Ustawienia sprawdzania poprawności ścieżki certyfikatu w systemach Windows Server 2008 R2 i Windows Server 2008 umożliwiają zarządzanie ustawieniami odnajdowania i sprawdzania poprawności ścieżki certyfikatu dla wszystkich użytkowników w domenie. W celu łatwego konfigurowania tych ustawień sprawdzania poprawności certyfikatu i zarządzania nimi można używać zasad grupy. Do zadań, które można wykonywać za pomocą tych ustawień, należą:

  • Wdrażanie certyfikatów pośrednich urzędów certyfikacji.

  • Blokowanie niezaufanych certyfikatów.

  • Zarządzanie certyfikatami używanymi do podpisywania kodu.

  • Konfigurowanie ustawień odzyskiwania certyfikatów i list odwołania certyfikatów (CRL).

Ustawienia sprawdzania poprawności ścieżki certyfikatu są dostępne w zasadach grupy w następującej lokalizacji: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady kluczy publicznych.

Dwukrotne kliknięcie opcji Ustawienia sprawdzania poprawności ścieżki certyfikatu w tej lokalizacji spowoduje udostępnienie dodatkowych opcji na następujących kartach:

  • Magazyny

  • Zaufani wydawcy

  • Pobieranie z sieci

  • Odwoływanie

W poniższej procedurze opisano sposób konfigurowania ustawień sprawdzania poprawności ścieżki certyfikatu. W sekcjach poniżej procedury zostaną opisane ustawienia dostępne w każdym z tych obszarów.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.

Aby skonfigurować zasady grupy sprawdzania poprawności ścieżki dla domeny

  1. Na kontrolerze domeny kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zarządzanie zasadami grupy.

  2. W drzewie konsoli kliknij dwukrotnie węzeł Obiekty zasad grupy w lesie i domenę zawierającą obiekt zasad grupy (GPO) Domyślne zasady domeny, który chcesz edytować.

  3. Kliknij prawym przyciskiem myszy obiekt zasad grupy Domyślne zasady domeny, a następnie kliknij polecenie Edytuj.

  4. W Konsoli zarządzania zasadami grupy (GPMC, Group Policy Management Console) przejdź do pozycji Konfiguracja komputera, Ustawienia systemu Windows, Ustawienia zabezpieczeń, a następnie kliknij pozycję Zasady kluczy publicznych.

  5. Kliknij dwukrotnie pozycję Ustawienia sprawdzania poprawności ścieżki certyfikatu, a następnie kliknij kartę Magazyny.

  6. Zaznacz pole wyboru Definiuj następujące ustawienia zasad.

  7. Skonfiguruj ustawienia opcjonalne, które muszą zostać zastosowane.

  8. Po zakończeniu wprowadzania zmian możesz wybrać inną kartę, aby zmodyfikować kolejne ustawienia, lub kliknąć przycisk OK, aby zastosować nowe ustawienia.

Karta Magazyny

Niektóre organizacje chcą uniemożliwić użytkownikom w domenie konfigurowanie własnych zestawów zaufanych certyfikatów głównych i decydować o tym, które certyfikaty główne w organizacji mogą być zaufane. Do wykonania tych zadań można użyć karty Magazyny.

Na karcie Magazyny są dostępne następujące opcje:

  • Zezwalaj na użycie głównych urzędów certyfikacji, którym ufa użytkownik, w celu sprawdzenia poprawności certyfikatów. Wyczyszczenie tego pola wyboru uniemożliwia użytkownikom decydowanie o tym, które certyfikaty głównego urzędu certyfikacji mają być używane do sprawdzania poprawności certyfikatów. Opcja ta może ułatwić ochronę użytkowników przed ufaniem certyfikatom i sprawdzaniem poprawności certyfikatów z łańcucha, który nie jest bezpieczny, jednak może także powodować błędy w działaniu aplikacji lub pomijanie przez użytkowników zaufania certyfikatu głównego jako metody sprawdzania poprawności przedstawianego im certyfikatu.

  • Zezwalaj użytkownikom na ufanie certyfikatom zaufania węzłów równorzędnych. Wyczyszczenie tego pola wyboru uniemożliwi użytkownikom podejmowanie decyzji o tym, którym certyfikatom zaufania węzłów równorzędnych można zaufać. Opcja ta może pomóc w ochronie użytkowników przed ufaniem certyfikatom ze źródła, które nie jest bezpieczne, jednak może także powodować błędy w działaniu aplikacji lub pomijanie przez użytkowników certyfikatów jako metody ustanawiania zaufania. Można także wybrać cele certyfikatów, na przykład podpisywanie lub szyfrowanie, dla których mogą być używane certyfikaty zaufania elementów równorzędnych.

  • Główne urzędy certyfikacji, którym mogą ufać komputery klienckie. W tej sekcji można określić konkretne główne urzędy certyfikacji, którym mogą ufać użytkownicy w domenie:

    • Główne urzędy certyfikacji innych firm i główne urzędy certyfikacji przedsiębiorstwa. Uwzględniając w ustawieniu zarówno główne urzędy certyfikacji firm innych niż Microsoft, jak i główne urzędy certyfikacji przedsiębiorstwa, można poszerzyć zakres certyfikatów głównego urzędu certyfikacji, którym użytkownik może zaufać.

