Управление регистрацией сертификата

  • 9 мин

Назначение центра сертификации заключается в том, чтобы разрешать пользователям и устройствам регистрироваться для получения сертификатов и использовать их. Тем не менее это, так же как и реализация центра сертификации, требует тщательного планирования и подготовки, в ходе которых определяется тип сертификатов для выдачи центром сертификации.

Что такое сертификат?

Сертификат — это небольшой файл, содержащий несколько фрагментов информации о своем владельце. Эти данные могут включать адрес электронной почты владельца, имя владельца, тип использования сертификата, срок действия и URL-адреса расположений AIA и CDP.

Сертификат также содержит открытый ключ и соответствующие метаданные, состоящие из закрытого ключа и соответствующего открытого ключа. Эти ключи можно использовать в процессе проверки удостоверений, цифровых подписей и шифрования. Пара ключей, которую создает каждый сертификат, имеет следующие ограничения.

  • Содержимое, зашифрованное с помощью открытого ключа, можно расшифровать только с помощью закрытого ключа.
  • Содержимое, зашифрованное с помощью закрытого ключа, можно расшифровать только с помощью открытого ключа.
  • В отношении между ключами, составляющими одну пару ключей, другие ключи не участвуют.
  • В разумные сроки закрытый ключ невозможно вывести из открытого ключа, и наоборот.

В рамках процесса регистрации сертификата клиент создает пару открытого и закрытого ключей. После этого клиент отправляет открытый ключ в центр сертификации, который подтверждает сведения о клиенте, подписывает их с помощью собственного закрытого ключа, а затем отправляет сертификат, содержащий открытый ключ клиента, обратно клиенту.

Примечание.

Сертификат можно сравнить с водительскими правами. Многие организации принимают водительские права в качестве удостоверения личности, так как доверяют выдавшему их органу (правительственному учреждению). Поскольку организациям известен процесс выдачи водительских прав, они уверены в том, что соответствующий орган подтвердил личность физического лица перед выдачей прав. Таким образом, водительские права принимаются в качестве удостоверения личности. Доверие сертификату устанавливается аналогичным образом.

Несколько этапов жизненного цикла центра сертификации, касающиеся выдачи сертификатов

Что такое шаблоны сертификатов?

Шаблоны сертификатов определяют порядок запроса и использования пользователями и устройствами сертификатов, выданных ЦС предприятия. Например, можно создать шаблон, который будет выполнять шифрование файлов или подписывать сообщения электронной почты. Для хранения настроенных вами шаблонов центр сертификации использует доменные службы Active Directory.

Внимание

Шаблоны сертификатов доступны только при использовании ЦС предприятия. Это означает, что при работе с изолированным ЦС все запросы на сертификат должны создаваться вручную и содержать все сведения, которые необходимо включить в сертификат.

Центр сертификации предоставляет шаблоны для пользователей и компьютеров. Шаблонам сертификатов можно назначать разрешения, определяющие, кто ими управляет, кто выполняет регистрацию или автоматическую регистрацию, а также каковы срок их действия и период продления. Дополнительные изменения можно применять путем дублирования предварительно определенных шаблонов сертификатов. Чтобы открыть пользователям и устройствам доступ к шаблонам, необходимо явно разрешить их использование.

Версии шаблонов

ЦС в Windows Server AD CS поддерживает четыре версии шаблонов сертификатов с следующими функциональными различиями:

  • Шаблоны версии 1. Эти шаблоны позволяют изменять только разрешения, связанные с сертификатом. При установке центра сертификации шаблоны сертификатов версии 1 создаются по умолчанию.
  • Шаблоны версии 2. С помощью этих шаблонов можно настраивать дополнительные параметры, такие как срок действия и период продления. Кроме того, это минимальная версия, поддерживающая автоматическую регистрацию. Установка службы сертификатов Active Directory по умолчанию предлагает несколько предварительно настроенных шаблонов версии 2. Для создания нового шаблона версии 2 можно создать шаблон версии 2 или дублировать шаблон сертификата версии 1.
  • Шаблоны версии 3. Шаблоны сертификатов версии 3 поддерживают шифрование следующего поколения (CNG). CNG поддерживает расширенные алгоритмы шифрования. Шаблоны версии 1 и версии 2 по умолчанию можно дублировать, чтобы обновить их до версии 3. При работе с шаблонами сертификатов версии 3 можно использовать алгоритмы шифрования и хэш-алгоритмы CNG для запросов сертификатов, выданных сертификатов и защиты закрытых ключей с целью обмена ключами и архивирования ключей.
  • Шаблоны версии 4. Шаблоны сертификатов версии 4 поддерживают как поставщики служб шифрования (CSP), так и поставщики хранилища ключей. Их также можно настроить таким образом, чтобы они требовали продления с помощью того же самого ключа.

Демонстрация

В приведенном ниже видео демонстрируются следующие операции.

  • Создание нового шаблона на основе шаблона веб-сервера.
  • Настройка шаблонов таким образом, чтобы их можно было выдавать.

Основные этапы процесса следующие.

  1. Создание среды доменных служб Active Directory. Создание леса доменных служб Active Directory с одним доменом.
  2. Развертывание корневого ЦС предприятия.
  3. Создание пользовательского шаблона сертификата. Дублирование шаблона веб-сервера в консоли шаблонов сертификатов.
  4. Настройка шаблона таким образом, чтобы его можно было выдавать. Предоставление доступа к шаблону в консоли центра сертификации.

Проверьте свои знания

1.

Какой инструмент можно использовать для регистрации сертификата с помощью уже настроенного шаблона?