Обзор технологии AD CS

Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server

В настоящем пошаговом руководстве описываются действия, необходимые для установки и базовой настройки службы сертификации Active Directory® (AD CS) в тестовой среде.

Служба AD CS в ОС Windows Server® 2008 обеспечивает настраиваемые службы для создания и управления сертификатами открытых ключей, используемых в системах защиты программного обеспечения с помощью технологий открытых ключей.

Настоящий документ включает следующее:

· обзор функций службы AD CS;

· требования для использования службы AD CS;

· процедуры базовой настройки тестовой среды для испытания службы AD CS на минимальном количестве компьютеров;

· процедуры расширенной настройки тестовой среды для испытания службы AD CS на большем количестве компьютеров для более точного моделирования реальных конфигураций.

Обзор технологии AD CS

С помощью параметра Active Directory Certificate Services (служба сертификации Active Directory) в мастере добавления ролей можно установить следующие компоненты службы AD CS.

· Центры сертификации (Certification authorities, CA). Корневые и подчиненные центры сертификации используются для выдачи сертификатов пользователям, компьютерам и службам и для управления действительностью этих сертификатов.

· Подача заявок в центр сертификации через Интернет (CA Web enrollment). Подача заявок через Интернет позволяет пользователям связываться с центром сертификации с помощью обозревателя Интернета для выполнения следующих действий:

· запроса сертификатов и просмотра эти запросов;

· получения списков отзыва сертификатов (Retrieve certificate revocation lists, CRL);

· подачи заявок на сертификаты смарт-карт.

· Служба сетевого ответчика. Служба сетевого ответчика (Online Responder) реализует протокол OCSP (Online Certificate Status Protocol — протокол сетевого состояния сертификата) путем декодирования запросов состояния отзыва определенных сертификатов, оценки состояния этих сертификатов, а также возврата подписанного ответа, содержащего запрошенную информацию о состоянии сертификата.

Внимание!

Сетевые ответчики могут использоваться в качестве альтернативы или расширения списков отзыва сертификатов (CRL), чтобы предоставлять клиентам данных об отзыве сертификатов. Сетевые ответчики корпорации Майкрософт основаны на спецификации RFC 2560 протокола OCSP и соответствуют ей. Дополнительные сведения о спецификации RFC 2560 см. на веб-узле группы IETF (http://go.microsoft.com/fwlink/?LinkID=67082) (на английском языке).

· Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service, NDES). Служба подачи заявок на регистрацию сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам получать сертификаты на основе протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат) компании Cisco Systems Inc.

Примечание

Протокол SCEP разработан для поддержки защищенной, масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации. Протокол поддерживает распределение открытых ключей центров сертификации и центров регистрации, заявки на сертификаты, отзыв сертификатов, запросы сертификатов и запросы отзыва сертификатов.