3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdfI 728 |
Службы облегченного доступа к каталогам |
Глава 14 |
Компания Contoso, Ltd работает с несколькими старыми приложениями. Недавно менеджеры Contoso приняли решение перейти на Доменные службы Active Directory (Active Directory Domain Services) и технологии Windows Server 2008. Поэтому они считают нужным переместить старые приложения в экземпляры служб Active Directory облегченного доступа к каталогам (Active Directory Lightweight Directory Services).
Вы как потенциальный администратор AD LDS внутри организации должны помочь решить некоторые специфические вопросы, связанные с предварительными реквизитами экземпляров. В частности, менеджерам необходима следующая информация.
1.Где следует хранить файлы каждого экземпляра?
2.Как именовать каждый экземпляр?
3.Какие порты должны использоваться для подключения к экземплярам?
4.Следует ли использовать раздел каталогов приложений и почему?
5.Каким образом запускать каждый экземпляр?
Практические задания
Чтобы успешно справиться с заданиями сертификационного экзамена, выполните следующие упражнения.
Работа с экземплярами AD LDS
Поскольку эта глава посвящена лишь одной теме сертификационного экзамена, сфокусируйтесь на трех ключевых задачах для подготовки к экзамену: установка роли сервера AD LDS, настройка экземпляра AD L D S и получение доступа к экземпляру AD LDS с помощью административных инструментов.
• Упражнение 1 На сервере (виртуальном и л и ф и з и ч е с к о м ) с системой Windows Server 2008 Standard Edition или Windows Server 2008 Enterprise Edition установите роль сервера AD LDS. Этот сервер должен быть не контроллером домена, а рядовым сервером домена Active Directory.
•Упражнение 2 Создайте экземпляр AD LDS с именем MyADLDSInstance, но сначала подготовьте предварительные реквизиты. Выберите для экземпляра порты 50010 и 50011. Создайте внутри экземпляра раздел приложения и назначьте ему учетную запись службы. Д л я управления экземпляром используйте группу безопасности AD DS и включите в эту группу свою учетную запись. Сохраните экземпляр на диске данных отдельно от диска с операционной системой. В процессе создания экземпляра импортируйте в него все файлы LDIF.
•Упражнение 3 После создания экземпляра попрактикуйтесь в подключении и работе с ним. Используйте следующие инструменты:
а оснастку Схема Active Directory (Active Directory Schema); •
аоснастку Active Directory — сайты и службы (Active Directory Sites And Services);
|
|
|
|
|
Пробный экзамен |
7 2 9 |
|
• у т и л и т у |
LDP.eхе; |
|
|
|
|
|
• о с н а с т к у |
Р е д а к т и р о в а н и е A D S I ( A D S I |
Edit). |
|
||
• |
С п о м о щ ь ю |
э т и х и н с т р у м е н т о в |
откройте |
и просмотрите содержимое эк- |
||
|
з е м п л я р а . В ы . т а к ж е можете попрактиковаться в создании объектов внутри |
|||||
|
э к з е м п л я р а . Н а п р и м е р , |
создайте |
подразделение и добавьте в него группу |
|||
|
и п о л ь з о в а т е л я . |
|
|
|
|
|
Пробный экзамен |
|
|
|
|
||
На |
п р и л а г а е м о м |
к к н и г е |
к о м п а к т - д и с к е представлено несколько вариантов |
|||
т р е н и р о в о ч н ы х тестов. Проверка з н а н и й выполняется или только по одной теме с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 - 6 4 0 , и л и по всем экзаменационным темам. Т е с т и р о в а н и е м о ж н о о р г а н и з о в а т ь т а к и м образом, чтобы оно проводилось как э к з а м е н , л и б о н а с т р о и т ь на р е ж и м обучения . В последнем случае вы сможете
п о с л е к а ж д о г о |
с в о е г о о т в е т а н а в о п р о с просматривать правильные ответы |
и п о я с н е н и я . |
|
ПРИМЕЧАНИЕ |
Пробный экзамен |
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А |
1 5 |
Службы сертификации Active Directory и инфраструктура открытых ключей
З а н я т и е ! |
Установка служб сертификации Active Directory |
|
736 |
Занятие 2. |
Настройка и использование служб сертификации Active Directory |
761 |
|
Инфраструктуры открытых ключей (Public Key Infrastructure, |
P K I ) очень часто |
||
используются современными организациями . С е р т и ф и к а т ы |
о т к р ы т ы х к л ю ч е й |
||
применяют практически в каждой компании . О р г а н и з а ц и и м о г у т и с п о л ь з о в а т ь
PKI для защиты беспроводных к о м м у н и к а ц и й , |
п р е д о с т а в л е н и я б е з о п а с н ы х |
коммерческих служб на веб-сайтах, и н т е г р а ц и и |
в и р т у а л ь н ы х ч а с т н ы х сетей |
(Secure Sockets Layer, SSL) и даже д л я п о д п и с к и на э л е к т р о н н у ю почту и иден - тификации самих себя в веб-средах.
