A hitelesítő adatok központosított kezelése segítségével a szervezetek az Active Directory tartományi szolgáltatásokban (AD DS) tárolhatják (az alkalmazás állapotán vagy a konfigurációs információn kívül) a tanúsítványokat és a titkos kulcsokat is.
A hitelesítő adatok központosított kezelésének működési mechanizmusa
A hitelesítő adatok központosított kezelése meglévő bejelentkezési és automatikus tanúsítványigénylési mechanizmusokkal teszi lehetővé tanúsítványok és kulcsok biztonságos letöltését a helyi számítógépre minden alkalommal, amikor a felhasználó bejelentkezik, illetve azok eltávolítását a felhasználó kijelentkezésekor, amennyiben erre igény van. A hitelesítő adatok sértetlensége minden körülmények között biztosított, így a tanúsítványok frissítésekor, és akkor is, amikor a felhasználók egyszerre több számítógépre jelentkeznek be.
Az alábbi lépések a digitális tanúsítványok hitelesítő adatainak központosított kezelése során alkalmazott működési mechanizmust vázolják.
-
A felhasználó bejelentkezik egy Active Directory-tartományhoz csatlakoztatott ügyfélszámítógépre.
-
A bejelentkezési folyamat részeként a rendszer a hitelesítő adatok központosított kezelésének csoportházirendjét alkalmazza a felhasználó számítógépére.
-
Ha első alkalommal kerül sor a hitelesítő adatok központosított kezelésének használatára, a szolgáltatás a felhasználó tárolójában található tanúsítványokat az ügyfélszámítógépről az Active Directory tartományi szolgáltatásokba másolja.
-
Ha a felhasználónak már találhatók tanúsítványai az Active Directory tartományi szolgáltatásokban, a szolgáltatás összehasonlítja azokat a felhasználó ügyfélszámítógépen található tanúsítványtárában tárolt tanúsítványokkal.
-
Ha a felhasználó tanúsítványtárában található tanúsítványok frissek, a rendszer nem végez további műveletet. Ha azonban frissebb tanúsítványok találhatók az Active Directory tartományi szolgáltatásokban, a hitelesítő adatokat a szolgáltatás az ügyfélszámítógépre másolja. Ha frissebb tanúsítványok találhatók az ügyfélszámítógépen, a hitelesítő adatokat a szolgáltatás az Active Directory tartományi szolgáltatásokba másolja.
-
Ha további tanúsítványokra van szükség az ügyfélszámítógépen, a szolgáltatás feldolgozza a függőben lévő tanúsítványkérelmek automatikus igényléseit.
Megjegyzés Az újonnan kiállított tanúsítványokat a szolgáltatás az ügyfélszámítógépen a tanúsítványtárolóban tárolja és onnan replikálja az Active Directory tartományi szolgáltatásokba.
-
Amikor a felhasználó bejelentkezik a tartomány egy másik ügyfélszámítógépén, a rendszer ugyanazt a csoportházirend-beállítást alkalmazza, és ismét replikálja a hitelesítő adatokat az Active Directory tartományi szolgáltatásokból. A tanúsítványhordozás szinkronizálja a tanúsítványokat és a titkos kulcsokat, továbbá feloldja azok ütközéseit. Ez az Active Directory tartományi szolgáltatások mellett az összes olyan ügyfélszámítógépet is érinti, amelyre a felhasználó bejelentkezett.
Fontos! Több tartomány alkotta környezetekben és több tartományvezérlőt üzemeltető tartományokban elképzelhető, hogy a hitelesítő adatok nem állnak azonnal rendelkezésre, ha a felhasználó röviddel az után jelentkezik be a hálózatba egy tartományvezérlőn keresztül, hogy egy olyan számítógépen állítottak ki számára tanúsítványt, amely a felhasználó azonosságát egy másik tartományvezérlővel hitelesítteti. A hitelesítő adatok csak a két tartomány vagy tartományvezérlő közötti replikálás sikeres befejeződését követően fognak rendelkezésre állni.
-
Amikor a felhasználó tanúsítványa lejár, a szolgáltatás automatikusan archiválja a régi tanúsítványt az ügyfél profiljában a számítógépen és az Active Directory tartományi szolgáltatásokban.
A hitelesítő adatok központosított kezelése működésbe lép minden olyan alkalommal, amikor titkos kulcs vagy tanúsítvány módosul a felhasználó helyi tanúsítványtárolójában, amikor a felhasználó zárolja a számítógépet, feloldja annak zárolását, illetve amikor a csoportházirend frissül.
A szolgáltatás aláír és titkosít minden olyan kommunikációt a helyi számítógép összetevői vagy a helyi számítógép és az Active Directory tartományi szolgáltatások között, amely kapcsolatos a tanúsítványokkal.