Ръководство за сертифициращи органи, Microsoft Docs
Отнася се за: Windows Server 2012 R2, Windows Server 2012
Сертифициращият орган (CA) отговаря за проверката на самоличността на потребителите, както и за проверката на самоличността на компютрите и организациите. CA удостоверява обектите и ги удостоверява чрез издаване на цифрово подписан сертификат. CA може също така да управлява, отменя и подновява сертификати.
Ролята на сертифициращия орган може да бъде:
организация, която потвърждава самоличността на потребителя;
сървър, използван от организация за издаване и управление на сертификати.
Чрез инсталиране на услугата за роля на сертифициращ орган за услугите за сертификати на Active Directory (AD CS), можете да конфигурирате Windows Server като CA.
Преди да инсталирате услугата за роля на CA, трябва да изпълните следните стъпки:
планира инфраструктура с публичен ключ (PKI) в съответствие с изискванията на организацията;
инсталирайте и конфигурирайте хардуерен модул за сигурност (HSM) според инструкциите на неговия производител, ако планирате да използвате такъв модул;
създайте подходящ файл CAPolicy.inf, ако трябва да промените опциите за инсталиране по подразбиране.
Планиране на инфраструктура с публичен ключ
За да може една организация да се възползва напълно от силата на Active Directory Certificate Services (AD CS), разполагането на PKI инфраструктурата трябва да бъде правилно планирано. Преди да инсталирате който и да е CA, трябва да определите колко CA ще бъдат инсталирани и в каква конфигурация. Правилното проектиране на PKI инфраструктура може да отнеме много време, но е необходимо за успешно внедряване.
За повече информация и ресурси вижте Ръководството заPKI дизайн на сайта на Microsoft TechNet.
Използване на хардуерен модул за сигурност
С хардуерен модул за сигурност (HSM) можете да увеличите сигурността на вашата CA и PKI инфраструктура.
HSM е специално устройство, което се управлява независимо от операционната система. Той осигурява сигурно хардуерно съхранение за CA ключове, както и специален криптографски процесор за по-бързо подписване и криптиране. Операционната система използва HSM модула чрез CryptoAPI интерфейсите. HSM действа като устройство за доставчик на криптографски услуги (CSP).
Обикновено HSM са PCI адаптери, но могат да бъдат и мрежови, серийни и USB устройства. Ако една организация планира да внедри два или повече CA, можете да инсталирате един мрежов HSM, който ще се използва от множество CA.
За да настроите CA с помощта на ключовете, които ще бъдат съхранени в HSM, първо трябва да инсталирате и конфигурирате този модул.
Използване на файла CAPolicy.inf
Файлът CAPolicy.inf не е необходим за инсталиране на AD CS, но може да се използва за конфигуриране на настройките на CA. Файлът CAPolicy.inf съдържа различни настройки, които се използват при инсталиране на CA или подновяване на CA сертификат. За да използвате файла CAPolicy.inf, той трябва да бъде създаден и съхранен в директорията %systemroot% (обикновено C:\Windows).
Настройките, включени във файла CAPolicy.inf, зависят главно от типа внедряване, което създавате. Например за основен CA файлът CAPolicy.inf може да изглежда така:
Докато за организация, предоставяща CA, файлът CAPolicy.inf може да изглежда така:
Идентификаторите на обекти са дадени в примерни файловеCAPolicy.inf са само примери. Всяка организация трябва да получи свой собствен идентификатор на обект (OID). За повече информация относно ИД на обекти вижте Получаване на ИД на основния обект от органа за именуване на ISO.
За повече информация вижте Синтаксис на файла CAPolicy.inf.
Избиране на опции за конфигурация на CA
Следващите раздели описват опциите за конфигуриране, които трябва да изберете след инсталиране на двоичните инсталационни файлове на CA.
Избор на типа инсталация
Enterprise CAs са интегрирани с Active Directory Domain Services (AD DS). Те публикуват сертификати и CRL в AD DS. Корпоративните CA използват информация, съхранена в AD DS, включително информация за потребителски акаунти и групи за сигурност, за да одобряват или отказват заявки за сертификати. Корпоративните CA използват шаблони на сертификати. Когато издава сертификат, корпоративният CA използва информацията от шаблона, за да създаде сертификат с атрибутите, подходящи за този тип сертификат.
По подразбиране само членовете на групата Enterprise Admins могат да инсталират и конфигурират корпоративни CA. Ако искате да предоставите привилегии за инсталиране и конфигуриране на корпоративен CA на по-ниски администратори на домейн, следвайте инструкциите в Делегирано инсталиране на корпоративен сертифициращ орган.
Самостоятелните CA не изискват AD DS и не използват шаблони на сертификати. Ако се използват самостоятелни CA, цялата информация за искания тип сертификат трябва да бъде включена в заявката за сертификат. По подразбиране всички заявки за сертификати, изпратени до самостоятелни CA, се поставят в чакаща опашка, докато администраторът на CA не ги одобри. INсамостоятелните CA могат да бъдат конфигурирани да издават автоматично сертификати, когато получат заявки, но това обикновено не се препоръчва, тъй като заявките не са удостоверени и сигурността е компрометирана.
От гледна точка на производителността, използването на самоиздаващи се самостоятелни CA може да издава сертификати по-бързо от използването на корпоративни CA. Ако автоматичното издаване не е активирано, използването на самостоятелни CA за издаване на голям брой сертификати обикновено води до значителни административни разходи, тъй като администраторът трябва ръчно да прегледа и след това да одобри или отхвърли всяка заявка за сертификат. Поради тази причина самостоятелните CA са по-подходящи за приложения за сигурност с публичен ключ в екстранет и интернет, когато потребителите нямат потребителски акаунти и когато броят на издадените и управлявани сертификати е относително малък.
Трябва да използвате самостоятелен CA, за да издавате сертификати, ако използвате справочна услуга, различна от Microsoft, или ако AD DS услугите не са налични. Вашата организация може да използва корпоративни CA и самостоятелни CA едновременно, както е описано в следващата таблица.
Публикуване на сертификати в Active Directory и използване на Active Directory за валидиране на заявки за сертификати.