Для сертификатов PKI необходимо создать и к о н т р о л и р о в а т ь и н ф р а с т р у к -
туру. Корпорация Microsoft еще н е с к о л ь к о л е т н а з а д в к л ю ч и л а |
в о з м о ж н о с т и |
||||||
генерирования и технической п о д д е р ж к и |
P K I н е п о с р е д с т в е н н о |
в о п е р а ц и о н - |
|||||
ную систему. В Windows Server 2008 эти |
в о з м о ж н о с т и о б е с п е ч и в а е т |
С л у ж б а |
|||||
сертификации Active Directory |
(Active D i r e c t o r y |
C e r t i f i c a t e Services, |
AD CS), |
||||
которая в |
предыдущих версиях |
W i n d o w s |
п р о с т о |
н а з ы в а л а с ь с л у ж б о й |
серти - |
||
фикации |
(Certificate Services). |
По этой п р и ч и н е |
т е п е р ь о р г а н и з а ц и и |
отдают |
|||
предпочтение реализации собственных и н ф р а с т р у к т у р и у п р а в л е н и ю и м и .
К СВЕДЕНИЮ |
Инфраструктуры открытых ключей |
|
Более подробную информацию о различных аспектах P K I можно найти в |
офици- |
|
альном документе PKI по адресу http://www.reso-net.com/articles.asp7m~8 в |
разделе |
|
«Advanced Public Key Infrastructures». |
|
|
Однако инфраструктуры P K I основаны не т о л ь к о на п р о г р а м м н о м обеспечении. Поскольку сертификаты P K I п р е д н а з н а ч е н ы д л я и д е н т и ф и к а ц и и себя в среде, необходимо реализовать а д м и н и с т р а т и в н ы е процессы, г а р а н т и р у ю щ и е четкую идентификацию лица с п о м о щ ь ю с е р т и ф и к а т а . П р е д о с т а в и в сертифи - каты всем сотрудникам в организации, вы задействуете инструмент, гарантиру - ющий подлинность каждого из них. Таким образом, и н ф р а с т р у к т у р ы открытых ключей предназначены для обеспечения д о в е р и я в н е н а д е ж н ы х средах.
Глава 15 |
|
|
Службы сертификации Active Directory |
7 3 1 |
||
И н ф р а с т р у к т у р ы P K I м о ж н о |
использовать для расширения в л и я н и я ор- |
|||||
г а н и з а ц и и за п р е д е л ы сети, к о т о р о й |
она управляет . В то время как доменные |
|||||
с л у ж б ы Active D i r e c t o r y ( A c t i v e |
Directory |
Domain Services, AD DS), будучи |
||||
к а т а л о г о м сетевой о п е р а ц и о н н о й с и с т е м ы |
(Network Operating System, NOS), |
|||||
и з н а ч а л ь н о п р е д н а з н а ч е н ы |
д л я |
п р о в е р к и |
подлинности и авторизации в пре- |
|||
делах |
к о р п о р а т и в н о й сети, |
с л у ж б ы |
AD CS, как и остальные три технологии |
|||
Active |
Directory, п р е д о с т а в л я ю т эти |
с л у ж б ы во внутренней и внешней сетях. |
||||
О д н а к о п р и р а с ш и р е н и и в л и я н и я организации за пределы сети с помощью AD |
||||||
C S н е о б х о д и м о и с п о л ь з о в а т ь с т о р о н н и й |
коммерческий центр сертификации |
|||||
( C e r t i f i c a t e A u t h o r i t y , С А) |
д л я |
пЪддержки утверждений в публикуемых сер- |
||||
т и ф и к а т а х ( р и с . 15-1). |
|
|
|
|
|
|
I * |
1 |
«5 |
1 AD FS |
Клиенты
Рис. 15-1. Службы сертификации Active Directory могут предоставлять возможности проверки подлинности и авторизации внутри и вне сети организации
[. 7 3 2 Службы сертификации Active Directory Глава 15
Например, при переходе на веб-сайт с помощью протокола H T T P S (Secure Hypertext Transfer Protocol) с сертификатом SSL этот сертификат гарантирует, что вы попадете именно на тот сайт, который собирались посетить. С е р т и ф и к а т
содержит имя сервера, |
название организации и |
центра с е р |
т и ф и к а ц и и , |
кото- |
рый выдал сертификат. |
Сертификат работает с |
браузером, |
п о с к о л ь к у |
т а к и е |
обозреватели, как Microsoft Internet Explorer и Firefox, уже содержат список доверенных центров сертификации, которые у п р а в л я ю т процессом с е р т и ф и - кации (рис. 15-2).
