Оснастка «PKI предприятия» используется для обеспечения правильности работы, доступности и допустимости всех перечисленных ниже элементов инфраструктуры открытого ключа (PKI).
- Центры сертификации (ЦС). Центр
сертификации принимает запросы на сертификаты, проверяет
соответствие сведений о запрашивающей стороне политике ЦС и
подписывает сертификат, используя собственный закрытый ключ. Затем
центр сертификации выдает сертификаты запросившим их субъектам для
использования этих сертификатов в качестве учетных данных
безопасности в инфраструктуре открытого ключа (PKI). Центр
сертификации также служит для отзыва сертификатов и публикации
списка отзыва сертификатов.
- Сертификаты ЦС. Сертификаты ЦС - это
сертификаты, выдаваемые центром сертификации самому себе или
другому центру сертификации для создания определенных отношений
между двумя центрами сертификации. Сертификат, выданный ЦС самому
себе, считается доверенным корневым сертификатом. Сертификаты ЦС
необходимы для определения пути сертификата и ограничений по
применению всех сертификатов конечных субъектов, выданных для
использования в PKI.
- Места расположения доступа к сведениям о
центрах сертификации. Места расположения доступа к сведениям
центра - это URL-адреса, которые добавляются в расширение
сертификата для доступа к сведениям центра. Эти URL-адреса могут
быть использованы приложением или службой для загрузки сертификата
выпустившего центра сертификации. Эти сертификаты ЦС используются
затем для проверки подписи сертификата и формирования пути к
доверенному сертификату.
- Списки отзыва сертификатов. Списки
отзыва сертификатов представляют собой полные и защищенные цифровой
подписью списки сертификатов с неистекшим сроком действия, которые
были отозваны. Такой список отзыва сертификатов может быть загружен
клиентами, которые затем могут выполнить его кэширование (с учетом
времени жизни, на которое настроен CRL) и использовать для проверки
сертификатов, предъявленных к использованию.
- Точки распространения списков отзыва
сертификатов. Точки распространения списков отзыва сертификатов
- это расположения, обычно URL-адреса, которые добавляются в
расширение сертификата точки распространения CRL. Точки
распространения списков отзыва сертификатов могут быть использованы
приложением или службой для загрузки таких списков. К точкам
распространения списков отзыва сертификатов приложение или служба
обращаются, когда им нужно определить, не был ли сертификат отозван
до истечения его срока действия.
Оснастка «Центр сертификации» позволяет администратору наблюдать за этими элементами инфраструктуры закрытых ключей и управлять ими в рамках одного ЦС. Однако если задействованы несколько ЦС, для наблюдения за инфраструктурой закрытых ключей и управления ей необходимо использовать отдельные экземпляры оснастки. Кроме того, оснастка «Центр сертификации» не может быть использована для интегрирования в инфраструктуру сторонних центров сертификации (не Майкрософт) и для удобного управления местами расположения доступа к сведениям центра и хранилищами точек распространения списков отзыва сертификатов. Поэтому для решения этих проблем с помощью одной оснастки можно использовать оснастку «PKI предприятия».
Дополнительные сведения о совместной работе центров сертификации, сертификатов ЦС, мест расположения доступа к сведениям центра, точек распространения CRL и списков отзыва сертификатов при создании доверенной иерархии на базе открытого ключа см. в статье «Функции служб сертификации» (http://go.microsoft.com/fwlink/?LinkID=88045).
Дополнительные ссылки
- Обзор PKI
предприятия
- Службы сертификации Active Directory
(http://go.microsoft.com/fwlink/?LinkID=48545)