Центры сертификации предприятия

Центры сертификации предприятий могут выдавать сертификаты для таких целей, как цифровые подписи, безопасная электронная почта с использованием стандарта S/MIME, проверка подлинности на безопасном веб-сервере с использованием протокола SSL или TLS и вход в домен с помощью смарт-карты.

Центр сертификации предприятия обладает следующими характеристиками:

  • Требует доступа к службе AD DS.

  • Использует групповую политику для распространения своего сертификата в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене.

  • Публикует сертификаты пользователей и списки отзыва сертификатов (CRL) в службе AD DS. Для публикации сертификатов в службе AD DS сервер, на котором установлен центр сертификации, должен быть членом группы "Издатели сертификатов". Это происходит автоматически для домена, в котором находится сервер, но для публикации сертификатов в других доменах серверу должны быть делегированы соответствующие разрешения безопасности.

Примечание

Для установки корневого центра сертификации предприятия необходимо быть членом группы Администраторы домена или администратором с правом записи в службу AD DS.

Центр сертификации предприятия выдает сертификаты на основе шаблона сертификатов. При использовании шаблонов сертификатов возможны следующие функции:

  • Центры сертификации предприятия принудительно проверяют учетные данные для пользователей во время регистрации сертификатов. У каждого шаблона сертификатов есть набор разрешений безопасности в службе AD DS, определяющий, разрешено ли запрашивающей стороне получать сертификат запрошенного типа.

  • Имя субъекта сертификата может быть создано автоматически из данных, имеющихся в доменных службах Active Directory, или предоставлено явным образом запрашивающей стороной.

  • Модуль политики добавляет предопределенный список расширений сертификата для выданного сертификата. Расширения определяются шаблоном сертификатов. Это уменьшает объем данных, которые должна предоставлять запрашивающая сторона о сертификате и цели его использования.

  • Для выдачи сертификатов может использоваться автоматическая регистрация.

Дополнительные источники информации