Поделиться через


Служба распространения сертификатов

Служба распространения сертификатов (CertPropSvc) — это служба Windows, которая активируется, когда пользователь вставляет смарт-карта в средство чтения, подключенное к устройству. Действие приводит к тому, что сертификаты считываются из смарт-карта. Затем сертификаты добавляются в личное хранилище пользователя. Действия службы распространения сертификатов управляются с помощью групповая политика. Дополнительные сведения см. в разделе Групповая политика смарт-карты и параметры реестра.

Примечание.

Служба распространения сертификатов должна работать, чтобы интеллектуальные карта Plug and Play работали.

На следующем рисунке показан поток службы распространения сертификатов. Действие начинается, когда пользователь, выполнив вход, вставляет смарт-карта.

  1. Стрелка 1 указывает, что диспетчер управления службами (SCM) уведомляет службу распространения сертификатов (CertPropSvc) при входе пользователя, а CertPropSvc начинает отслеживать смарт-карты в сеансе пользователя.

  2. Стрелка с меткой R представляет возможность удаленного сеанса и использование перенаправления интеллектуального карта.

  3. Стрелка с меткой 2 указывает на сертификацию для читателя

  4. Стрелка с меткой 3 указывает на доступ к хранилищу сертификатов во время сеанса клиента.

    Служба распространения сертификатов.

  5. Вошедшего пользователя вставляет смарт-карта

  6. CertPropSvc получает уведомление о вставке смарт-карта

  7. CertPropSvc считывает все сертификаты со всех вставленных смарт-карт. Сертификаты записываются в личное хранилище сертификатов пользователя.

Примечание.

Служба распространения сертификатов запускается как зависимость служб удаленных рабочих столов.

Свойства службы распространения сертификатов:

  • CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES добавляет сертификаты в личное хранилище пользователя
  • Если сертификат имеет CERT_ENROLLMENT_PROP_ID свойство (как определено в wincrypt.h), он фильтрует пустые запросы и помещает их в хранилище запросов текущего пользователя, но не распространяет их в личное хранилище пользователя.
  • Служба не распространяет сертификаты компьютера в личное хранилище пользователя или не распространяет сертификаты пользователей в хранилище компьютеров.
  • Служба распространяет сертификаты в соответствии с заданными групповая политика параметрами, которые могут включать:
    • Включение распространения сертификатов из смарт-карта указывает, следует ли распространять сертификат пользователя.
    • Включение распространения корневого сертификата из смарт-карта указывает, следует ли распространять корневые сертификаты.
    • Настройка очистки корневого сертификата указывает, как удаляются корневые сертификаты.

Служба распространения корневого сертификата

Распространение корневого сертификата отвечает за следующие сценарии развертывания интеллектуальной карта, когда доверие к инфраструктуре открытых ключей (PKI) еще не установлено:

  • Присоединение к домену
  • Удаленный доступ к сети

В обоих случаях компьютер не присоединен к домену и, следовательно, доверием не управляет групповая политика. Однако целью является проверка подлинности на удаленном сервере, например на контроллере домена. Распространение корневого сертификата позволяет использовать смарт-карта для включения отсутствующих цепочек доверия.

При вставке смарт-карта служба распространения сертификатов распространяет все корневые сертификаты на карта в доверенные хранилища сертификатов интеллектуального карта корневого компьютера. Этот процесс устанавливает отношения доверия с корпоративными ресурсами. Вы также можете использовать последующее действие очистки, когда интеллектуальная карта пользователя удаляется из средства чтения или когда пользователь выходит из нее. Это можно настроить с помощью групповой политики. Дополнительные сведения см. в разделе Групповая политика смарт-карты и параметры реестра.

Дополнительные сведения о требованиях к корневому сертификату см. в разделе Требования к корневому сертификату Smart карта для использования при входе в домен.

См. также

Принцип работы входа по смарт-карте в Windows