Что такое службы сертификатов Active Directory?
Службы сертификатов Active Directory (AD CS) — это роль Windows Server для выдачи сертификатов инфраструктуры открытых ключей (PKI), используемых в протоколах безопасной связи и проверки подлинности.
Выдача сертификатов и управление ими
Цифровые сертификаты можно использовать для шифрования и цифрового подписывания электронных документов и сообщений, а также для проверки подлинности учетных записей компьютеров, пользователей или устройств в сети. Например, цифровые сертификаты используются для предоставления:
- Конфиденциальность с помощью шифрования.
- Целостность с помощью цифровых подписей.
- Проверка подлинности путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в сети компьютеров.
Ключевые функции
AD CS предоставляет следующие важные функции:
Центры сертификации: корневые и подчиненные центры сертификации (ЦС) используются для выдачи сертификатов пользователям, компьютерам и службам, а также для управления сроком действия сертификата.
Регистрация в Интернете: веб-регистрация позволяет пользователям подключаться к ЦС с веб-браузером, чтобы запрашивать сертификаты и получать списки отзыва сертификатов (CRLS).
Online Responseer: служба "Онлайн-ответчик" декодирует запросы о состоянии отзыва для определенных сертификатов, оценивает состояние этих сертификатов и отправляет обратно подписанный ответ, содержащий запрошенные сведения о состоянии сертификата.
Служба регистрации сетевых устройств: служба регистрации сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам, у которых нет учетных записей домена для получения сертификатов.
Аттестация ключа доверенного платформенного модуля. Позволяет центру сертификации проверить, что закрытый ключ защищен аппаратным TPM и что доверенное платформенный модуль является доверенным ЦС. Аттестация ключа доверенного платформенного модуля предотвращает экспорт сертификата на несанкционированное устройство и может привязать удостоверение пользователя к устройству.
Веб-служба политики регистрации сертификатов: веб-служба политики регистрации сертификатов позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов.
Веб-служба регистрации сертификатов: веб-служба регистрации сертификатов позволяет пользователям и компьютерам выполнять регистрацию сертификатов через веб-службу. Вместе с веб-службой политики регистрации сертификатов это позволяет регистрировать сертификаты на основе политик, если клиентский компьютер не является членом домена или когда член домена не подключен к домену.
Льготы
С помощью AD CS можно повысить безопасность, привязав удостоверение пользователя, компьютера или службы к соответствующему закрытому ключу. AD CS — это экономичный, эффективный и безопасный способ управления распределением и использованием сертификатов. Помимо привязки удостоверений и закрытых ключей, AD CS также включает функции, позволяющие управлять регистрацией сертификатов и отзывом.
Для регистрации сертификатов можно использовать существующие сведения об удостоверениях конечной точки в Active Directory, что означает, что вы можете автоматически вставлять сведения в сертификаты. CS AD можно также использовать для настройки групповых политик Active Directory, чтобы указать, какие пользователи и компьютеры разрешены, какие типы сертификатов. Конфигурация групповой политики позволяет управлять доступом на основе ролей или атрибутов.
Приложения, поддерживаемые AD CS, включают безопасные и многозначные расширения электронной почты (S/MIME), безопасные беспроводные сети, виртуальную частную сеть (VPN), безопасность интернет-протокола (IPsec), шифрование файловой системы (EFS), смарт-карта вход, безопасный слой сокета и безопасность транспортного слоя (SSL/TLS) и цифровые подписи.