Poznaj podstawy infrastruktury kluczy publicznych i usług AD CS
Aby uzyskać certyfikaty dla infrastruktury usług AD DS, możesz zażądać ich od publicznego urzędu certyfikacji lub wystawiać je przy użyciu własnej infrastruktury. Aby zaimplementować własny urząd certyfikacji, możesz użyć usług AD CS, czyli ścieżki wybranej przez firmę Contoso. AD CS to technologia tożsamości w systemie Windows Server, która umożliwia implementowanie infrastruktury kluczy publicznych dla organizacji.
Co to jest infrastruktura PKI?
Infrastruktura kluczy publicznych to kombinacja oprogramowania, technologii szyfrowania, procesów i usług, które umożliwiają organizacji zabezpieczanie danych, komunikacji i transakcji biznesowych. Infrastruktura kluczy publicznych polega na wymianie certyfikatów cyfrowych między uwierzytelnionymi użytkownikami a zaufanymi zasobami. Certyfikaty służą do zabezpieczania danych i zarządzania poświadczeniami identyfikacji użytkowników i komputerów zarówno w organizacji, jak i poza nią.
Co to jest usługa AD CS?
Rozwiązanie PKI można zaimplementować przy użyciu roli ad CS systemu Windows Server. Usługi AD CS udostępniają wszystkie składniki związane z infrastrukturą kluczy publicznych jako usługi ról. Każda usługa roli jest odpowiedzialna za określoną część infrastruktury certyfikatów podczas współpracy w celu utworzenia kompletnego rozwiązania.
Rola usług AD CS obejmuje następujące usługi ról:
Urząd certyfikacji. Głównymi celami urzędów certyfikacji są wystawianie certyfikatów, odwoływanie certyfikatów oraz publikowanie informacji o urzędzie dostępu do informacji (AIA) i informacji o odwołaniu. Pierwszy wdrażany urząd certyfikacji staje się katalogem głównym wewnętrznej infrastruktury kluczy publicznych. Następnie można wdrożyć podrzędne urzędy certyfikacji umieszczone w hierarchii infrastruktury kluczy publicznych z głównym urzędem certyfikacji u góry. Podrzędne urzędy certyfikacji niejawnie ufają głównemu urzędowi certyfikacji i, implikując, wystawiają certyfikaty.
Uwaga
Istnieje możliwość wdrożenia wielu wewnętrznych hierarchii urzędu certyfikacji, z których każdy ma własny katalog główny.
Rejestracja internetowa urzędu certyfikacji. Ten składnik udostępnia metodę wystawiania i odnawiania certyfikatów w scenariuszach, w których użytkownicy używają urządzeń, które nie są przyłączone do domeny lub działają systemy operacyjne inne niż Windows.
Osoba odpowiadająca w trybie online. Ten składnik służy do konfigurowania sprawdzania poprawności i odwoływania protokołu OCSP (Online Certificate Status Protocol) i zarządzania nim. Osoba odpowiadająca w trybie online dekoduje żądania stanu odwołania dla określonych certyfikatów, ocenia stan tych certyfikatów i zwraca podpisaną odpowiedź zawierającą żądane informacje o stanie certyfikatu.
Usługa rejestracji urządzeń sieciowych (NDES). Dzięki temu składnikowi routery, przełączniki i inne urządzenia sieciowe mogą uzyskiwać certyfikaty z usług AD CS.
Usługa sieci Web rejestracji certyfikatów (CES). Ten składnik działa jako klient proxy między komputerem z systemem Windows i urzędem certyfikacji. Usługa CES umożliwia użytkownikom, komputerom lub aplikacjom łączenie się z urzędem certyfikacji przy użyciu usług internetowych:
- Zażądaj, odnów i zainstaluj wystawione certyfikaty.
- Pobieranie list odwołania certyfikatów (CRL).
- Pobierz certyfikat główny.
- Zarejestruj się za pośrednictwem Internetu lub w lasach.
- Odnawianie certyfikatów automatycznie dla komputerów, które są częścią niezaufanych domen usług AD DS lub nie są przyłączone do domeny.
Usługa sieci Web zasad rejestracji certyfikatów. Ten składnik umożliwia użytkownikom uzyskiwanie informacji o zasadach rejestracji certyfikatów. W połączeniu z programem CES umożliwia rejestrację certyfikatów opartych na zasadach w scenariuszach, w których urządzenia użytkowników nie są przyłączone do domeny lub nie mogą łączyć się z kontrolerem domeny.
