Инфраструктура открытых ключей (PKI) – это система цифровых сертификатов, центров сертификации и центров регистрации, которые проверяют и подтверждают подлинность каждого объекта, участвующего в электронной транзакции с использованием криптографии с открытыми ключами. Стандарты для PKI все еще развиваются, несмотря на то, что они широко реализованы как необходимый элемент электронной торговли. Для получения дополнительных сведений о планировании PKI и использовании криптографии с открытыми ключами см. Ресурсы служб сертификации Active Directory.
Инфраструктура PKI корпорации Майкрософт поддерживает иерархическую модель центров сертификации, являющуюся масштабируемой и обеспечивающей согласованность с увеличивающимся множеством коммерческих и других продуктов для центров сертификации.
В простейшей форме иерархия сертификации состоит из одного центра сертификации. Но иерархия часто содержит несколько центров сертификации с явно определенными отношениями "родитель-потомок". В этой модели дочерний подчиненный центр сертификации сертифицируется с помощью сертификатов, выданных его родительским центром сертификации и привязывающих открытый ключ к его удостоверению. Центр сертификации, находящийся на вершине иерархии, называется корневым центром сертификации. Дочерний центр сертификации корневого центра сертификации называется подчиненным центром сертификации. Для получения дополнительных сведений см. Типы центров сертификации.
В Windows, если пользователь доверяет корневому центру сертификации (его сертификат находится в хранилище пользователя для сертификатов доверенных корневых центров сертификации), он доверяет и всем подчиненным центрам сертификации иерархии, обладающим действительным сертификатом центра сертификации. Следовательно, корневой центр сертификации является очень важной точкой доверия в организации и должен быть соответствующим образом защищен. Для получения дополнительных сведений см. Сертификаты центра сертификации.
Существует несколько практических причин для создания нескольких подчиненных центров сертификации, в том числе:
-
Использование. Сертификаты могут быть выданы для нескольких целей, например для защищенной электронной почты и для проверки подлинности в сети. Политика выдачи для этих применений может быть различной, и это различие служит основой для администрирования этих политик.
-
Подразделения организации. Политики выдачи сертификатов могут отличаться в зависимости от роли объекта в организации. И снова можно создать подчиненные центры сертификации для разделения и администрирования этих политик.
-
Географические подразделения. Объекты организаций могут находиться во многих физических местах. Для сетевого взаимодействия между этим местами могут потребоваться отдельные подчиненные центры сертификации для многих или для всех площадок.
-
Балансировка нагрузки. Если инфраструктура PKI будет использоваться для выдачи большого количества сертификатов и управления ими, использование только одного центра сертификации может привести к заметной сетевой нагрузке для этого единственного центра сертификации. Использование нескольких подчиненных центров сертификации для выдачи сертификатов одного и того же вида делит сетевую нагрузку между центрами сертификации.
-
Резервное копирование и отказоустойчивость. Несколько центров сертификации повышают вероятность постоянного наличия в сети работающих центров сертификации, готовых ответить на запросы пользователей.
Иерархия центров сертификации может также предоставить ряд преимуществ с точки зрения администрирования, в том числе:
-
Гибкая конфигурация среды безопасности центров сертификации для настройки баланса между безопасностью и удобством использования. Например, можно использовать специальное криптографическое оборудование на корневом центре сертификации, использовать корневой центр сертификации в физически защищенной области или автономно. Такой подход может быть неприемлемым для подчиненных центров сертификации из-за соображений стоимости или удобства.
-
Возможность "выключить" конкретную часть иерархии центров сертификации, не влияя на установленные доверенные отношения. Например, можно легко завершить работу и отозвать выданный сертификат, связанный с конкретным подразделением, не влияя на другие части организации.