    • Tylko główne urzędy certyfikacji przedsiębiorstwa. Ograniczając zaufanie tylko do głównych urzędów certyfikacji przedsiębiorstwa, można skutecznie ograniczyć zaufanie tylko do certyfikatów wydawanych przez wewnętrzny urząd certyfikacji przedsiębiorstwa, który uzyskuje informacje dotyczące uwierzytelniania z Usług domenowych w usłudze Active Directory (AD DS) i publikuje certyfikaty w tych usługach.

  • Urzędy certyfikacji muszą być również zgodne z ograniczeniami głównej nazwy użytkownika. Te ustawienia ograniczają także zaufanie do wewnętrznych urzędów certyfikacji przedsiębiorstwa. Ponadto ograniczenie głównej nazwy użytkownika uniemożliwia użytkownikom ufanie certyfikatom związanym z uwierzytelnianiem, które nie spełniają warunków związanych z nazwami głównymi użytkowników.

Ponadto niektóre organizacje chcą identyfikować i rozprowadzać określone zaufane certyfikaty główne, aby umożliwić scenariusze biznesowe, w których są potrzebne dodatkowe relacje zaufania. Aby określić zaufane certyfikaty główne, które mają być rozpowszechniane wśród klientów w domenie, zobacz temat Dystrybuowanie certyfikatów przy użyciu zasad.

Karta Zaufani wydawcy

Podpisywanie oprogramowania jest używane przez rosnącą liczbę wydawców oprogramowania i deweloperów aplikacji do sprawdzania, czy ich aplikacje pochodzą z zaufanego źródła. Jednak wielu użytkowników nie rozumie podpisywania certyfikatów skojarzonych z aplikacjami, które instalują, lub je ignoruje.

Opcje zasad na karcie Zaufani wydawcy zasad sprawdzania poprawności ścieżki certyfikatu umożliwiają kontrolowanie, kto może podejmować decyzje dotyczące zaufanych wydawców:

  • Administratorzy i użytkownicy

  • Tylko administratorzy

  • Tylko administratorzy przedsiębiorstwa

Ponadto opcje zasad na tej karcie umożliwiają wymaganie sprawdzania, czy certyfikaty zaufanych wydawców:

  • nie zostały odwołane,

  • mają prawidłowe sygnatury czasowe.

Karta Pobieranie z sieci

Aby dane związane z certyfikatami, na przykład listy odwołania certyfikatów (CRL) i certyfikaty w programie certyfikatów głównych firmy Microsoft były efektywne, muszą być regularnie aktualizowane. Mogą jednak wystąpić problemy, jeśli nastąpi przerwanie sprawdzania poprawności i pobierania danych odwołań certyfikatów i certyfikatów krzyżowych, z powodu niespodziewanie dużego transferu danych.

Ustawienia pobierania z sieci umożliwiają administratorom:

  • Automatyczne aktualizowanie certyfikatów w programie certyfikatów głównych firmy Microsoft.

  • Konfigurowanie wartości limitu czasu pobierania dla list odwołania certyfikatów oraz sprawdzania poprawności ścieżek (większe wartości domyślne mogą być przydatne, jeśli warunki w sieci nie są optymalne).

  • Włączanie pobierania certyfikatu wystawcy w czasie sprawdzania poprawności ścieżki.

  • Określanie, jak często są pobierane certyfikaty krzyżowe.

Karta Odwoływanie

Aby można było łatwiej sprawdzać odwołania, usługi certyfikatów w usłudze Active Directory (AD CS) obsługują korzystanie z list CRL i różnicowych list CRL, a także z odpowiedzi protokołu stanu certyfikatów online (OCSP) rozpowszechnianych przez obiekty odpowiadające w trybie online.

Ustawienia zasad grupy sprawdzania poprawności umożliwiają administratorom zoptymalizowanie użycia list odwołania certyfikatów oraz obiektów odpowiadających w trybie online, szczególnie w sytuacjach, gdy niezwykle długie listy odwołania danych lub warunki panujące w sieci zakłócają wydajność.

Dostępne są następujące ustawienia:

  • Zawsze preferuj listy odwołania certyfikatów (CRL) przed odpowiedziami protokołu OCSP. Na ogół klienci powinni używać najnowszych dostępnych danych odwołania, niezależnie od tego, czy pochodzą one z listy CRL, czy z obiektu odpowiadającego w trybie online. Jeśli jest zaznaczona ta opcja, sprawdzanie odwołania z obiektu odpowiadającego w trybie online będzie używane tylko w przypadku, gdy nie jest dostępna ważna lista CRL lub różnicowa lista CRL.

  • Zezwalaj, aby listy CRL i odpowiedzi protokołu OCSP były ważne dłużej niż ich okres istnienia. Na ogół nie zaleca się przedłużania ważności list CRL i odpowiedzi protokołu OCSP poza ich okres istnienia. Jednak opcja ta może być potrzebna w sytuacjach, gdy klienci przez długi czas nie mogą się połączyć z punktem dystrybucji listy CRL ani z obiektem odpowiadającym w trybie online. W tym ustawieniu zasad można także skonfigurować czas przedłużenia ważności listy CRL lub odpowiedzi protokołu OCSP.

Dodatkowe informacje

Spis treści