Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Службы сертификатов Active Directory (AD CS) — это роль Windows Server для выдачи сертификатов инфраструктуры открытых ключей (PKI), используемых в протоколах безопасной связи и проверки подлинности.
Выдача сертификатов и управление ими
Цифровые сертификаты можно использовать для шифрования и цифрового подписывания электронных документов и сообщений, а также для проверки подлинности учетных записей компьютеров, пользователей или устройств в сети. Например, цифровые сертификаты предоставляют:
- Конфиденциальность с помощью шифрования.
- Целостность с помощью цифровых подписей.
- Проверка подлинности путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в сети компьютеров.
Ключевые особенности
AD CS предоставляет следующие важные функции:
Центры сертификации: Корневые и подчиненные центры сертификации (ЦС) используются для выдачи сертификатов пользователям, компьютерам и службам, а также для управления сроком действия сертификата.
Регистрация в Интернете: Регистрация в Интернете позволяет пользователям подключаться к ЦС с веб-браузером, чтобы запрашивать сертификаты и получать списки отзыва сертификатов (CRLS).
Онлайн-ответчик: Служба реагирования в Интернете декодирует запросы о состоянии отзыва для определенных сертификатов, оценивает состояние этих сертификатов и отправляет подписанный ответ, содержащий запрошенные сведения о состоянии сертификата.
Служба регистрации сетевых устройств: Служба регистрации сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам, у которых нет учетных записей домена для получения сертификатов.
Аттестация ключа TPM: Позволяет центру сертификации убедиться, что закрытый ключ защищен аппаратным TPM, и что этот TPM является доверенным для ЦС. Аттестация ключа модуля TPM предотвращает экспорт сертификата на несанкционированное устройство и может связать личность пользователя с устройством.
Веб-служба политики регистрации сертификатов: Веб-служба политики регистрации сертификатов позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов.
Веб-служба регистрации сертификатов: Веб-служба регистрации сертификатов позволяет пользователям и компьютерам выполнять регистрацию сертификатов через веб-службу. Вместе с веб-службой политики регистрации сертификатов это позволяет регистрировать сертификаты на основе политик, если клиентский компьютер не является членом домена или когда член домена не подключен к домену.
Преимущества
С помощью AD CS можно повысить безопасность, привязав удостоверение пользователя, компьютера или службы к соответствующему закрытому ключу. AD CS предоставляет экономичный, эффективный и безопасный способ управления распространением и использованием сертификатов. Помимо привязки удостоверений и закрытых ключей, AD CS также включает функции, позволяющие управлять регистрацией сертификатов и отзывом.
Данные о конечных точках в Active Directory используются для регистрации сертификатов, позволяя автоматическое добавление информации в сертификаты. Групповые политики Active Directory также можно использовать для назначения пользователей и компьютеров, которым разрешены типы сертификатов. Конфигурация групповой политики позволяет управлять доступом на основе ролей или атрибутов.
Приложения, поддерживаемые AD CS, включают в себя расширения secure/Multipurpose Internet Mail (S/MIME), безопасные беспроводные сети, виртуальную частную сеть (VPN), безопасность интернет-протокола (IPsec), шифрование файловой системы (EFS), вход смарт-карты, безопасный слой сокета и безопасность транспорта (SSL/TLS) и цифровые подписи.