Различные компоненты Служба управления правами Active Directory (AD RMS) имеют доверительные соединения, которые реализуются с помощью наборов сертификатов. Обеспечение срока действия этих сертификатов является основной функцией технологии AD RMS. Всякое защищенное содержимое публикуется вместе с лицензией, которая содержит права на его использование, а потребитель этого содержимого получает уникальную лицензию, которая считывает, интерпретирует и обеспечивает выполнение этих прав. В данном контексте лицензия - это определенный тип сертификата.
Для выражения прав на использование защищенного содержимого AD RMS использует словарь языка XML, называемый XrML.
Сертификаты и лицензии, используемые AD RMS, собраны в иерархию таким образом, чтобы клиент AD RMS мог всегда отследить цепочку доверенных сертификатов, начиная с определенного сертификата или лицензии и заканчивая доверенной парой ключей.
В следующей таблице перечислены сертификаты и лицензии, используемые AD RMS.
Сертификат или лицензия | Назначение | Содержимое |
---|---|---|
Сертификат лицензиара сервера |
Сертификат лицензиара сервера создается при установке и настройке роли сервера AD RMS на первом сервере в кластере. Сервер создает для себя уникальный сертификат лицензиара сервера, который его идентифицирует. Срок действия такого сертификата составляет 250 лет. Это позволяет архивировать защищенные данные на длительный срок. Корневой кластер обрабатывает обе сертификации, выдавая сертификат учетной записи управления правами и лицензируя защищенное содержимое. Остальные серверы, добавляемые в корневой кластер, совместно используют сертификат лицензиара сервера. В сложных средах можно развертывать кластеры, предоставляющие только услуги лицензирования, которые создают собственные сертификаты лицензиара сервера. |
Сертификат лицензиара сервера содержит открытый ключ сервера. |
Сертификат лицензиара клиента |
Сертификат лицензиара клиента создается кластером AD RMS в ответ на запрос, полученный от клиентского приложения. Этот сертификат посылается клиенту, когда он подключен к сети организации, и предоставляет ему право на публикацию защищенного содержимого, когда клиент не подключен к сети. Сертификат лицензиара клиента тесно связан с Сертификат учетной записи управления правами пользователя, поэтому, если Сертификат учетной записи управления правами не действителен или отсутствует, пользователь не сможет получить доступ к кластеру AD RMS. |
Сертификат лицензиара клиента содержит открытый ключ лицензиара, а также закрытый ключ, который зашифрован открытым ключом пользователя, запросившего сертификат. Он также содержит открытый ключ кластера, выдавшего сертификат, который подписан закрытым ключом кластера, выдавшего сертификат. Закрытый ключ лицензиара клиента выдается для подписи лицензий на публикацию. |
Сертификат компьютера |
Сертификат компьютера создается на клиентском компьютере при первом использовании приложения, поддерживающего AD RMS. Клиент AD RMS в Windows Vista и Windows 7 автоматически активируется и подает в корневой кластер заявку на создание сертификата на клиентском компьютере. Сертификат идентифицирует защищенное хранилище на компьютере или устройстве, которое взаимосвязано с профилем вошедшего пользователя. |
Сертификат компьютера содержит открытый ключ активированного компьютера. Соответствующий закрытый ключ находится в защищенном хранилище этого компьютера. |
Сертификат учетной записи службы управления правами (RAC) |
Сертификат учетной записи управления правами идентифицирует пользователя в системе AD RMS. Он создается корневым кластером AD RMS и предоставляется пользователю, когда тот впервые пытается открыть защищенное содержимое. Стандартный Сертификат учетной записи управления правами идентифицирует пользователя по учетным данным в контексте определенного компьютера или устройства, а срок его действия ограничен количеством дней. Срок действия стандартного Сертификат учетной записи управления правами по умолчанию составляет 365 дней. Временный Сертификат учетной записи управления правами идентифицирует пользователя только на основании учетных данных, а срок его действия исчисляется в минутах. Срок действия временного Сертификат учетной записи управления правами по умолчанию составляет 15 минут. |
Сертификат учетной записи управления правами содержит открытый ключ пользователя и закрытый ключ, зашифрованный открытым ключом активированного компьютера. |
Лицензия на публикацию |
Лицензия на публикацию создается клиентом при сохранении защищенного содержимого. В ней указаны пользователи, которые могут открывать защищенное содержимое, условия, при которых пользователи могут открывать это содержимое, и права каждого пользователя на защищенное содержимое. |
Лицензия на публикацию имеет симметричный ключ для расшифровки этого содержимого, зашифрованного с помощью открытого ключа сервера, выдавшего лицензию. |
Лицензия на использование |
Лицензия на использование определяет права, применяемые к защищенному содержимому, в контексте конкретного прошедшего проверку пользователя. Эта лицензия связана с Сертификат учетной записи управления правами. Если Сертификат учетной записи управления правами не действителен или отсутствует, эту лицензию невозможно использовать для открытия содержимого. |
Лицензия на использование имеет симметричный ключ для расшифровки содержимого, зашифрованного с помощью открытого ключа пользователя. |