Certificate Manager |
'У'ГоЗРэ" h S |
Your Certificate} Other People"; ! Web Sites Authonties |
|
You have certificates on file that identify these certificate authorities:
Certificate Name |
Secunty Device |
|
a |
|
r |
TDC Internet |
|
|
- |
|
TDC Internet Root CA |
Builtin Object Token |
|
|
te Thawte |
|
|
|
|
|
Thawte Time stamping CA |
Builtin Object Token |
|
|
- |
Thawte Consulting |
|
|
|
|
Thawte Personal Basic CA |
Builtin Object Token |
|
|
|
Thawte Personal Premium CA |
Builtin Object Token |
|
|
|
Thawte Personal Freemail CA |
Builtin Object Token |
|
|
- |
Thawte Consulting cc |
|
|
|
|
Thawte Server CA |
Builtin Object Token |
|
|
|
Thiwte Premium Server CA |
Builtin Object Token |
|
- |
|
Import J |
j |
|
|
|
|
L |
OK |
j |
Рис. 15-2. Такие браузеры, как Internet Explorer и Firefox, содержат список доверенных центров сертификации
Список доверенных центров сертификации автоматически о |
б н о в л я е т с я |
механизмами обновления операционной системы. В Windows Vista |
и W i n d o w s |
Server 2008 это обновление управляется параметром, г р у п п о в о й п о л и т и к и , который по умолчанию отключен. В предыдущих версиях операционной системы Windows обновление Доверенные корневые сертификаты (Trusted Root Certificates) являлось компонентом Windows, доступ к которому м о ж н о было получить через панель управления.
К СВЕДЕНИЮ Поддержка сертификатов в Windows Vista
Информацию о поддержке сертификатов в Windows Vista можно найти по адресу http://technet2.microsoft.com/WindowsVista/en/library/5b350eae-8b08-4f2c-a09e- a17b1c93f3d01033.mspx?mfr=true, а список доверенных корневых сертификатов в Windows — по адресу http://support.microsoft.com/kb/931125.
При выдаче собственных сертификатов (не из внешних центров сертификации) на компьютеры пользователей, которые будут их применять, необходимо включить вашу организацию в качестве доверенного центра сертификации. Это
Глава 15 |
С л у ж б ы с е р т и ф и к а ц и и Active Directory |
7 3 3 |
|
м о ж н о |
с д е л а т ь н а к о м п ь ю т е р а х п о л ь з о в а т е л е й в в а ш е й о р г а н и з а ц и и , поскольку |
||
в ы и м и |
у п р а в л я е т е , о д н а к о д л я д р у г и х п о л ь з о в а т е л е й в ы п о л н е н и е этой задачи |
||
с т а н о в и т с я п р о б л е м а т и ч н ы м . |
|
||
В |
э т о м о д н а и з п р и ч и н с о з д а н и я т а к о й а р х и т е к т у р ы P K I . П о сути, |
к а ж д ы й |
|
ч л е н |
и н ф р а с т р у к т у р ы о т к р ы т ы х к л ю ч е й н а х о д и т с я в и е р а р х и ч е с к о й |
цепочке, |
|
к о т о р а я з а к а н ч и в а е т с я ц е н т р о м с е р т и ф и к а ц и и в ы с ш е г о у р о в н я . Э т о т ц е н т р с е р т и ф и к а ц и и в к о н е ч н о м с ч е т е о т в е ч а е т за в с е в к л ю ч е н н ы е в ц е п о ч к у сер- т и ф и к а т ы . Н а п р и м е р , е с л и в ы п о л у ч а е т е с е р т и ф и к а т о т с в о е й о р г а н и з а ц и и ,
