Поделиться через

Что такое службы сертификатов Active Directory?

  • Статья

Службы сертификатов Active Directory (AD CS) — это роль Windows Server для выдачи сертификатов инфраструктуры открытых ключей (PKI), используемых в протоколах безопасной связи и проверки подлинности.

Выдача сертификатов и управление ими

Цифровые сертификаты можно использовать для шифрования и цифрового подписывания электронных документов и сообщений, а также для проверки подлинности учетных записей компьютеров, пользователей или устройств в сети. Например, цифровые сертификаты используются для предоставления:

  • Конфиденциальность с помощью шифрования.
  • Целостность с помощью цифровых подписей.
  • Проверка подлинности путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в сети компьютеров.

Ключевые функции

AD CS предоставляет следующие важные функции:

  • Центры сертификации: корневые и подчиненные центры сертификации (ЦС) используются для выдачи сертификатов пользователям, компьютерам и службам, а также для управления сроком действия сертификата.

  • Регистрация в Интернете: веб-регистрация позволяет пользователям подключаться к ЦС с веб-браузером, чтобы запрашивать сертификаты и получать списки отзыва сертификатов (CRLS).

  • Online Responseer: служба "Онлайн-ответчик" декодирует запросы о состоянии отзыва для определенных сертификатов, оценивает состояние этих сертификатов и отправляет обратно подписанный ответ, содержащий запрошенные сведения о состоянии сертификата.

  • Служба регистрации сетевых устройств: служба регистрации сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам, у которых нет учетных записей домена для получения сертификатов.

  • Аттестация ключа доверенного платформенного модуля. Позволяет центру сертификации проверить, что закрытый ключ защищен аппаратным TPM и что доверенное платформенный модуль является доверенным ЦС. Аттестация ключа доверенного платформенного модуля предотвращает экспорт сертификата на несанкционированное устройство и может привязать удостоверение пользователя к устройству.

  • Веб-служба политики регистрации сертификатов: веб-служба политики регистрации сертификатов позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов.

  • Веб-служба регистрации сертификатов: веб-служба регистрации сертификатов позволяет пользователям и компьютерам выполнять регистрацию сертификатов через веб-службу. Вместе с веб-службой политики регистрации сертификатов это позволяет регистрировать сертификаты на основе политик, если клиентский компьютер не является членом домена или когда член домена не подключен к домену.

Льготы

С помощью AD CS можно повысить безопасность, привязав удостоверение пользователя, компьютера или службы к соответствующему закрытому ключу. AD CS — это экономичный, эффективный и безопасный способ управления распределением и использованием сертификатов. Помимо привязки удостоверений и закрытых ключей, AD CS также включает функции, позволяющие управлять регистрацией сертификатов и отзывом.

Для регистрации сертификатов можно использовать существующие сведения об удостоверениях конечной точки в Active Directory, что означает, что вы можете автоматически вставлять сведения в сертификаты. CS AD можно также использовать для настройки групповых политик Active Directory, чтобы указать, какие пользователи и компьютеры разрешены, какие типы сертификатов. Конфигурация групповой политики позволяет управлять доступом на основе ролей или атрибутов.

Приложения, поддерживаемые AD CS, включают безопасные и многозначные расширения электронной почты (S/MIME), безопасные беспроводные сети, виртуальную частную сеть (VPN), безопасность интернет-протокола (IPsec), шифрование файловой системы (EFS), смарт-карта вход, безопасный слой сокета и безопасность транспортного слоя (SSL/TLS) и цифровые подписи.

Следующие шаги