Центры сертификации предприятий могут выдавать сертификаты для таких целей, как цифровые подписи, безопасная электронная почта с использованием стандарта S/MIME, проверка подлинности на безопасном веб-сервере с использованием протокола SSL или TLS и вход в домен с помощью смарт-карты.
Центр сертификации предприятия обладает следующими характеристиками:
- Требует доступа к службе AD DS.
- Использует групповую политику для
распространения своего сертификата в хранилище сертификатов
доверенных корневых центров сертификации для всех пользователей и
компьютеров в домене.
- Публикует сертификаты пользователей и списки
отзыва сертификатов (CRL) в службе AD DS. Для публикации
сертификатов в службе AD DS сервер, на котором установлен
центр сертификации, должен быть членом группы "Издатели
сертификатов". Это происходит автоматически для домена, в котором
находится сервер, но для публикации сертификатов в других доменах
серверу должны быть делегированы соответствующие разрешения
безопасности.
Примечание | |
Для установки корневого центра сертификации предприятия необходимо быть членом группы Администраторы домена или администратором с правом записи в службу AD DS. |
Центр сертификации предприятия выдает сертификаты на основе шаблона сертификатов. При использовании шаблонов сертификатов возможны следующие функции:
- Центры сертификации предприятия принудительно
проверяют учетные данные для пользователей во время регистрации
сертификатов. У каждого шаблона сертификатов есть набор разрешений
безопасности в службе AD DS, определяющий, разрешено ли
запрашивающей стороне получать сертификат запрошенного типа.
- Имя субъекта сертификата может быть создано
автоматически из данных, имеющихся в доменных службах Active
Directory, или предоставлено явным образом запрашивающей
стороной.
- Модуль политики добавляет предопределенный
список расширений сертификата для выданного сертификата. Расширения
определяются шаблоном сертификатов. Это уменьшает объем данных,
которые должна предоставлять запрашивающая сторона о сертификате и
цели его использования.
- Для выдачи сертификатов может использоваться
автоматическая регистрация.