(взято из справки Windows 2008)
Типы центров сертификации
Центр сертификации принимает запросы на сертификаты, проверяет соответствие сведений о запрашивающей стороне политике центра сертификации, затем использует закрытый ключ для применения собственной цифровой подписи к сертификатам. Затем центр сертификации выдает сертификаты запросившим их субъектам для использования этих сертификатов в качестве учетных данных безопасности в инфраструктуре открытого ключа. Центр сертификации также служит для отзыва сертификатов и публикации списка отзыва сертификатов.
Центр сертификации может быть внешним, например VeriSign, или может быть создан для нужд организации посредством установки службы сертификатов Active Directory. Каждый центр сертификации может иметь особые требования к доказательству подлинности стороны, запрашивающей сертификат, такие как учетные записи доменов, наличие пропуска сотрудника, водительских прав, нотариально заверенного запроса или физического адреса. Подобные проверки идентификации служат основанием для создания внутреннего центра сертификации, с помощью которого организации могли бы проверять собственных сотрудников или членов.
В центрах сертификации предприятия, поддерживаемых корпорацией Майкрософт, в качестве доказательства подлинности используются данные учетной записи пользователя. Другими словами, если подключенный к домену пользователь запрашивает сертификат от центра сертификации предприятия, этот центр сертификации может проверить подлинность этого пользователя, основываясь на учетной записи в доменных службах Active Directory.
Каждый центр сертификации также имеет сертификат для подтверждения собственной подлинности, который был выдан другим доверенным центром сертификации или, как в случае корневого центра сертификации, выдан самому себе. Важно запомнить, что любой пользователь может создать центр сертификации. Поэтому пользователь или администратор должен решить, следует ли доверять такому центру сертификации, а также определить политики и процедуры, которые будут использоваться центром сертификации для подтверждения подлинности объектам, которым этот центр сертификации выдает сертификаты.
Корневые и подчиненные центры сертификации
Корневой центр сертификации – это наиболее доверенный тип центра сертификации в инфраструктуре открытого ключа организации. Если корневой центр сертификации будет скомпрометирован или выдаст сертификат неавторизованному объекту, безопасность организации, основанная на использовании сертификатов, становится уязвимой. Поэтому физическая безопасность и политика выдачи сертификатов в корневом центре сертификации, как правило, является более строгой, чем на подчиненных центрах сертификации. Хотя корневые центры сертификации можно использовать для выдачи сертификатов конечным пользователям для таких целей, как отправка безопасных сообщений электронной почты, в большинстве организаций эти центры используются только для выдачи сертификатов другим центрам сертификации, которые называются подчиненными центрами сертификации.
Подчиненный центр сертификации – это центр сертификации, которому был выдан сертификат другим центром сертификации в организации. Как правило, подчиненный центр сертификации будет выдавать сертификаты для определенных целей, например для обмена безопасными сообщениями электронной почты, проверки подлинности в сети Интернет или проверки подлинности с помощью смарт-карт. Подчиненные центры сертификации также могут выдавать сертификаты собственным подчиненным центрам сертификации. Корневой центр сертификации, подчиненные центры сертификации, получившие сертификаты от корневого центра, и подчиненные центры сертификации, получившие сертификаты от других подчиненных центров вместе образуют иерархию сертификации.
Центры сертификации предприятия
Центры сертификации предприятий могут выдавать сертификаты для таких целей, как цифровые подписи, безопасная электронная почта с использованием стандарта S/MIME, проверка подлинности на безопасном веб-сервере с использованием протокола SSL или TLS и вход в домен с помощью смарт-карты.
Центр сертификации предприятия обладает следующими характеристиками:
- Требует доступа к службе AD DS.
- Использует групповую политику для распространения своего сертификата в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене.
- Публикует сертификаты пользователей и списки отзыва сертификатов (CRL) в службе AD DS. Для публикации сертификатов в службе AD DS сервер, на котором установлен центр сертификации, должен быть членом группы “Издатели сертификатов”. Это происходит автоматически для домена, в котором находится сервер, но для публикации сертификатов в других доменах серверу должны быть делегированы соответствующие разрешения безопасности.
