Správa zápisu certifikátů

Dokončeno

Účelem certifikační autority je umožnit uživatelům a zařízením registraci a používání certifikátů. To však stejně jako u implementace certifikační autority vyžaduje pečlivé plánování a přípravu, které určuje typ certifikátů, které může certifikační autorita vydat.

Co je certifikát?

Certifikát je malý soubor, který obsahuje několik informací o jeho vlastníkovi. Tato data můžou zahrnovat e-mailovou adresu vlastníka, jméno vlastníka, typ použití certifikátu, dobu platnosti a adresy URL pro umístění AIA a CDP.

Certifikát obsahuje také veřejný klíč a odpovídající metadata, která se skládá z privátního klíče a odpovídajícího veřejného klíče. Tyto klíče můžete použít v procesech ověřování identit, digitálních podpisů a šifrování. Pár klíčů, který každý certifikát vygeneruje, má následující podmínky:

• Pokud je obsah zašifrovaný pomocí veřejného klíče, může být dešifrován pouze pomocí privátního klíče.
• Pokud je obsah šifrovaný pomocí privátního klíče, může být dešifrován pouze pomocí veřejného klíče.
• Do vztahu mezi klíči z jednoho páru klíčů není zapojen žádný jiný klíč.
• Privátní klíč nelze odvodit v přiměřené době z veřejného klíče a naopak.

V rámci procesu zápisu certifikátu klient vygeneruje dvojici veřejného a privátního klíče. Klient pak odešle veřejný klíč certifikační autoritě, který potvrdí informace o klientovi, podepíše ho vlastním privátním klíčem a pak odešle certifikát, který zahrnuje veřejný klíč klienta, zpět klientovi.

Poznámka:

Certifikát si můžete představit jako licenci řidiče. Mnoho firem přijímá licenci řidiče jako formu identifikace, protože považují vystavitele licence (státní instituce) za důvěryhodnou. Vzhledem k tomu, že firmy chápou proces, podle kterého může někdo získat řidičskou licenci, důvěřují tomu, že vystavitel před vydáním licence ověřil identitu jednotlivce. Proto je licence řidiče přijatelná jako platná forma identifikace. Vztah důvěryhodnosti certifikátu je vytvořen podobným způsobem.

Co jsou šablony certifikátů?

Šablony certifikátů definují, jak můžou uživatelé a zařízení požadovat a používat certifikáty vydané certifikační autoritou organizace na základě této šablony. Můžete například vytvořit šablonu, která bude poskytovat šifrování souborů nebo funkci podepisování e-mailů. Certifikační autorita spoléhá na službu AD DS k ukládání nakonfigurovaných šablon.

Důležité

Šablony certifikátů jsou k dispozici pouze při použití certifikační autority organizace. To znamená, že u samostatné certifikační autority musí být každá žádost o certifikát vytvořena ručně a musí obsahovat všechny požadované informace, které se mají zahrnout do certifikátu.

Ca poskytuje šablony pro uživatele a počítače. K šablonám certifikátů můžete přiřadit oprávnění, abyste definovali, kdo je může spravovat, kdo může provádět registraci nebo automatické zápisy a jaká je jejich platnost a období prodloužení platnosti. Další úpravy můžete použít duplikováním předdefinovaných šablon certifikátů. Pokud chcete zpřístupnit šablony uživatelům a zařízením, musíte explicitně povolit jejich použití.

Verze šablon

Certifikační autorita ve Windows Serveru AD CS podporuje čtyři verze šablon certifikátů s následujícími funkčními rozdíly:

• Šablony verze 1 Tyto šablony umožňují upravovat pouze oprávnění související s certifikáty. Při instalaci certifikační autority se ve výchozím nastavení vytvoří šablony certifikátů verze 1.
• Šablony verze 2 Pomocí těchto šablon můžete přizpůsobit další nastavení, například dobu platnosti a prodloužení. Toto je také minimální verze, která podporuje automatické zápisy. Výchozí instalace služby AD CS poskytuje několik předkonfigurovaných šablon verze 2. Můžete vytvořit šablony verze 2 nebo duplikovat šablonu certifikátu verze 1 a vytvořit novou šablonu verze 2.
• Šablony verze 3 Šablony certifikátů verze 3 podporují kryptografickou novou generaci (CNG). CNG podporuje pokročilé kryptografické algoritmy. Výchozí šablony verze 1 a verze 2 můžete duplikovat a upgradovat je na verzi 3. Při použití šablon certifikátů verze 3 můžete použít šifrovací a hashovací algoritmy CNG pro žádosti o certifikáty, vydané certifikáty a ochranu privátních klíčů pro scénáře výměny klíčů a archivace klíčů.
• Šablony verze 4 Šablony certifikátů verze 4 podporují poskytovatele kryptografických služeb (CSP) i poskytovatele úložiště klíčů. Můžete je také nakonfigurovat tak, aby vyžadovaly prodlužování platnosti se stejným klíčem.

Ukázka

Následující video ukazuje, jak:

• Vytvořte novou šablonu založenou na šabloně webového serveru.
• Nakonfigurujte šablony tak, aby je bylo možné vystavit.

Hlavními kroky v procesu jsou:

1. Vytvořte prostředí SLUŽBY AD DS. Vytvořte doménovou strukturu SLUŽBY AD DS s jednou doménou.
2. Nasaďte kořenovou certifikační autoritu organizace.
3. Vytvořte vlastní šablonu certifikátu. Pomocí konzoly Šablony certifikátů duplikujte šablonu webového serveru.
4. Nakonfigurujte šablonu tak, aby ji bylo možné vystavit. K zpřístupnění šablony pro použití použijte konzolu Certifikační autorita.

---

Kontrola znalostí

1.

Který nástroj lze použít k povolení registrace certifikátů pomocí již nakonfigurované šablony?

Konzola certifikační autority

Konzola Šablony certifikátů

Konzola lokality a služby Active Directory

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.