С помощью параметра подтверждения пути сертификата в системах Windows Server 2008 R2 и Windows Server 2008 можно управлять параметрами обнаружения и подтверждения пути сертификата для всех пользователей в домене. Можно использовать групповую политику для быстрой настройки и управления параметрами подтверждения сертификата. Ниже приведены некоторые задачи, которые можно выполнить с помощью этих параметров:

Параметры подтверждения пути сертификата доступны в следующем расположении групповой политики: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики открытого ключа.

При двойном щелчке левой кнопкой мыши ссылки Параметры подтверждения пути сертификата будут доступны дополнительные параметры на следующих вкладках:

В следующей процедуре описано, как настраивать параметры подтверждения пути сертификата. В разделах, указанных после этой процедуры, описываются параметры каждой из этих областей.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы настроить групповую политику подтверждения пути для домена

  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, затем Управление групповой политикой.

  2. В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики Политика домена по умолчанию.

  3. Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить.

  4. В дереве консоли управления групповой политикой последовательно выберите Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, затем щелкните пункт Политики открытого ключа

  5. Дважды щелкните Параметры подтверждения пути сертификата, а затем щелкните вкладку Хранилища.

  6. Установите флажок Определить следующие параметры политики .

  7. Настройте дополнительные параметры, которые следует применить.

  8. После внесения всех изменений можно выбрать другую вкладку и изменить дополнительные параметры или нажать кнопку ОК для применения изменений.

Вкладка "Хранилища"

Некоторые организации стремятся к тому, чтобы пользователи домена не могли настраивать собственные наборы доверенных корневых сертификатов, а также чтобы организация самостоятельно определяла, какие корневые сертификаты должны быть доверенными. На вкладке Хранилища можно выполнить эти задачи.

На вкладке Хранилища доступны указанные ниже параметры:

  • Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов. Если снять этот флажок, пользователи не смогут решить, какие корневые сертификаты использовать для проверки сертификатов. Хотя этот параметр будет препятствовать пользователям доверять и проверять сертификаты в небезопасной цепочке, он также может привести к сбоям в работе приложений или привести к тому, что пользователи не будут рассматривать доверие сертификатов как средство подтверждения предоставляемых им сертификатов.

  • Разрешить пользователям доверять сертификатам одноранговой группы. Если снять этот флажок, пользователи не смогут решить, каким сертификатам одноранговой группы можно доверять. Хотя этот параметр будет препятствовать пользователям доверять сертификатам из небезопасных источников, он также может привести к сбоям приложений или привести к тому, что пользователи не будут рассматривать сертификаты как средство для установки доверия. Также можно выбрать назначение сертификатов, например для подписи и шифрования, для которого можно использовать доверенные сертификаты точки.

  • Корневые центры сертификации, которым клиентские компьютеры могут доверять. В этом разделе можно указать конкретные корневые центры сертификации, которым могут доверять пользователи в домене.

    • Сторонние корневые ЦС и корневые ЦС предприятия. Включая сторонние корневые центры сертификации (не Майкрософт) и корневые центры сертификации предприятий, можно расширить диапазон сертификатов корневых центров сертификации, которым могут доверять пользователи.

    • Только корневые ЦС предприятия. Выражая доверие только корневым центрам сертификации предприятия, можно эффективно ограничить круг доверия сертификатами, выданными внутренним центром сертификации предприятия, который получает сведения о проверке подлинности из доменных служб Active Directory, куда и публикует сертификаты.

  • Центры сертификации должны соответствовать ограничениям имени участника-пользователя. Эти параметры также позволяют ограничить доверие внутренними центрами сертификации предприятия. Кроме того, ограничения, связанные с именем участников-пользователей, будут препятствовать последним в доверии сертификатам, относящимся к проверке подлинности, которые не соответствуют условиям, относящимся к именам участников-пользователей.

Кроме того, в некоторых организациях может требоваться определение и передача определенных доверенных корневых сертификатов для поддержки бизнес-сценариев, для которых необходимы дополнительные доверительные отношения. Сведения об определении доверенных корневых сертификатов, которые следует передать клиентам в домене, см. в разделе Использование политики для передачи сертификатов.

Вкладка "Доверенные издатели"

Все большее число издателей программного обеспечения и разработчиков приложений используют подписи для программного обеспечения, чтобы можно было удостовериться, что их приложения поступают из надежного источника. Однако многие пользователи не понимают или игнорируют назначение сертификатов подписей, связанных с устанавливаемыми приложениями, или уделяют им мало внимания.

С помощью параметров политики на вкладке Доверенные издатели политики подтверждения пути сертификата можно управлять тем, кто будет иметь права на принятие решений, касающихся доверенных издателей:

  • администраторы и пользователи;

  • только администраторы;

  • только администраторы предприятия.

Кроме того, с помощью параметров политики на этой вкладке можно потребовать проверки указанных ниже аспектов сертификатов издателей:

  • сертификаты не были отозваны;

  • штампы времени сертификатов являются допустимыми.

Вкладка "Получение по сети"

Для достижения большей эффективности данные, относящиеся к сертификатам, такие как списки отзыва сертификатов и сертификаты программы корневых сертификатов корпорации Майкрософт, должны регулярно обновляться. Однако могут возникнуть проблемы в случае сбоя при проверке подтверждения и загрузке данных отзыва сертификатов и перекрестных сертификатов, поскольку передается больше данных, чем изначально планировалось.

С помощью параметров получения по сети администраторы могут выполнять указанные ниже действия:

  • Автоматически обновлять сертификаты в программе корневых сертификатов корпорации Майкрософт.

  • Настраивать значения времени ожидания для списков отзыва сертификатов и подтверждения пути (более высокие значения по умолчанию могут быть полезными, если сетевые условия не являются оптимальными).

  • Включать возможность получения сертификатов поставщика во время подтверждения пути.

  • Определять частоту загрузки перекрестных сертификатов.

Вкладка "Отзыв"

Проверка отзыва поддерживается в службах сертификатов Active Directory путем использования списков отзыва сертификатов и разностных списков отзыва сертификатов, а также ответов OCSP, распространяемых сетевыми ответчиками.

Параметры групповой политики подтверждения пути позволяют администраторам повысить эффективность использования списков отзыва сертификатов и сетевых ответчиков особенно в тех случаях, когда быстродействие снижается из-за применения очень больших списков отзыва сертификатов или в результате плохой работы сети.

Доступны следующие параметры:

  • Всегда предпочитать списки отзыва сертификатов (CRL) ответам протокола OCSP. В общем случае клиентам следует использовать самые последние доступные данные об отзыве независимо от того, откуда они получены: из списка отзыва сертификатов или сетевого ответчика. Если выбран этот параметр, проверка отзыва сетевым ответчиком будет выполняться в том случае, если недоступен допустимый список отзыва сертификатов или разностный список отзыва сертификатов.

  • Разрешить превышение срока действия над сроком жизни для ответов CRL и OCSP. Как правило, не рекомендуется разрешать использование списков отзыва сертификатов и ответов OCSP по окончании периода их действия. Однако этот параметр может оказаться полезным в тех случаях, когда клиенты долгое время не могут подключиться к точке распространения списка отзыва сертификатов или к сетевому ответчику. Кроме того, время, превышающее указанный срок действия использования ответа списка отзыва сертификатов или протокола OCSP, также настраивается с помощью этого параметра политики.

Дополнительные источники информации

  • Разрешение перемещения учетных данных
  • Использование политики для передачи сертификатов