PlayReady-Domänen
Sie können den Inhaltszugriff für mehrere Clients über eine einzelne Entität verwalten, die als PlayReady-Domäne bezeichnet wird. Da PlayReady vereinfachte Lizenzkäufe für mobile und eingebettete Clients eingeführt hat, ist das Szenario, in dem Clients den Dienstzugriff teilen, heutzutage häufiger. Domänen bieten vereinfachten und robusteren Dienstzugriff für mehrere Clients, einschließlich mobiler Geräteclients.
PlayReady fügt die Möglichkeit hinzu, dass Clients über erweiterbare Clientidentitäten verfügen. Diese erweiterte Identität wird auf einem Zertifikat auf dem Client gespeichert und ist einer Entität (einer Domäne) zugeordnet. PlayReady betrachtet Clients mit Anmeldeinformationen für eine bestimmte Domäne als Mitglieder dieser Domäne und gewährt ihnen Rechte, die der Mitgliedschaft in dieser Domäne zugeordnet sind.
Ein PlayReady-Domänencontroller verwaltet die Domänenmitgliedschaft. Der Domänencontroller bestimmt, was die Domäne darstellt (ein Benutzer, eine Familie oder eine Gruppe von Benutzern, z. B. eine Gruppe von Benutzern), und enthält eine Liste der Entitäten, die es zugeordnet sind.
Hinweis
Eine PlayReady-Domäne ist nicht identisch mit Netzwerk- oder Webdomänen.
Bevor Sie eine Domäne erstellen können, muss der Domänencontroller ein Stammzertifikat aus einer Zertifizierungsstelle (Zertifizierungsstelle) erwerben. Sobald der Domänencontroller über ein Stammzertifikat verfügt, kann er Zertifikate für jede Domäne erstellen, die das Zertifizierungsstelle-Zertifikat als Stamm der Vertrauensstellung verwendet.
Wenn ein Client einer Domäne beitritt, erhält der Client ein Domänenzertifikat für diese Domäne. Wenn ein Zertifikat in der Domänenzertifikatkette kompromittiert wird, werden Zertifikate in der Inhaltskette ungültig. Nachdem die vorhandenen Zertifikate ungültig wurden, muss ein neues Stammzertifikat aus der Zertifizierungsstelle erworben werden, und der Domänencontroller muss Domänenzertifikate neu erstellen.
Unter einigen Szenarien werden Inhaltsschlüssel, die von Domänen-privaten Schlüsseln geschützt sind, nur an Entitäten übertragen, die einer Domäne zugeordnet sind oder einer Domäne für diesen bestimmten Inhalt zugeordnet sind. Bevor der Zielclient Schlüssel für Inhalte empfangen kann, muss der Client der Domäne für diesen Inhalt beitreten. Zielclients können direkt einer Domäne beitreten (typisch für Smartphones mit Webkonnektivität).
In der folgenden Abbildung wird ein Domänenbeitritt veranschaulicht.
In der obigen Abbildung sendet der Zielclient eine Domain-Join-Herausforderung (1) und der Domänencontroller reagiert dann direkt auf den Zielclient (2). PlayReady Server Software Development Kit (SDK) enthält die Schnittstellen zum Behandeln von Join-Anforderungsnachrichten.
PlayReady Server SDK bietet die Funktionalität zum Verwalten von Clients, die einer Domäne beitreten. PlayReady kann beispielsweise ein Gerät aus einer Domäne entfernen, wenn der Benutzer ein neues Gerät erworben hat und sein älteres Gerät aus der Domäne entfernen möchte. Entwickler können ein Geräteverwaltungsportal entweder mithilfe eines Webdiensts oder einer Anwendung erstellen, die diese Funktionalität aktivieren kann.
Die Domänenerneuerung ermöglicht es Domänenzertifikaten, ohne zuvor erworbene Inhalte zu ungültig zu machen. Ohne Verlängerung benötigten Inhaltsverletzungen einer Entität in einer Domäne alle Entitäten in der Domäne, um ihre geschützten Inhalte erneut zu erhalten. Die Verlängerung wird aktiviert, indem alle aktuellen Zertifikate in einer Domäne ungültig werden, wenn die Version überarbeitet wird und dann ein neueres versioniertes Zertifikat hinzugefügt wird, das einem neuen privaten Schlüssel zugeordnet ist. Wenn neue Inhalte erworben werden, muss der Client an die neue Version binden.
Hinweis
Die Verlängerung unterscheidet sich von der Sperrung, da Inhalte für ungültige Zertifikate weiterhin auf Geräten wiedergegeben werden, die der Domäne zugeordnet sind und die Geräte weiterhin funktionieren.