Prozkoumání základů infrastruktury veřejných klíčů a SLUŽBY AD CS

  • 5 min

Pokud chcete získat certifikáty pro infrastrukturu služby AD DS, můžete je požádat od veřejné certifikační autority nebo je vydat pomocí vlastní infrastruktury. K implementaci vlastní certifikační autority můžete použít službu AD CS, což je cesta, kterou společnost Contoso zvolila. AD CS je technologie identit ve Windows Serveru, která umožňuje implementovat pkI pro vaši organizaci.

Co je PKI?

Infrastruktura veřejných klíčů (PKI) je kombinace softwaru, šifrovacích technologií, procesů a služeb, které organizaci umožňují zabezpečit svá data, komunikaci a obchodní transakce. Infrastruktura veřejných klíčů spoléhá na výměnu digitálních certifikátů mezi ověřenými uživateli a důvěryhodnými prostředky. Certifikáty slouží k zabezpečení dat a ke správě identifikačních přihlašovacích údajů od uživatelů a počítačů v rámci vaší organizace i mimo ni.

Co je AD CS?

Řešení PKI můžete implementovat pomocí role AD CS systému Windows Server. Služba AD CS poskytuje všechny komponenty související s PKI jako služby rolí. Každá služba role zodpovídá za konkrétní část infrastruktury certifikátů při spolupráci na vytvoření kompletního řešení.

Role AD CS zahrnuje následující služby rolí:

  • Certifikační autorita. Hlavními účely certifikačních autorit jsou vydávání certifikátů, odvolání certifikátů a publikování přístupu k informacím o autoritě (AIA) a informací o odvolání. První certifikační autorita, kterou nasadíte, se stane kořenem interní infrastruktury veřejných klíčů. Následně můžete nasadit podřízené certifikační autority umístěné v hierarchii PKI s kořenovou certifikační autoritou v její horní části. Podřízené certifikační autority implicitně důvěřují kořenové certifikační autoritě a na základě implikace vydává certifikáty, které vydává.

    Poznámka:

    Máte možnost nasadit několik interních hierarchií certifikační autority, z nichž každá má svůj vlastní kořenový adresář.

  • Webová registrace certifikační autority. Tato komponenta poskytuje metodu vydávání a obnovování certifikátů ve scénářích, kdy uživatelé používají zařízení, která nejsou připojená k doméně nebo používají jiné operační systémy než Windows.

  • Online respondér. Tuto komponentu můžete použít ke konfiguraci a správě ověřování a kontroly odvolání protokolu OCSP (Online Certificate Status Protocol). Online respondér dekóduje žádosti o stav odvolání pro konkrétní certifikáty, vyhodnotí stav těchto certifikátů a vrátí podepsanou odpověď s požadovanými informacemi o stavu certifikátu.

  • Služba zápisu síťových zařízení (NDES). Pomocí této komponenty můžou směrovače, přepínače a další síťová zařízení získávat certifikáty ze služby AD CS.

  • Webová služba zápisu certifikátů (CES). Tato komponenta funguje jako proxy klient mezi počítačem se systémem Windows a certifikační autoritou. Ces umožňuje uživatelům, počítačům nebo aplikacím připojit se k certifikační autoritě pomocí webových služeb, aby:

    • Vyžádání, obnovení a instalace vydaných certifikátů
    • Načtení seznamů odvolaných certifikátů (CRL)
    • Stáhněte si kořenový certifikát.
    • Zaregistrujte se přes internet nebo napříč doménovými strukturami.
    • Obnovte certifikáty automaticky pro počítače, které jsou součástí nedůvěryhodných domén služby AD DS nebo nejsou připojené k doméně.

  • Webová služba zásad zápisu certifikátů. Tato komponenta umožňuje uživatelům získat informace o zásadách zápisu certifikátů. V kombinaci s CES umožňuje registraci certifikátů na základě zásad ve scénářích, kdy se uživatelská zařízení nepřipojí k doméně nebo se nemůžou připojit k řadiči domény.

Služby rolí role SLUŽBY AD CS ve Windows Serveru 2019, včetně certifikační autority, webové registrace certifikační autority, online respondéru, služby zápisu síťových zařízení, CES a webové služby zásad zápisu certifikátů.