Poznaj podstawy infrastruktury kluczy publicznych i usług AD CS

Ukończone

Aby uzyskać certyfikaty dla infrastruktury usług AD DS, możesz zażądać ich od publicznego urzędu certyfikacji lub wystawiać je przy użyciu własnej infrastruktury. Aby zaimplementować własny urząd certyfikacji, możesz użyć usług AD CS, czyli ścieżki wybranej przez firmę Contoso. AD CS to technologia tożsamości w systemie Windows Server, która umożliwia implementowanie infrastruktury kluczy publicznych dla organizacji.

Co to jest infrastruktura kluczy publicznych?

Infrastruktura kluczy publicznych to połączenie oprogramowania, technologii szyfrowania, procesów i usług, które umożliwiają organizacji zabezpieczanie danych, komunikacji i transakcji biznesowych. Infrastruktura kluczy publicznych opiera się na wymianie certyfikatów cyfrowych między uwierzytelnionymi użytkownikami a zaufanymi zasobami. Certyfikaty służą do zabezpieczania danych i zarządzania poświadczeniami identyfikacyjnymi użytkowników i komputerów zarówno w organizacji, jak i poza nią.

Co to jest usługa AD CS?

Rozwiązanie PKI można zaimplementować przy użyciu roli AD CS systemu Windows Server. Usługi AD CS udostępniają wszystkie składniki związane z infrastrukturą kluczy publicznych jako usługi ról. Każda usługa roli jest odpowiedzialna za określoną część infrastruktury certyfikatów podczas współpracy w celu utworzenia kompletnego rozwiązania.

Rola usług AD CS obejmuje następujące usługi ról:

  • Urząd certyfikacji. Głównym celem urzędów certyfikacji jest wystawianie certyfikatów, odwoływanie certyfikatów oraz publikowanie informacji o dostępie do informacji o urzędach (AIA) i informacjach o odwołaniu. Pierwszy wdrażany urząd certyfikacji staje się katalogem głównym wewnętrznej infrastruktury kluczy publicznych. Następnie można wdrożyć podrzędne urzędy certyfikacji umieszczone w hierarchii infrastruktury kluczy publicznych z głównym urzędem certyfikacji u góry. Podrzędne urzędy certyfikacji niejawnie ufają głównemu urzędowi certyfikacji i przez implikację wystawiają certyfikaty.

    Uwaga

    Istnieje możliwość wdrożenia wielu wewnętrznych hierarchii urzędu certyfikacji, z których każdy ma własny katalog główny.

  • Rejestracja internetowa urzędu certyfikacji. Ten składnik udostępnia metodę wystawiania i odnawiania certyfikatów w scenariuszach, w których użytkownicy korzystają z urządzeń, które nie są przyłączone do domeny lub działają systemy operacyjne inne niż Windows.

  • Osoba odpowiadająca w trybie online. Ten składnik służy do konfigurowania sprawdzania poprawności i odwoływania protokołu OCSP (Online Certificate Status Protocol) i zarządzania nim. Obiekt odpowiadający w trybie online dekoduje żądania stanu odwołania dla określonych certyfikatów, ocenia stan tych certyfikatów i zwraca podpisaną odpowiedź zawierającą żądane informacje o stanie certyfikatu.

  • Usługa rejestracji urządzeń sieciowych (NDES). Dzięki temu składnikowi routery, przełączniki i inne urządzenia sieciowe mogą uzyskiwać certyfikaty z usług AD CS.

  • Usługa sieci Web rejestracji certyfikatów (CES). Ten składnik działa jako klient proxy między komputerem z systemem Windows i urzędem certyfikacji. Ces umożliwia użytkownikom, komputerom lub aplikacjom łączenie się z urzędem certyfikacji przy użyciu usług internetowych:

    • Zażądaj, odnów i zainstaluj wystawione certyfikaty.
    • Pobieranie list odwołania certyfikatów (CRL).
    • Pobierz certyfikat główny.
    • Zarejestruj się przez Internet lub przez lasy.
    • Odnawianie certyfikatów automatycznie dla komputerów, które są częścią niezaufanych domen usług AD DS lub nie są przyłączone do domeny.
  • Usługa sieci Web zasad rejestracji certyfikatów. Ten składnik umożliwia użytkownikom uzyskiwanie informacji o zasadach rejestracji certyfikatów. W połączeniu z programem CES umożliwia rejestrację certyfikatów opartych na zasadach w scenariuszach, w których urządzenia użytkowników nie są przyłączone do domeny lub nie mogą łączyć się z kontrolerem domeny.

Usługi ról roli usług AD CS w systemie Windows Server 2019, w tym urzędu certyfikacji, rejestracji sieci Web urzędu certyfikacji, osoba odpowiadająca online, usługa rejestracji urządzeń sieciowych, CES i usługa sieci Web zasad rejestracji certyfikatów.