Zarządzanie rejestracją certyfikatów

Ukończone

Celem urzędu certyfikacji jest umożliwienie użytkownikom i urządzeniom rejestrowania certyfikatów i korzystania z nich. Jest to jednak tak samo jak w przypadku implementacji urzędu certyfikacji, wymaga starannego planowania i przygotowania, które określają typ certyfikatów, które urząd certyfikacji może wystawiać.

Co to jest certyfikat?

Certyfikat jest małym plikiem zawierającym kilka informacji o jego właścicielu. Te dane mogą obejmować adres e-mail właściciela, nazwę właściciela, typ użycia certyfikatu, okres ważności oraz adresy URL lokalizacji AIA i CDP.

Certyfikat zawiera również klucz publiczny i odpowiednie metadane, które składają się z klucza prywatnego i odpowiedniego klucza publicznego. Tych kluczy można używać w procesach weryfikowania tożsamości, podpisów cyfrowych i szyfrowania. Para kluczy wygenerowana przez każdy certyfikat ma następujące warunki:

• Gdy zawartość jest szyfrowana przy użyciu klucza publicznego, można ją odszyfrować tylko przy użyciu klucza prywatnego.
• Gdy zawartość jest szyfrowana przy użyciu klucza prywatnego, można ją odszyfrować tylko przy użyciu klucza publicznego.
• Żaden inny klucz nie jest zaangażowany w relację między kluczami z jednej pary kluczy.
• Klucz prywatny nie może być uzyskiwany w rozsądnym czasie z klucza publicznego i odwrotnie.

W ramach procesu rejestracji certyfikatu klient generuje parę kluczy publicznych/prywatnych. Następnie klient wysyła klucz publiczny do urzędu certyfikacji, który potwierdza informacje o kliencie, podpisuje go własnym kluczem prywatnym, a następnie wysyła certyfikat, który zawiera klucz publiczny klienta, z powrotem do klienta.

Uwaga

Możesz myśleć o certyfikacie jako jak prawo jazdy. Wiele firm akceptuje licencję kierowcy jako formę identyfikacji, ponieważ uważają wystawcę licencji (instytucji rządowej) za godną zaufania. Ponieważ firmy rozumieją proces, przez który ktoś może uzyskać prawo jazdy, ufają, że wystawca zweryfikował tożsamość osoby przed wydaniem licencji. W związku z tym prawo jazdy jest dopuszczalne jako prawidłowa forma identyfikacji. Zaufanie certyfikatu jest ustanawiane w podobny sposób.

Co to są szablony certyfikatów?

Szablony certyfikatów definiują sposób, w jaki użytkownicy i urządzenia mogą żądać certyfikatów wystawionych przez urząd certyfikacji przedsiębiorstwa i korzystać z nich na podstawie tego szablonu. Możesz na przykład utworzyć szablon, który zapewni szyfrowanie plików lub funkcję podpisywania wiadomości e-mail. Urząd certyfikacji opiera się na usługach AD DS do przechowywania skonfigurowanych szablonów.

Ważne

Szablony certyfikatów są dostępne tylko w przypadku korzystania z urzędu certyfikacji przedsiębiorstwa. Oznacza to, że w przypadku autonomicznego urzędu certyfikacji każde żądanie certyfikatu musi zostać utworzone ręcznie i dołączyć wszystkie wymagane informacje do dołączenia do certyfikatu.

Urząd certyfikacji udostępnia szablony dla użytkowników i komputerów. Możesz przypisać uprawnienia do szablonów certyfikatów, aby zdefiniować, kto może nimi zarządzać, kto może przeprowadzić rejestrację lub automatyczną rejestrację oraz jakie są ich okresy ważności i odnowienia. Dodatkowe modyfikacje można zastosować, duplikując wstępnie zdefiniowane szablony certyfikatów. Aby udostępnić szablony użytkownikom i urządzeniom, musisz jawnie zezwolić na ich użycie.

Wersje szablonów

Urząd certyfikacji w systemie Windows Server AD CS obsługuje cztery wersje szablonów certyfikatów, z następującymi różnicami funkcjonalnymi:

• Szablony wersji 1. Te szablony umożliwiają modyfikowanie tylko uprawnień związanych z certyfikatami. Podczas instalowania urzędu certyfikacji szablony certyfikatów w wersji 1 są domyślnie tworzone.
• Szablony w wersji 2. Za pomocą tych szablonów można dostosować dodatkowe ustawienia, takie jak okres ważności i odnowienia. Jest to również minimalna wersja, która obsługuje automatyczną rejestrację. Domyślna instalacja usług AD CS udostępnia kilka wstępnie skonfigurowanych szablonów w wersji 2. Możesz utworzyć szablony w wersji 2 lub zduplikować szablon certyfikatu w wersji 1, aby utworzyć nowy szablon w wersji 2.
• Szablony w wersji 3. Szablony certyfikatów w wersji 3 obsługują kryptografię Nowej generacji (CNG). CNG obsługuje zaawansowane algorytmy kryptograficzne. Możesz zduplikować szablony domyślne w wersji 1 i 2, aby uaktualnić je do wersji 3. W przypadku korzystania z szablonów certyfikatów w wersji 3 można użyć algorytmów szyfrowania I skrótu CNG dla żądań certyfikatów, wystawionych certyfikatów i ochrony kluczy prywatnych w scenariuszach wymiany kluczy i archiwizacji kluczy.
• Szablony w wersji 4. Szablony certyfikatów w wersji 4 obsługują dostawców usług kryptograficznych (CSP) i dostawców magazynu kluczy. Można je również skonfigurować tak, aby wymagały odnowienia przy użyciu tego samego klucza.

Pokaz

W poniższym filmie wideo pokazano, jak:

• Utwórz nowy szablon na podstawie szablonu serwera sieci Web.
• Skonfiguruj szablony, aby można je było wydać.

Główne kroki procesu to:

1. Tworzenie środowiska usług AD DS. Utwórz las usług AD DS z jedną domeną.
2. Wdrażanie głównego urzędu certyfikacji przedsiębiorstwa.
3. Utwórz niestandardowy szablon certyfikatu. Użyj konsoli Szablony certyfikatów, aby zduplikować szablon serwera sieci Web.
4. Skonfiguruj szablon, aby mógł zostać wystawiony. Użyj konsoli Urząd certyfikacji, aby udostępnić szablon do użycia.

---

Sprawdź swoją wiedzę

1.

Którego narzędzia można użyć do zezwalania na rejestrację certyfikatów przy użyciu już skonfigurowanego szablonu?

Konsola urzędu certyfikacji

Konsola Szablony certyfikatów

Konsola lokacji i usług usługi Active Directory

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.