Správa vztahů důvěryhodnosti certifikátů
Certifikáty hrají zásadní roli při ochraně a ověřování ověřování a dalších úloh souvisejících se zabezpečením. Jedním ze základních principů, které tyto funkce umožňují, je vztah důvěryhodnosti certifikátů. Aby certifikát byl efektivní, musí každý uživatel, zařízení nebo aplikace, které ho používá, důvěřovat certifikační autoritě, která ho vydala.
Co je důvěryhodnost certifikátu?
Při používání certifikátů je důležité zvážit, kdo nebo co může potřebovat vyhodnotit jejich pravost a platnost. Existují tři typy certifikátů, které můžete použít:
- Interní certifikáty od certifikační autority organizace, například serveru hostujícího roli AD CS.
- Externí certifikáty od veřejné certifikační autority, jako je organizace poskytující komerční software kybernetické bezpečnosti nebo služby identit.
- Certifikát podepsaný svým držitelem.
Pokud nasadíte kořenovou certifikační autoritu organizace a použijete ji k registraci certifikátů do zařízení připojených k doméně uživatelů, budou tato zařízení přijímat zaregistrované certifikáty jako důvěryhodné. Jakékoli zařízení pracovní skupiny ale bude považovat za nedůvěryhodné certifikáty. Chcete-li tento problém vyřešit, můžete postupovat takto:
- Získejte veřejné certifikáty z externí certifikační autority pro zařízení pracovní skupiny. To zahrnuje dodatečné náklady na veřejné certifikáty.
- Nakonfigurujte zařízení pracovní skupiny tak, aby důvěřovala kořenové certifikační autoritě organizace. To vyžaduje další konfiguraci.
Správa certifikátů a vztahů důvěryhodnosti certifikátů ve Windows
Certifikáty uložené v operačním systému Windows můžete spravovat pomocí řady nástrojů, mezi které patří Windows Admin Center, modul snap-in Konzola pro správu Certifikátů Microsoft, Windows PowerShell a nástroj příkazového řádku certutil. Každý z nich vám poskytne přístup k úložištům certifikátů aktuálního uživatele, místního počítače a jeho služeb. Každé úložiště se skládá z několika složek, mezi které patří:
Uložit
Popis
Osobní
Obsahuje certifikáty vydané místnímu uživateli, místnímu počítači nebo jeho službě v závislosti na vybraném úložišti.
Důvěryhodné kořenové certifikační autority
Obsahuje certifikáty důvěryhodných kořenových certifikačních autorit.
Důvěryhodnost v rámci rozlehlé sítě
Obsahuje seznamy důvěryhodnosti certifikátů pro implementaci vztahů důvěryhodnosti certifikátů podepsaných svým držitelem od jiných organizací.
Zprostředkující certifikační autority
Obsahuje certifikáty vydané podřízeným certifikačním autoritám v hierarchii certifikace.
Pokud chcete zajistit, aby zařízení pracovní skupiny důvěřovala kořenové certifikační autoritě organizace, exportujte jeho certifikát ze složky Důvěryhodné kořenové certifikační autority na počítači připojeném k doméně a naimportujte ho do stejné složky na těchto zařízeních.
Poznámka:
Případně můžete certifikát kořenové certifikační autority organizace získat ze sdílené složky CertEnroll na serveru, který tuto roli hostuje.
Vytvoření certifikátu podepsaného svým držitelem pro účely testování
I když certifikáty podepsané svým držitelem nejsou vhodné pro produkční scénáře, mohou být užitečné pro účely testování. K vytvoření certifikátu podepsaného svým držitelem můžete použít rutinu Windows PowerShellu New-SelfSignedCertificate . Pokud parametr zahrnete CloneCert a zadáte existující certifikát, bude mít nový odpovídající nastavení s výjimkou veřejného klíče. Místo toho rutina vytvoří nový klíč se stejným algoritmem a délkou.
Následující příklad vytvoří certifikát serveru SSL podepsaný svým držitelem v osobním úložišti místního počítače s alternativním názvem subjektu nastaveným na www.fabrikam.com, www.contoso.com a název subjektu a vystavitele nastavený na www.fabrikam.com.
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"