к о т о р а я , в с в о ю о ч е р е д ь , п о л у ч и л а с в о й г л а в н ы й |
с е р т и ф и к а т о т доверенного |
||||
к о м м е р ч е с к о г о ц е н т р а |
с е р т и ф и к а ц и и , |
к а к п о к а з а н о |
н а рис . 15-3, ваш с е р т и ф и - |
||
к а т а в т о м а т и ч е с к и с т а н е т д о в е р е н н ы м , |
п о с к о л ь к у к а ж д ы й браузер уже доверяет |
||||
э т о м у к о м м е р ч е с к о м у |
ц е н т р у с е р т и ф и к а ц и и . |
С л е д о в а т е л ь н о , в н е ш н и й |
центр |
||
с е р т и ф и к а ц и и д о л ж е н |
и с п о л ь з о в а т ь с т р о г у ю |
п р о г р а м м у п о д т в е р ж д е н и я |
под- ] |
||
л и н н о с т и . В п р о т и в н о м с л у ч а е о н н е д о л г о п р о д е р ж и т с я н а р ы н к е . |
|
||||
Certllkate Hierarchy |
|
• Корневой сертификат |
|
||
. TRUSTEDCERTFCATC«AUTHORITY4 |
|
• Промежуточный сертификат |
|
||
.- ExternalCorrretcuJCI A |
|
|
|||
CotvoiocMi)
• Клиентский сертификат
Certificate Field,
• Varilen
Serial
CertJteata•>'> - Algceithm
VaUty Not MOT
ШХ Alter
HeM Value
Рис. 15-3. |
Цепочка доверенных сертификатов |
|
||
С е р т и ф и к а т ы P K I и с п о л ь з у ю т с я н е с к о л ь к и м и т е х н о л о г и я м и , о д н о й и з |
||||
к о т о р ы х |
я в л я е т с я M i c r o s o f t E x c h a n g e S e r v e r 2007. П о с к о л ь к у Exchange Server |
|||
с о с т о и т |
из |
н е с к о л ь к и х р о л е й |
( H u b T r a n s p o r t , Client Access, Mailbox и т . д . ) и |
|
передает к о н ф и д е н ц и а л ь н у ю |
и н ф о р м а ц и ю через |
п о д к л ю ч е н и я T C P / I P , каждый |
||
с е р в е р п р и |
у с т а н о в к е а в т о м а т и ч е с к и г е н е р и р у е т |
с а м о з а в е р я ю щ и й с я сертифи - |
||
кат. З а т е м |
э л е к т р о н н а я п о ч т а с п о м о щ ь ю этих с е р т и ф и к а т о в транспортируется |
|||
ч е р е з б е з о п а с н ы е п о д к л ю ч е н и я . |
Э т и м е т о д ы п р е к р а с н о подходят д л я внутрен- |
|||
н и х к о м м у н и к а ц и й , о д н а к о п р и |
о т к р ы т и и к о м м у н и к а ц и й с в н е ш н и м миром, |
|||
н а п р и м е р , |
п у т е м п р е д о с т а в л е н и я д о с т у п а M i c r o s o f t OWA ( O u t l o o k |
Web Access) |
||
с л у ж а щ и м |
в н е в н у т р е н н е й с е т и |
с а м о з а в е р я ю щ и й с я |
с е р т и ф и к а т |
необходимо |
з а м е н и т ь с е р т и ф и к а т о м п о д л и н н о г о п о с т а в щ и к а . В |
п р о т и в н о м |
случае поль- |
||
з о в а т е л и н е с м о г у т п о л у ч а т ь д о с т у п O W A и з И н т е р н е т а . |
|
|||
[. 7 3 4 |
Службы сертификации Active Directory |
Глава 15 |
|
К СВЕДЕНИЮ |
Exchange Server 2007 |
|
|
Более подробную информацию о технологии |
Exchange Server 2007 и принципах |
||
ее работы можно найти в книге «МСГГР Self-Paced Training Kit (Exam 70-238): Deploying Messaging Solutions with Microsoft Exchange Server 2007», авторами которой являются Даниэль Реет и Нельсон Реет (Microsoft Press, 2008).
