента, чрез снимколюбител сертификати.
РЛО vs. онлайн Responder
При проверка на валидността на сертификата, между другото, неговата валидност се проверява и състоянието на отмяна. Сертификатът може да бъде отменено, в случай на компрометиране на ключа, и при смяна на информацията по отношение на собственика, например, промяна на позициите или семейства. По традиция на информацията за анулиране на сертификата се поставя в списъците с невалидните (CRL (удостоверение списък отмяна)). За да разберете дали сертификатът е бил анулиран, че е необходимо да се получи списък на прегледи и проверка за наличие на сертификат в процес на разглеждане. Ако вашата организация има голям брой сертификати, списъкът ще расте бързо, а клиентите с проверката на състоянието сертификат ще се радват да изтеглите списък. Освен обичайните списъци, има и разлика (Delta CRL), който съдържа само информация за сертификати, чийто статут е променен от предишния списък изземване. Delta CRL частично решаване на проблема с обема на списъците с невалидните, но не разреши всички проблеми, свързани с приложимостта на информацията. От списъците са публикувани през определените интервали, може да е ситуация, че сертификатът е бил анулиран, както и информация за това в референтната лаборатория на Общността все още.
OCSP протокол поддръжката на клиентите, като се започне с Windows Vista. Те могат да бъдат конфигурирани с помощта на новите настройки в областта на политиката (Certificate Path валидиране Раздел Настройки анулирани).
За разлика от използването на списъците с невалидните, Онлайн Responder се изисква първоначално за инсталиране и конфигуриране. За да направите това, изпълнете следните стъпки:
заключение
На първо място, да се търси подкрепа за нови протоколи и криптографски алгоритми. протокола в службите на ГРАО, които в продължение на години се е намирал на други софтуерни продукти, най-накрая достигна сървър операционна система на Microsoft. По този начин, програмисти и администратори от различните изпълнения се появиха, за да провери състоянието на сертификати за анулиране, което дава възможност за избор между скорост, обем данни и информация спешност. Важно е също така да се подкрепи развитието на алгоритми на елиптични криви. За съжаление, не се поддържа от руските и американските стандарти, но се очаква, иначе би било странно.
На второ място, много библиотеки (например Crypto API и Xenroll.dll) пренаписана от нулата, тъй като на това, което можем да се надяваме за избавление от старите грешки и проблеми, и да чака новото.
На трето място, значително набъбнала методи за заявки и получаване на сертификати. Сега сертификати могат да получават и мрежови устройства, без влизане в домейна и потребителите, без пряк достъп на СО мрежа
И накрая, никакво внимание, а не наляво и автоматизация аматьори и skriptopisaniya - нови обекти и функции ще им позволи да реализират своите фантазии.
Покажете тази статия на приятел:
Свързани статии