Управление контейнерами Active Directory при помощи PKI предприятия

Центры сертификации (ЦС) предприятия публикуют сертификаты, списки отзыва сертификатов (CRL) и другие данные в контейнерах Active Directory. Для просмотра объектов и управления ими в этих контейнерах можно использовать оснастку «PKI предприятия».

Ниже перечислены контейнеры Active Directory, которыми можно управлять при помощи оснастки PKI предприятия.

  • NTAuthCertificates. Содержит все сертификаты ЦС для данного леса. При установке нового ЦС членом группы «Администраторы предприятия» сертификаты добавляются автоматически. Их можно добавить и вручную с помощью диалогового окна Управление контейнерами AD.

  • AIA. Содержит сертификаты ЦС, для получения которых клиенты могут использовать расширение сертификатов для доступа к сведениям о центрах сертификации (authority information access, AIA), чтобы создать действующую цепочку сертификатов и получить любые перекрестные сертификаты, выпущенные ЦС.

  • CDP. Содержит все основные и разностные списки отзыва сертификатов (CRL), опубликованные в лесе.

  • KRA. Содержит сертификаты агентов восстановления ключа для леса. Агенты восстановления ключа должны быть настроены на поддержку архивирования и восстановления ключа. Сертификаты агентов восстановления ключа могут быть добавлены в этот контейнер автоматически при подаче заявки центром сертификации предприятия. Добавлять сертификаты агентов восстановления ключа вручную с помощью диалогового окна Управление контейнерами AD нельзя.

  • Certification Authorities. Содержит сертификаты доверенных корневых центров ЦС для леса. Сертификаты корневого ЦС добавляются автоматически при установке членом группы «Администраторы предприятия» корневого ЦС предприятия или автономного ЦС, присоединяемого к домену. Сертификаты корневого ЦС можно добавить и вручную из командной строки, но не из диалогового окна Управление контейнерами AD.

  • Enrollment Services. Содержит сертификаты центров сертификации предприятия, доступных для выпуска сертификатов для пользователей, компьютеров или служб леса. Сертификаты ЦС предприятия могут быть добавлены в этот контейнер только членом группы «Администраторы предприятия», устанавливающим ЦС предприятия. Добавлять сертификаты вручную с помощью диалогового окна Управление контейнерами AD нельзя.