В некоторых случаях для самоидентификации имеет с м ы с л р е а л и з о в а т ь лишь внутреннюю структуру PKI, однако ситуация намного у с л о ж н я е т с я п р и работе с Интернетом. Как убедить других в том, что вы и м е н н о тот, кто есть? Если вы сами выдаете сертификаты, которые используете д л я э л е к т р о н н о й коммерции, вам никто не будет доверять. П о м н и т е об этом при р е а л и з а ц и и AD CS.
Темы экзамена:
•Настройка служб сертификации Active Directory.
•Установка служб сертификации Active Directory (Active Directory Cer - tificate Services).
• Настройка параметров сервера с центром с е р т и ф и к а ц и и ( С А ) .
•Управление шаблонами сертификатов.
•Управление подачей заявок.
•Управление отзывом сертификатов.
Прежде всего
Для выполнения упражнений в этой главе потребуется следующее оборудо-
'вание.
•Физический или виртуальный компьютер Windows Server 2008: М а ш и н е следует присвоить имя SERVER01 и назначить ее к о н т р о л л е р о м домена
corUoso.com. Инструкции по установке описаны в главах 1 и 2.
•Физический или виртуальный компьютер Windows Server 2008 Enterprise
Edition с именем SERVER03, я в л я ю щ и |
й с я р я д о в ы м сервером в |
д о м е н е |
contoso.com. Эта машина будет управлять |
центрами с е р т и ф и к а ц и и |
AD CS, |
которые вы установите в ходе выполнения практических з а н я т и й этой главы. В идеале, на компьютер также следует добавить диск D д л я хранения данных AD CS. Рекомендуется выделить для этого диска 10 Гбайт.
•Физический или виртуальный компьютер Windows Server 2008 Enterprise
Edition с именем SERVER04, я в л я ю щ и й с я р я д о в ы м сервером в домене contoso.com. Эта машина будет управлять выдачей сертификатов AD CS. На компьютер также следует добавить диск D д л я хранения данных AD CS. Рекомендуется выделить для этого диска 10 Гбайт.
Этих машин будет достаточно для эффективного тестирования базовой установки и конфигурации AD CS. Д л я тестирования всех возможностей AD CS требуется пять компьютеров, но большинство читателей не располагают такими возможностями.
[. 736 |
Службы сертификации Active Directory |
Глава 15 |
В результате было разработано веб-приложение .NET. Поскольку решение было основано на PKI, а ведомство PKI располагало доверенным центром, каждый партнер теперь мог доверять другим партнерам. В этом состоит суть PKI и служб сертификации: они обеспечивают основу доверия в ненадежных средах. Пять лет спустя это приложение по-прежнему использовалось.
Занятие 1. Установка служб сертификации Active Directory
Службы сертификации Active Directory (Active Directory Certificate Services) обеспечивают сервис, связанный с инфраструктурой открытых ключей и использованием сертификатов в целом. С помощью AD CS в Windows Server 2008 можно поддерживать следующие сценарии с и с п о л ь з о в а н и е м сертификатов.
• |
Возможность шифровать все ф а й л ы д а н н ы х |
Сегодня одна |
из распро- |
|||
|
страненных проблем в области IT-технологий состоит в утере и л и хищении |
|||||
|
мобильных компьютерных систем. Если д а н н ы е |
з а ш и ф р о в а н ы , их утеря |
||||
|
не повлечет за собой серьезных последствий, однако если данные не за- |
|||||
|
шифрованы, бизнес организации может оказаться под угрозой. В Windows |
|||||
|
Server 2008 и Windows Vista все ф а й л ы данных пользователей можно шиф - |
|||||
|
ровать автоматически посредством объектов групповой п о л и т и к и и внед- |
|||||
|
рить строгие пароли для дальнейшей з а щ и т ы данных . Д л я |
блокировки и |
||||
|
разблокировки зашифрованных файлов с е р т и ф и к а т ы используют шифру - |
|||||
|
ющую файловую систему (Encrypting File |
System, E F S ) . |
|
|
||
• |
Возможность шифровать все у д а л е н н ы е п о д к л ю ч е н и я |
В W i n d o w s |
||||
|
Server 2008 добавлены подключения в и р т у а л ь н о й частной |
сети IPSec и |
||||
|
SSTP (Secure Sockets Tunnelling Protocol). Оба типа п о д к л ю ч е н и й исполь- |
|||||
|
зуют сертификаты для проверки подлинности начальной и конечной точек |
|||||
