Обзор основ PKI и AD CS
Чтобы получить сертификаты для инфраструктуры AD DS, можно запросить их в общедоступном центре сертификации или выдать их с помощью собственной инфраструктуры. Для реализации собственного центра сертификации можно использовать AD CS. Именно такой путь и выбрала компания Contoso. AD CS — это технология удостоверений в Windows Server, которая позволяет реализовать PKI для вашей организации.
Что такое PKI?
PKI — это сочетание программного обеспечения, технологий шифрования, процессов и служб, которые позволяют организации защищать свои данные, коммуникации и бизнес-транзакции. PKI полагается на обмен цифровыми сертификатами между прошедшими проверку подлинности пользователями и доверенными ресурсами. Сертификаты используются для защиты данных и управления идентификационными данными пользователей и компьютеров как внутри организации, так и за ее пределами.
Что такое служба сертификации Active Directory?
Решение PKI можно реализовать с помощью роли сервера Windows службы сертификации Active Directory. Служба сертификации Active Directory предоставляет все компоненты, связанные с PKI, в качестве служб роли. Каждая служба роли отвечает за определенную часть инфраструктуры сертификатов, при этом все роли ведут совместную работу по формированию полного решения.
Роль службы сертификатов Active Directory включает следующие службы роли.
Центр сертификации. Основные цели центров сертификации состоят в выдаче сертификатов, отзыве сертификатов, публикации доступа к информации о центрах сертификации (AIA) и сведений об отзыве. Центр сертификации, развернутый первым, является корнем внутренней инфраструктуры открытых ключей. Далее можно развертывать подчиненные ЦС, расположенные в иерархии инфраструктуры открытых ключей, в верхней части которой находится корневой ЦС. Подчиненные центры сертификации неявно доверяют корневому центру сертификации и, как следствие, сертификатам, которые он выдает.
Примечание.
Вы можете развернуть несколько внутренних иерархий центров сертификации, каждая из которых имеет свой корень.
Служба регистрации в центре сертификации через Интернет. Этот компонент предоставляет метод выпуска и продления сертификатов в сценариях, где пользователи используют устройства, не присоединенные к домену или работающие под управлением операционных систем, отличных от Windows.
Сетевой ответчик. Этот компонент можно использовать для настройки проверки Online Certificate Status Protocol (OCSP) и управления ею, а также для проверки отзыва. Сетевой ответчик декодирует запросы состояния отзыва для конкретных сертификатов, оценивает их состояние и отправляет обратно подписанный ответ, содержащий сведения о состоянии запрошенного сертификата.
Служба регистрации сертификатов для сетевых устройств (NDES). С помощью этого компонента маршрутизаторы, коммутаторы и другие сетевые устройства получают сертификаты от службы сертификатов Active Directory.
Веб-служба регистрации сертификатов (CES). Этот компонент играет роль прокси-клиента между компьютером под управлением Windows и центром сертификации. Веб-служба регистрации сертификатов позволяет пользователям, компьютерам или приложениям подключаться к центру сертификации с помощью веб-служб для выполнения следующих задач.
- Запрос, продление и установка выданных сертификатов.
- Получение списков отзыва сертификатов (CRL).
- Скачивание корневого сертификата.
- Регистрация через Интернет или леса.
- Автоматическое продление сертификатов для компьютеров, относящихся к недоверенным доменам доменных служб Active Directory или не присоединенных к домену.
Веб-служба политик регистрации сертификатов. Этот компонент позволяет пользователям получать сведения о политике регистрации сертификатов. Вместе с веб-службой регистрации сертификатов он обеспечивает регистрацию сертификатов на основе политик в сценариях, где пользовательские устройства не присоединены к домену или не могут подключиться к контроллеру домена.