Управление доверием сертификату

  • 4 мин

Сертификаты играют важную роль в защите и проверке подлинности, а также при выполнении других задач, касающихся безопасности. Одним из основных принципов, обеспечивающих эти возможности, является доверие сертификату. Чтобы сертификат действовал, все пользователи, устройства или приложения, использующие его, должны доверять центру сертификации, который его выдал.

Что такое доверие сертификату?

При использовании сертификатов важно учитывать, кто или что может потребоваться для оценки их подлинности и допустимости. Существует три доступных для использования типа сертификатов.

  • Внутренние сертификаты, которые выдает центр сертификации организации, например сервер, на котором размещается роль службы сертификатов Active Directory.
  • Внешние сертификаты, которые выдает общедоступный центр сертификации, например организация, предоставляющая коммерческое программное обеспечение для кибербезопасности или службы идентификации.
  • Самозаверяющий сертификат.

Если развернуть корневой ЦС предприятия и использовать его для регистрации сертификатов на присоединенных к домену устройствах пользователей, эти устройства будут принимать зарегистрированные сертификаты как доверенные. Однако любое устройство из рабочей группы будет считать те же сертификаты недоверенными. Чтобы решить эту проблему, выполните следующие шаги:

  • Получить открытые сертификаты для устройств рабочей группы из внешнего центра сертификации. При этом возникают дополнительные расходы на открытые сертификаты.
  • Настроить устройства из рабочей группы таким образом, чтобы они доверяли корневому ЦС предприятия. Для этого требуется дополнительная настройка.

Управление сертификатами и доверием сертификатам в ОС Windows

Для управления сертификатами, хранящимися в операционной системе Windows, можно использовать различные инструменты, в том числе Windows Admin Center, оснастку консоли управления (MMC) сертификатами, Windows PowerShell и программу командной строки certutil. Все они предоставляют доступ к хранилищам сертификатов текущего пользователя, локальному компьютеру и его службам. Каждое хранилище состоит из нескольких папок, включая следующие.

Магазин

Описание

Персональный

Содержит сертификаты, выданные локальному пользователю, локальному компьютеру или его службе в зависимости от выбранного хранилища.

Доверенные корневые центры сертификации

Содержит сертификаты доверенных корневых ЦС.

Корпоративное доверие

Содержит списки доверия сертификатам для реализации доверия самозаверяющих сертификатов из других организаций.

Промежуточные центры сертификации

Содержит сертификаты, выданные подчиненным ЦС в иерархии сертификации.

Чтобы устройства из рабочей группы доверяли корневому ЦС предприятия, экспортируйте его сертификат из папки "Доверенные корневые центры сертификации" на компьютере, присоединенном к домену, и импортируйте его в ту же папку на этих устройствах.

Примечание.

Кроме того, сертификат корневого ЦС предприятия можно получить из общей папки CertEnroll на сервере, где размещена эта роль.

Создание самозаверяющего сертификата в целях тестирования

Несмотря на то что самозаверяющие сертификаты не подходят для рабочих сценариев, они могут пригодиться для тестирования. Для создания самозаверяющего сертификата можно использовать командлет New-SelfSignedCertificate Windows PowerShell. Если включить параметр CloneCert и предоставить существующий сертификат, новый сертификат будет иметь такие же параметры, за исключением открытого ключа. Вместо него командлет создаст новый ключ с тем же алгоритмом и длиной.

В следующем примере создается самозаверяющий сертификат SSL-сервера в локальном хранилище персональных сертификатов компьютера с альтернативным именем субъекта, установленным как www.fabrikam.com, и именем субъекта и издателя, установленным как www.contoso.com.

New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"