|
коммуникации. |
|
|
|
|
|
• |
Возможность защитить все с о о б щ е н и я э л е к т р о н н о й п о ч т ы |
В Windows |
||||
|
Server 2008 включена поддержка стандартного |
п р о т о к о л а |
безопасности |
|||
|
электронной почты (Secure Multipurpose Internet Mail Extensions, S / M I M E ) . |
|||||
|
Подписанные сообщения защищены от подделки и гарантируют, что их ис- |
|||||
|
точником является доверенное лицо. |
|
|
|
|
|
• |
Возможность защитить все сценарии в х о д а в сеть |
П р и использовании |
||||
|
смарт-карт сертификаты позволяют поддерживать процесс входа и гаран- |
|||||
|
тируют, что все пользователи, особенно администраторы, я в л я ю т с я именно |
|||||
|
теми, кем они себя представляют. |
|
|
|
|
|
• |
Возможность защитить все веб - сайты |
С помощью |
Internet Information |
|||
|
Services (IIS) 7.0 в Windows Server 2008 |
м о ж н о з а щ и т и т ь |
все |
коммуни- |
||
|
кации с веб-сайтами, гарантируя при этом безопасность всех клиентских |
|||||
|
транзакций. |
|
|
|
|
|
• |
Возможность защитить серверы для гарантии их подлинности |
Например, |
||||
|
при назначении сертификатов серверам в инфраструктуре N A P (Network |
|||||
|
Access Protection) или другой безопасной службе компьютеры в сети бу- |
|||||
Занятие 1 |
Установка служб сертификации |
Active |
Directory 75-] |
|
|
дут знать, что они работают с вашими серверами, и не будут связываться |
|||
|
с серверами, пытающимися олицетворить ваши серверы. |
|
||
• |
В о з м о ж н о с т ь защитить все беспроводные коммуникации |
С помощью |
||
|
Windows Server 2008 и Windows Vista можно гарантировать инициирование |
|||
|
всех беспроводных подключений из доверенных конечных точек. |
|||
• |
Возможность защитить все данные от фальсификации |
С помощью служб |
||
|
управления правами Active Directory (Active Directory Rights Management |
|||
|
Services, AD R M S ) в Windows Server 2008 можно защитить от подделки и |
|||
|
несоответствующего использования всю генерируемую информацию. |
|||
|
Кроме того, всем сотрудникам можно выдать сертификат, чтобы они могли |
|||
сертифицировать себя во всех транзакциях через Интернет. Помните, что для автоматической работы с любым обозревателем все внешние сертификаты должны выдаваться доверенным центром сертификации.
Изучив материал этого занятия, вы сможете:
V Понять принципы использования AD CS. V Установить AD CS.
V Установить Сетевой ответчик (Online Responder).
V Локализовать и просмотреть данные установки AD CS.
Продолжительность занятия — около 30 мин.
Службы AD CS
Служба сертификации Active Directory (Active Directory Certificate Services) представляет собой движок Windows Server 2008 и используется для управления сертификатами открытых ключей. С помощью AD CS можно построить полную иерархию PKI, которую затем использовать для выдачи и управления сертификатами внутри организации. Службы AD CS состоят из нескольких компонентов.
• |
Центры сертификации |
Серверы, используемые для выдачи сертификатов |
|
и управления ими. Поскольку структура PKI построена в виде иерархии, |
|
|
службы AD CS поддерживают корневые и подчиненные, или дочерние, |
|
|
центры сертификации СА (Certification Authority). Корневой центр серти- |
|
|
фикации выдает сертификаты подчиненным центрам сертификации, поз- |
|
|
воляя им выдавать сертификаты пользователям, компьютерам и службам. |
|
|
Подчиненный центр сертификации может выдавать сертификаты только в |
|
|
случае подлинности своего собственного сертификата. По истечении срока |
|
|
действия этого сертификата подчиненный СА должен запросить обновление |
|
|
сертификата в своем корневом СА. В связи с этим сроки действия корневых |
|
|
СА часто намного больше, чем у подчиненных СА. В свою очередь, срок |
|
|
действия сертификатов подчиненных центров сертификации обычно боль- |
|
|
ше, чем сроки действия сертификатов пользователей, компьютеров н служб. |
|
• |
Подача заявок АС в Веб |
С помощью подачи заявок в Веб пользователи |
|
могут подключаться к СА через веб-обозреватель для запроса сертификатов, |
|