Zarządzanie relacjami zaufania certyfikatów
Certyfikaty odgrywają kluczową rolę w ochronie i weryfikowaniu uwierzytelniania oraz innych zadaniach związanych z zabezpieczeniami. Jedną z podstawowych zasad, które umożliwiają te możliwości, jest zaufanie certyfikatów. Aby certyfikat był skuteczny, każdy użytkownik, urządzenie lub aplikacja musi ufać urzędowi certyfikacji, który go wystawił.
Co to jest zaufanie do certyfikatów?
W przypadku korzystania z certyfikatów należy wziąć pod uwagę, kto lub co może wymagać oceny ich autentyczności i ważności. Istnieją trzy typy certyfikatów, których można użyć:
- Wewnętrzne certyfikaty z organizacyjnego urzędu certyfikacji, takie jak serwer hostjący rolę usług AD CS.
- Certyfikaty zewnętrzne z publicznego urzędu certyfikacji, takie jak organizacja, która zapewnia komercyjne oprogramowanie do cyberbezpieczeństwa lub usługi tożsamości.
- Certyfikat z podpisem własnym.
Jeśli wdrożysz główny urząd certyfikacji przedsiębiorstwa i użyjesz go do rejestrowania certyfikatów na urządzeniach przyłączonych do domeny użytkowników, te urządzenia zaakceptują zarejestrowane certyfikaty jako zaufane. Jednak każde urządzenie grupy roboczej będzie uwzględniać te same certyfikaty co niezaufane. Aby rozwiązać ten problem, można skorzystać z następujących opcji:
- Uzyskaj certyfikaty publiczne z zewnętrznego urzędu certyfikacji dla urządzeń grupy roboczej. Wiąże się to z dodatkowymi kosztami certyfikatów publicznych.
- Skonfiguruj urządzenia grupy roboczej, aby ufały głównemu urzędowi certyfikacji przedsiębiorstwa. Wymaga to dodatkowej konfiguracji.
Zarządzanie certyfikatami i relacjami zaufania certyfikatów w systemie Windows
Certyfikaty przechowywane w systemie operacyjnym Windows można zarządzać przy użyciu różnych narzędzi, takich jak Windows Admin Center, przystawka Microsoft Management Console certyfikatów, program Windows PowerShell i narzędzie wiersza polecenia certutil. Każdy z nich zapewnia dostęp do magazynów certyfikatów bieżącego użytkownika, komputera lokalnego i jego usług. Każdy magazyn składa się z kilku folderów, w tym:
Przechowuj
Opis
Osobista
Zawiera certyfikaty wystawione dla użytkownika lokalnego, komputera lokalnego lub jego usługi, w zależności od wybranego magazynu.
Zaufane główne urzędy certyfikacji
Zawiera certyfikaty zaufanych głównych urzędów certyfikacji.
Zaufanie przedsiębiorstwa
Zawiera listy zaufania certyfikatów do implementowania zaufania certyfikatów z podpisem własnym z innych organizacji.
Pośrednie urzędy certyfikacji
Zawiera certyfikaty wystawione dla podrzędnych urzędów certyfikacji w hierarchii certyfikacji.
Aby upewnić się, że urządzenia grupy roboczej ufają głównemu urzędowi certyfikacji przedsiębiorstwa, wyeksportuj certyfikat z folderu Zaufane główne urzędy certyfikacji na komputerze przyłączonym do domeny i zaimportuj go do tego samego folderu na tych urządzeniach.
Uwaga
Alternatywnie można uzyskać certyfikat głównego urzędu certyfikacji przedsiębiorstwa z udziału CertEnroll na serwerze hostujący tę rolę.
Tworzenie certyfikatu z podpisem własnym na potrzeby testowania
Chociaż certyfikaty z podpisem własnym nie są odpowiednie dla scenariuszy produkcyjnych, mogą być przydatne do celów testowych. Aby utworzyć certyfikat z podpisem własnym, możesz użyć polecenia cmdlet programu Windows PowerShell New-SelfSignedCertificate
. Jeśli dołączysz CloneCert
parametr i podasz istniejący certyfikat, nowy będzie miał zgodne ustawienia z wyjątkiem klucza publicznego. Zamiast tego polecenie cmdlet utworzy nowy klucz tego samego algorytmu i długości.
Poniższy przykład tworzy certyfikat serwera SSL z podpisem własnym w magazynie osobistym komputera lokalnego z alternatywną nazwą podmiotu ustawioną na www.fabrikam.com, www.contoso.com i Nazwa podmiotu i wystawcy ustawioną na www.fabrikam.com.
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"