Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server
В настоящем пошаговом руководстве описываются действия, необходимые для установки и базовой настройки службы сертификации Active Directory® (AD CS) в тестовой среде.
Служба AD CS в ОС Windows Server® 2008 обеспечивает настраиваемые службы для создания и управления сертификатами открытых ключей, используемых в системах защиты программного обеспечения с помощью технологий открытых ключей.
Настоящий документ включает следующее:
· обзор функций службы AD CS;
· требования для использования службы AD CS;
· процедуры базовой настройки тестовой среды для испытания службы AD CS на минимальном количестве компьютеров;
· процедуры расширенной настройки тестовой среды для испытания службы AD CS на большем количестве компьютеров для более точного моделирования реальных конфигураций.
Обзор технологии AD CS
С помощью параметра Active Directory Certificate Services (служба сертификации Active Directory) в мастере добавления ролей можно установить следующие компоненты службы AD CS.
· Центры сертификации (Certification authorities, CA). Корневые и подчиненные центры сертификации используются для выдачи сертификатов пользователям, компьютерам и службам и для управления действительностью этих сертификатов.
· Подача заявок в центр сертификации через Интернет (CA Web enrollment). Подача заявок через Интернет позволяет пользователям связываться с центром сертификации с помощью обозревателя Интернета для выполнения следующих действий:
· запроса сертификатов и просмотра эти запросов;
· получения списков отзыва сертификатов (Retrieve certificate revocation lists, CRL);
· подачи заявок на сертификаты смарт-карт.
· Служба сетевого ответчика. Служба сетевого ответчика (Online Responder) реализует протокол OCSP (Online Certificate Status Protocol — протокол сетевого состояния сертификата) путем декодирования запросов состояния отзыва определенных сертификатов, оценки состояния этих сертификатов, а также возврата подписанного ответа, содержащего запрошенную информацию о состоянии сертификата.
Внимание!
Сетевые ответчики могут использоваться в качестве альтернативы или расширения списков отзыва сертификатов (CRL), чтобы предоставлять клиентам данных об отзыве сертификатов. Сетевые ответчики корпорации Майкрософт основаны на спецификации RFC 2560 протокола OCSP и соответствуют ей. Дополнительные сведения о спецификации RFC 2560 см. на веб-узле группы IETF (http://go.microsoft.com/fwlink/?LinkID=67082) (на английском языке).
· Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service, NDES). Служба подачи заявок на регистрацию сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам получать сертификаты на основе протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат) компании Cisco Systems Inc.
Примечание
Протокол SCEP разработан для поддержки защищенной, масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации. Протокол поддерживает распределение открытых ключей центров сертификации и центров регистрации, заявки на сертификаты, отзыв сертификатов, запросы сертификатов и запросы отзыва сертификатов.
Дата публикования: 2015-02-17; Прочитано: 300 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!