Поделиться через


Основные понятия шаблонов сертификатов

Шаблоны сертификатов значительно упрощают задачу администрирования центра сертификации служб сертификации Active Directory (AD CS), позволяя администратору выдавать сертификаты, предварительно настроенные для выбранных задач. Оснастка "Шаблоны сертификатов" позволяет администратору выполнять следующие задачи:

  • Просмотр свойств для каждого шаблона сертификата.
  • Копирование и изменение шаблонов сертификатов.
  • Управление тем, какие пользователи и компьютеры могут считывать шаблоны и регистрировать сертификаты.
  • Выполнение других административных задач, связанных с шаблонами сертификатов.

Шаблоны сертификатов — это наборы правил и параметров, которые настраиваются в ЦС для применения к входящим запросам сертификатов. Шаблоны сертификатов также предоставляют клиенту инструкции по созданию и отправке допустимого запроса на сертификат.

Только корпоративный ЦС может выдавать сертификаты на основе шаблона сертификата. Шаблоны хранятся в службах домена Active Directory (AD DS) для использования каждым центром сертификации в лесу. Это позволяет ЦС всегда иметь доступ к текущему стандартному шаблону и обеспечить согласованное применение политики сертификатов в лесу.

Версии шаблона сертификата

Версии шаблонов сертификатов определяют, какие функции доступны в шаблоне сертификата. Службы сертификатов Active Directory (AD CS) предоставляют три версии шаблонов сертификатов, доступных в корпоративных центрах сертификации (ЦС).

  • Шаблоны сертификатов версии 1 поддерживают общие требования к сертификату и совместимы со всеми версиями AD CS из Windows 2000. Шаблоны версии 1 устанавливаются по умолчанию во время установки ЦС и не могут быть удалены. Единственное свойство, которое можно изменить в шаблоне версии 1, — это набор назначенных разрешений, которые управляют доступом к шаблону. Автоматическая регистрация поддерживается только для пользовательских скриптов и с помощью групповой политики при использовании сертификатов компьютера.
  • Шаблоны сертификатов версии 2 появились в Windows Server 2003. Администратор может настроить шаблоны версии 2 для управления способом запроса, выдачи и использования сертификатов. Шаблоны версии 2 обеспечивают поддержку автоматической регистрации сертификатов.
  • Шаблоны сертификатов версии 3 поддерживают все функции шаблона версии 2, но также поддерживают криптографические алгоритмы Suite B. Suite B был создан Агентством национальной безопасности США, чтобы указать криптографические алгоритмы, которые должны использоваться государственными учреждениями США для защиты конфиденциальной информации. Шаблоны сертификатов версии 3 доступны через AD CS во всех поддерживаемых версиях Windows Server.

Шаблоны сертификатов по умолчанию

Предварительно настроенные шаблоны сертификатов, разработанные для удовлетворения потребностей большинства организаций, включены в состав корпоративных центров сертификации AD CS (ЦС). Новые шаблоны сертификатов можно создать, изменив копию существующего предварительно настроенного шаблона. Шаблоны сертификатов по умолчанию описаны в следующей таблице:

Name Description Key usage Subject type Опубликовано в доменных службах Active Directory (AD DS)? Template version
Administrator Разрешает подписывание списка доверия и проверку подлинности пользователей. Подпись и шифрование User Yes 1
Authenticated Session Позволяет субъекту проходить проверку подлинности на веб-сервере. Signature User No 1
Basic EFS Системой шифрования файлов (EFS) используется для шифрования данных. Encryption User Yes 1
CA Exchange Используется для хранения ключей, настроенных для архивации закрытых ключей. Encryption Computer No 2
CEP Encryption Позволяет владельцу сертификата выступать в качестве центра регистрации для запросов протокола SCEP. Encryption Computer No 1
Code Signing Используется для цифрового подписывания программного обеспечения. Signature User No 1
Computer Позволяет компьютеру проходить проверку подлинности в сети. Подпись и шифрование Computer No 1
Cross-Certification Authority Используется для перекрестной сертификации и квалифицированной подчиненности. Signature Cross-certified CA Yes 2
Репликация электронных писем в каталоге Используется для репликации электронной почты в AD DS. Подпись и шифрование Computer Yes 2
Domain Controller Используется контроллерами домена в качестве сертификатов всех назначений. Подпись и шифрование Computer Yes 1
Проверка подлинности контроллера домена Используется для проверки подлинности компьютеров и пользователей Active Directory. Подпись и шифрование Computer No 2
Агент восстановления EFS Позволяет субъекту расшифровывать файлы, которые ранее были зашифрованы с помощью EFS. Encryption User No 1
Enrollment Agent Используется для запроса сертификатов от имени другого субъекта. Signature User No 1
Агент регистрации (компьютер) Используется для запроса сертификатов от имени другого компьютера. Signature Computer No 1
Агент регистрации Exchange (оффлайн запрос) Используется для запроса сертификатов от имени другого субъекта и предоставления имени субъекта в запросе. Signature User No 1
Только подпись Exchange Используется службой управления ключами Microsoft Exchange для выдачи сертификатов пользователям Exchange для цифровой подписи электронной почты. Signature User No 1
Exchange User Используется службой управления ключами Microsoft Exchange для выдачи сертификатов пользователям Exchange для шифрования электронной почты. Encryption User Yes 1
IPSEC Используется протоколом безопасности Интернета (IPsec) для цифрового подписывания, шифрования и расшифровки сетевого взаимодействия. Подпись и шифрование Computer No 1
IPSEC (оффлайн запрос) Используется IPsec для цифрового подписывания, шифрования и расшифровки сетевого взаимодействия при указании имени субъекта в запросе. Подпись и шифрование Computer No 1
Kerberos Authentication Используется для проверки подлинности компьютеров и пользователей Active Directory. Подпись и шифрование Computer No 2
Агент восстановления ключей Восстанавливает закрытые ключи, архивированные в ЦС. Encryption Агент восстановления ключей No 2
Подпись ответа OCSP Используется Онлайн-ответчиком для подписания ответов на запросы о состоянии сертификата. Signature Computer No 3
Сервер RAS и IAS Позволяет серверам удаленного доступа и серверам службы проверки подлинности Интернета (IAS) проходить проверку подлинности на других компьютерах. Подпись и шифрование Computer No 2
Корневой центр сертификации Используется для удостоверения личности корневого УЦ. Signature CA No 1
Маршрутизатор (офлайн запрос) Используется маршрутизатором при запросе SCEP у центра сертификации, который содержит сертификат шифрования для CEP. Подпись и шифрование Computer No 1
Smartcard Logon Позволяет владельцу проходить проверку подлинности с помощью смарт-карты. Подпись и шифрование User No 1
Smartcard User Позволяет владельцу проходить проверку подлинности и защищать электронную почту с помощью смарт-карты. Подпись и шифрование User Yes 1
Подчиненный центр сертификации Используется для удостоверения личности корневого УЦ. Он выдан родительским или корневым Центром сертификации. Signature CA No 1
Подписывание списка доверия Позволяет владельцу цифрово подписать список доверия. Signature User No 1
User Используется пользователями для проверки подлинности электронной почты, EFS и клиента. Подпись и шифрование User Yes 1
Только подпись пользователя Позволяет пользователям цифрово подписывать данные. Signature User No 1
Web Server Подтверждает личность веб-сервера. Подпись и шифрование Computer No 1
Workstation Authentication Позволяет клиентским компьютерам проходить проверку подлинности на серверах. Подпись и шифрование Computer No 2