1.10.Отзыв сертификатов.
Отзыв сертификатов является одной из наиболее важных услуг, обеспечиваемых ЦС. Центр сертификации выдает сертификат на определенный период времени (по умолчанию, на два года), однако сертификат следует отзывать перед окончанием периода действия. Центр сертификации публикует списки отозванных сертификатов (CRL — Certificate Revocation List). Эти списки включают серийные номера сертификатов, которые связаны с серийными номерами, идентифицирующими определенные выданные сертификаты. Если в списке CRL появляется серийный номер, то это означает, что сертификат был аннулирован перед окончанием срока его действия. Списки CRL подписываются и имеют периоды действия, определяющие время их существования. Они могут быть опубликованы согласно настройкам расписания, однако обычно период публикации определяется количеством аннулированных сертификатов, а также тем, каким образом со стороны текущего статуса будет обрабатываться процесс аннулирования.
При использовании приложений, использующих сертификаты, выполняется запрос проверки отзыва. Если при осуществлении этого процесса клиент проверяет сертификат, при этом используется метод шифрования. Благодаря этому, можно удостовериться в отсутствии факта отзыва сертификата. Информация о том, был ли отозван сертификат, может отсылаться клиентскому приложению. В зависимости от используемого приложения, ЦС может дать ответ о невозможности найти список CRL для данного ЦС. В этом случае затруднительно установить, был ли отозван сертификат.
Служба сертификатов Windows 2000 включает также поддержку дополнительного расширения сертификата, Х.509 v3, который поддерживает источник распределения списков отозванных сертификатов. Данное свойство является основой для выполнения автоматической проверки списков CRL.
1.11.МОДЕЛЬ ХРАНИЛИЩА СЕРТИФИКАТОВ. Если пользователь или система запрашивают сертификат, фактический сертификат должен обрабатываться определенным устройством, которое выполняет функции по хранению и управлению сертификатами. В данном случае речь идет о хранилище сертификатов. Проверяя сертификаты и устанавливая доверительные отношения по отношению к определенному ЦС, важно знать используемую модель хранилища сертификатов. Операционная система Windows 2000 обычно хранит сертификаты локальным образом в запрашивающей системе. Хранилище сертификатов может включать рад отличающихся сертификатов из различных центров ЦС. Ниже приводится список, в котором определяются свойства хранилища сертификатов.
-
Корневые сертификаты с автоподписью с отношениями явного доверия хранятся в корневом хранилище, поскольку никто не может проверить с применением метода шифрования. Важно отметить, что корневое хранилище может быть изменено пользователем или с помощью объектов групповой политики (GPO — Group Policy Objects). Это становится возможным в силу того, что проверка не может выйти за рамки самоподписывающегося корневого сертификата. Не следует недооценивать степень важности подобных отношений явного доверия. Без них было бы довольно трудно гарантировать безопасность.
-
Хранилище ЦС — место размещения всех других типов сертификатов с автоподписью, не предполагающих отношений доверия, например, подчиненных или промежуточных сертификатов, используемых в процессе построения цепи.
-
Персональное хранилище — место размещения пользовательских или компьютерных сертификатов, поскольку в локальной системе существуют соответствующие им частные ключи. Там, где сертификат указывает на смарт-карту, должен быть компонент смарт-карты, либо сертификат может использоваться в чистой программной среде как, например, провайдер хранилища, определенный по умолчанию.
-
Хранилище доверия используется для сторонних ЦС. Здесь они могут быть сертифицированы без применения отношений явного доверия, используемых в различных целях. Хранилище доверительных отношений содержит список доверия сертификатов для подписанных доверительных отношений. Списки доверия содержат хеши корневых сертификатов, которым доверяет клиент. В зависимости от имеющегося ЦС устанавливаются ограничения на отображаемый хеш, используя который ЦС может выдать сертификаты для выполнения определенных задач.
Хранилища доверия: Если клиенту необходимо доверять ЦС при решении любых задач, можно поместить сертификат в корневом хранилище. Если в этом нет необходимости, создайте настраиваемый список CTL, применяемый в целях дальнейшего ограничения доверия. Создав список CTL, поместите его в хранилище доверия и ограничьте его в рамках одной задачи, например, выполнение подписи электронного сообщения. Таким образом, гарантируется сертификация другого PKI, однако компьютерная среда не является открытой для всех типов и назначений сертификатов, выдаваемых ЦС.
• Служба каталогов пользователей (User Directory Service) отображает вид сертификатов, которые были опубликованы в Active Directory для пользовательского объекта. Можно публиковать определенные сертификаты в каталоге с тем, чтобы можно было их найти и отправить зашифрованное почтовое сообщение, не прибегая к первоначальной отправке подписанного сообщения и дальнейшему обмену. Благодаря этому, можно просмотреть, что было опубликовано в каталоге на уровне пользователя или уровне компьютера.