Os diversos componentes dos Serviços de Gestão de Direitos do Active Directory (AD RMS, Active Directory Rights Management Services) têm ligações fidedignas que são implementadas por um conjunto de certificados. A imposição da validade destes certificados é uma função fundamental da tecnologia AD RMS. Cada elemento de conteúdo protegido por direitos é publicado com uma licença que descreve as respectivas regras de utilização e cada consumidor desse conteúdo recebe uma licença exclusiva que lê, interpreta e impõe essas regras de utilização. Neste contexto, uma licença é um tipo específico de certificado.
O AD RMS utiliza um vocabulário XML para descrever os direitos de utilização de conteúdo protegido por direitos denominado XrML (eXtensible rights Markup Language).
Os certificados e licenças utilizados pelo AD RMS estão ligados numa hierarquia, pelo que o cliente AD RMS consegue sempre seguir uma cadeia de um determinado certificado de licença através de certificados fidedignos, até ao par de chaves fidedigno.
A tabela que se segue lista os certificados e licenças utilizados pelo AD RMS:
| Certificado ou Licença | Objectivo | Conteúdo |
|---|---|---|
|
Certificado de servidor licenciador (SLC) |
O SLC é criado quando a função de servidor AD RMS é instalada e configurada no primeiro servidor do cluster. Este gera um SLC exclusivo para si próprio, que estabelece a identidade, denominado auto-inscrição, e tem uma validade de 250 anos. Isto permite o arquivamento de dados protegidos por direitos por um longo período de tempo. Um cluster de raiz processa certificação, emitindo um Certificado de conta de direitos (RAC - Rights Account Certificate), e licenciamento de conteúdo protegido por direitos. Outros servidores adicionados ao cluster de raiz partilham um SLC. Em ambientes complexos, podem ser implementados clusters só de licenciamento, que geram um SLC próprio. |
O SLC contém a chave pública do servidor. |
|
Certificado de cliente licenciador (CLC) |
O CLC é criado pelo cluster de AD RMS em resposta a um pedido de uma aplicação cliente. O CLC é enviado ao cliente quando este está ligado à rede da organização e concede ao utilizador o direito de publicar conteúdo protegido por direitos quando o cliente não está ligado. O CLC está associado ao RAC do utilizador, pelo que se o RAC não for válido ou não estiver presente, o utilizador não consegue aceder ao cluster de AD RMS. |
O CLC contém a chave pública de cliente licenciador, em conjunto com a chave privada de cliente licenciador que é encriptada pela chave pública do utilizador que pede o certificado. Também contém a chave pública do cluster que emitiu o certificado, que é assinada pela chave privada do cluster que emitiu o certificado. A chave privada de cliente licenciador é utilizada para assinar licenças de publicação. |
|
Certificado de computador |
O certificado de computador é criado no computador cliente a primeira vez que uma aplicação com suporte para AD RMS é utilizada. O cliente AD RMS do Windows Vista e do Windows 7 activa e inscreve-se automaticamente no cluster de raiz para criar este certificado no computador cliente. Este certificado identifica um cofre num computador ou dispositivo relacionado com o perfil de utilizador com sessão iniciada. |
O certificado de computador contém a chave pública do computador activado. A chave privada correspondente encontra-se no cofre do computador. |
|
Certificado de conta de direitos (RAC) |
O RAC estabelece a identidade de um utilizador no sistema do AD RMS. É criado pelo cluster de raiz do AD RMS e fornecido ao utilizador quando este tenta abrir conteúdo protegido por direitos pela primeira vez. Um RAC padrão identifica um utilizador por credenciais de conta no contexto de um computador ou dispositivo específico e tem uma validade determinada em número de dias. A validade predefinida de um RAC padrão é de 365 dias. Um RAC temporário identifica um utilizador apenas com base em credenciais de conta e tem uma validade determinada em número de minutos. A validade predefinida de um RAC temporário é de 15 minutos. |
O RAC contém a chave pública do utilizador e a chave privada do utilizador encriptada pela chave pública do computador activado. |
|
Licença de publicação |
A licença de publicação é criada pelo cliente quando é guardado conteúdo com protecção de direitos. Especifica os utilizadores que podem abrir conteúdo protegido por direitos, em que condições o conteúdo pode ser aberto pelo utilizador e os direitos que cada utilizador terá sobre o conteúdo protegido por direitos. |
A licença de publicação contém a chave de conteúdo simétrica para desencriptar conteúdo encriptado com a chave pública do servidor que emitiu a licença. |
|
Licença de utilização |
A licença de utilização especifica os direitos que se aplicam ao conteúdo protegido por direitos no contexto de um utilizador autenticado específico. Esta licença está associada ao RAC. Se o RAC não for válido ou não estiver presente, a licença de utilização não pode ser utilizada para abrir o conteúdo. |
A licença de utilização contém a chave de conteúdo simétrica para desencriptar conteúdo encriptado com a chave pública do utilizador. |