Инфраструктура открытых ключей (PKI) – это система цифровых сертификатов, центров сертификации и центров регистрации, которые проверяют и подтверждают подлинность каждого объекта, участвующего в электронной транзакции с использованием криптографии с открытыми ключами. Стандарты для PKI все еще развиваются, несмотря на то, что они широко реализованы как необходимый элемент электронной торговли. Для получения дополнительных сведений о планировании PKI и использовании криптографии с открытыми ключами см. Ресурсы служб сертификации Active Directory.
Инфраструктура PKI корпорации Майкрософт поддерживает иерархическую модель центров сертификации, являющуюся масштабируемой и обеспечивающей согласованность с увеличивающимся множеством коммерческих и других продуктов для центров сертификации.
В простейшей форме иерархия сертификации состоит из одного центра сертификации. Но иерархия часто содержит несколько центров сертификации с явно определенными отношениями "родитель-потомок". В этой модели дочерний подчиненный центр сертификации сертифицируется с помощью сертификатов, выданных его родительским центром сертификации и привязывающих открытый ключ к его удостоверению. Центр сертификации, находящийся на вершине иерархии, называется корневым центром сертификации. Дочерний центр сертификации корневого центра сертификации называется подчиненным центром сертификации. Для получения дополнительных сведений см. Типы центров сертификации.
В Windows, если пользователь доверяет корневому центру сертификации (его сертификат находится в хранилище пользователя для сертификатов доверенных корневых центров сертификации), он доверяет и всем подчиненным центрам сертификации иерархии, обладающим действительным сертификатом центра сертификации. Следовательно, корневой центр сертификации является очень важной точкой доверия в организации и должен быть соответствующим образом защищен. Для получения дополнительных сведений см. Сертификаты центра сертификации.
Существует несколько практических причин для создания нескольких подчиненных центров сертификации, в том числе:
- Использование. Сертификаты могут быть
выданы для нескольких целей, например для защищенной электронной
почты и для проверки подлинности в сети. Политика выдачи для этих
применений может быть различной, и это различие служит основой для
администрирования этих политик.
- Подразделения организации. Политики
выдачи сертификатов могут отличаться в зависимости от роли объекта
в организации. И снова можно создать подчиненные центры
сертификации для разделения и администрирования этих политик.
- Географические подразделения. Объекты
организаций могут находиться во многих физических местах. Для
сетевого взаимодействия между этим местами могут потребоваться
отдельные подчиненные центры сертификации для многих или для всех
площадок.
- Балансировка нагрузки. Если
инфраструктура PKI будет использоваться для выдачи большого
количества сертификатов и управления ими, использование только
одного центра сертификации может привести к заметной сетевой
нагрузке для этого единственного центра сертификации. Использование
нескольких подчиненных центров сертификации для выдачи сертификатов
одного и того же вида делит сетевую нагрузку между центрами
сертификации.
- Резервное копирование и
отказоустойчивость. Несколько центров сертификации повышают
вероятность постоянного наличия в сети работающих центров
сертификации, готовых ответить на запросы пользователей.
Иерархия центров сертификации может также предоставить ряд преимуществ с точки зрения администрирования, в том числе:
- Гибкая конфигурация среды безопасности
центров сертификации для настройки баланса между безопасностью и
удобством использования. Например, можно использовать специальное
криптографическое оборудование на корневом центре сертификации,
использовать корневой центр сертификации в физически защищенной
области или автономно. Такой подход может быть неприемлемым для
подчиненных центров сертификации из-за соображений стоимости или
удобства.
- Возможность "выключить" конкретную часть
иерархии центров сертификации, не влияя на установленные доверенные
отношения. Например, можно легко завершить работу и отозвать
выданный сертификат, связанный с конкретным подразделением, не
влияя на другие части организации.