Примечание
Для установки корневого центра сертификации предприятия необходимо быть членом группы Администраторы домена или администратором с правом записи в службу AD DS.
Центр сертификации предприятия выдает сертификаты на основе шаблона сертификатов. При использовании шаблонов сертификатов возможны следующие функции:
- Центры сертификации предприятия принудительно проверяют учетные данные для пользователей во время регистрации сертификатов. У каждого шаблона сертификатов есть набор разрешений безопасности в службе AD DS, определяющий, разрешено ли запрашивающей стороне получать сертификат запрошенного типа.
- Имя субъекта сертификата может быть создано автоматически из данных, имеющихся в доменных службах Active Directory, или предоставлено явным образом запрашивающей стороной.
- Модуль политики добавляет предопределенный список расширений сертификата для выданного сертификата. Расширения определяются шаблоном сертификатов. Это уменьшает объем данных, которые должна предоставлять запрашивающая сторона о сертификате и цели его использования.
- Для выдачи сертификатов может использоваться автоматическая регистрация.
Автономные центры сертификации
Автономные центры сертификации могут выдавать сертификаты специального назначения, например для цифровых подписей, безопасной электронной почты с использованием S/MIME и авторизации на безопасных веб-серверах с помощью протоколов SSL или TLS.
Автономный центр сертификации обладает указанными ниже характеристиками:
- В отличие от центра сертификации предприятия автономный центр сертификации не нуждается в использовании доменных служб Active Directory. Даже при использовании доменных служб Active Directory автономные центры сертификации могут применяться в качестве автономных корневых доверенных центров сертификации в иерархии центров сертификации или использоваться для выдачи сертификатов клиентам по экстрасети или Интернету.
- При подаче заявки на сертификат в автономный центр сертификации пользователи должны предоставить сведения для проверки подлинности и указать тип необходимого сертификата. (Этого можно не делать при отправке запроса в центр сертификации предприятия, потому что сведения о пользователе предприятия уже содержатся в доменных службах Active Directory, а тип сертификата описан в шаблоне сертификата). Сведения для проверки подлинности при запросах берутся из базы данных диспетчера учетных записей безопасности на локальном компьютере.
- По умолчанию все запросы на сертификаты, отправленные на автономный центр сертификации, помещаются в очередь до тех пор, пока администратор автономного центра сертификации не проверит отправленные данные и утвердит запрос. Администратор должен выполнять эти задачи, потому что учетные данные запрашивающей стороны не проверяются автономным центром сертификации.
- Шаблоны сертификатов не используются.
- Администратор должен явно передать сертификат автономного центра сертификации в доверенное корневое хранилище пользователя домена, или пользователи должны выполнить эту задачу самостоятельно.
- Если используется поставщик служб шифрования, поддерживающий шифрование ECC, автономный центр сертификации будет поддерживать любое использование ключа ECC. Дополнительные сведения см. на веб-сайте, посвященном криптографии следующего поколения (http://go.microsoft.com/fwlink/?LinkID=85480) (может быть на английском языке).
При использовании автономным центром сертификации доменных служб Active Directory в центре сертификации появляются следующие функциональные возможности:
- Если член группы администраторов домена или администратор с правом записи на контроллере домена устанавливает автономный корневой центр сертификации, этот центр автоматически добавляется в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене. По этой причине при установке автономного центра сертификации в домене Active Directory нельзя изменять действие центра сертификации по умолчанию при получении запросов на сертификаты (то есть помещение запросов в очередь). В противном случае этот центр станет доверенным корневым центром сертификации, который будет автоматически выдавать сертификаты без проверки подлинности запрашивающей стороны.
- Если автономный центр сертификации установлен членом группы администраторов домена родительского домена в организации или администратором, имеющим право на запись в доменных службах Active Directory, автономный центр сертификации будет публиковать свой сертификат центра сертификации и список отзыва сертификатов в доменных службах Active Directory.