1.10.Отзыв сертификатов.

Отзыв сертификатов является одной из наиболее важных услуг, обеспечиваемых ЦС. Центр сертификации выдает сертификат на определенный период времени (по умолча­нию, на два года), однако сертификат следует отзывать перед окончанием периода дей­ствия. Центр сертификации публикует списки отозванных сертификатов (CRL — Certificate Revocation List). Эти списки включают серийные номера сертификатов, кото­рые связаны с серийными номерами, идентифицирующими определенные выданные сертификаты. Если в списке CRL появляется серийный номер, то это означает, что сер­тификат был аннулирован перед окончанием срока его действия. Списки CRL подписы­ваются и имеют периоды действия, определяющие время их существования. Они могут быть опубликованы согласно настройкам расписания, однако обычно период публика­ции определяется количеством аннулированных сертификатов, а также тем, каким обра­зом со стороны текущего статуса будет обрабатываться процесс аннулирования.

При использовании приложений, использующих сертификаты, выполняется за­прос проверки отзыва. Если при осуществлении этого процесса клиент проверяет сер­тификат, при этом используется метод шифрования. Благодаря этому, можно удосто­вериться в отсутствии факта отзыва сертификата. Информация о том, был ли отозван сертификат, может отсылаться клиентскому приложению. В зависимости от исполь­зуемого приложения, ЦС может дать ответ о невозможности найти список CRL для данного ЦС. В этом случае затруднительно установить, был ли отозван сертификат.

Служба сертификатов Windows 2000 включает также поддержку дополнительного расширения сертификата, Х.509 v3, который поддерживает источник распределения списков отозванных сертификатов. Данное свойство является основой для выполне­ния автоматической проверки списков CRL.

1.11.МОДЕЛЬ ХРАНИЛИЩА СЕРТИФИКАТОВ. Если пользователь или система запрашивают сертификат, фактический сертификат должен обрабатываться определенным устройством, которое выполняет функции по хранению и управлению сертификатами. В данном случае речь идет о хранилище сертификатов. Проверяя сертификаты и устанавливая доверительные отношения по от­ношению к определенному ЦС, важно знать используемую модель хранилища серти­фикатов. Операционная система Windows 2000 обычно хранит сертификаты локаль­ным образом в запрашивающей системе. Хранилище сертификатов может включать рад отличающихся сертификатов из различных центров ЦС. Ниже приводится список, в котором определяются свойства хранилища сертификатов.

• Корневые сертификаты с автоподписью с отношениями явного доверия хранятся в корневом хранилище, поскольку никто не может проверить с применением метода шифрования. Важно отметить, что корневое хранилище может быть изменено пользователем или с помощью объектов групповой политики (GPO — Group Policy Objects). Это становится возможным в силу того, что проверка не может выйти за рамки самоподписывающегося корневого сертификата. Не следует недооценивать степень важности подобных отношений явного доверия. Без них было бы довольно трудно гарантировать безопасность.

• Хранилище ЦС — место размещения всех других типов сертификатов с автоподписью, не предполагающих отношений доверия, например, подчиненных или промежуточных сертификатов, используемых в процессе построения цепи.

• Персональное хранилище — место размещения пользовательских или компьютерных сертификатов, поскольку в локальной системе существуют соответствующие им частные ключи. Там, где сертификат указывает на смарт-карту, должен быть компонент смарт-карты, либо сертификат может использоваться в чистой программной среде как, например, провайдер хранилища, определенный по умолчанию.

• Хранилище доверия используется для сторонних ЦС. Здесь они могут быть сертифицированы без применения отношений явного доверия, используемых в различных целях. Хранилище доверительных отношений содержит список доверия сертификатов для подписанных доверительных отношений. Списки доверия содержат хеши корневых сертификатов, которым доверяет клиент. В зависимости от имеющегося ЦС устанавливаются ограничения на отображаемый хеш, используя который ЦС может выдать сертификаты для выполнения определенных задач.

Хранилища доверия: Если клиенту необходимо доверять ЦС при решении любых задач, можно поместить сертификат в корневом хранилище. Если в этом нет необходимости, создайте на­страиваемый список CTL, применяемый в целях дальнейшего ограничения доверия. Создав список CTL, поместите его в хранилище доверия и ограничьте его в рамках одной задачи, например, выполнение подписи электронного сообщения. Таким образом, гарантируется сертификация другого PKI, однако компьютерная среда не является открытой для всех типов и назначений сертификатов, выдаваемых ЦС.

• Служба каталогов пользователей (User Directory Service) отображает вид серти­фикатов, которые были опубликованы в Active Directory для пользовательского объекта. Можно публиковать определенные сертификаты в каталоге с тем, что­бы можно было их найти и отправить зашифрованное почтовое сообщение, не прибегая к первоначальной отправке подписанного сообщения и дальнейшему обмену. Благодаря этому, можно просмотреть, что было опубликовано в ката­логе на уровне пользователя или уровне компьютера.