Med inställningarna för validering av certifikatsökväg i Windows Server 2008 R2 och Windows Server 2008 kan du ange certifikatsökväg och validering för alla användare i en domän. Du kan använda grupprincip och enkelt konfigurera och hantera inställningarna för certifikatvalidering. Följande är några av de aktiviteter som kan utföras med hjälp av inställningarna:

  • Distribuera mellanliggande certifikatutfärdarcertifikat.

  • Spärra certifikat som inte är betrodda.

  • Hantera certifikat som används för kodsignering.

  • Konfigurera inställningarna för hämtning av listor över återkallade certifikat.

Inställningarna för validering av certifikatsökvägen finns i Grupprincip på följande plats: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Principer för offentliga nycklar.

När du dubbelklickar på Inställningar för validering av certifikatsökväg på den här platsen är ytterligare alternativ tillgängliga på följande flikar:

  • Arkiv

  • Betrodda utgivare

  • Hämta verifieringsdata

  • Återkallelse

Följande procedur beskriver hur du gör inställningar för validering av certifikatsökvägar. I följande avsnitt beskrivs proceduren för inställningarna i vardera av dessa områden.

Minimikravet för att kunna slutföra proceduren är att du är medlem i gruppen Domänadministratörer eller motsvarande. Mer information finns i Implementera rollbaserad administration.

Så här konfigurerar du Grupprincip för sökvägsvalidering för en domän:
  1. På en domänkontrollant klickar du på Start, pekar på Administrativa verktyg och klickar sedan på Grupprinciphanteringen.

  2. Dubbelklicka på Grupprincipobjekt i den skog och domän i konsolträdet som innehåller grupprincipobjektet Standarddomänprincip som du vill redigera.

  3. Högerklicka på grupprincipobjektet Standardprincipdomän och klicka sedan på Redigera.

  4. I GPMC (Group Policy Management Console) går du till Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar och klickar sedan på Principer för offentliga nycklar.

  5. Dubbelklicka på Inställningar för validering av certifikatsökväg och klicka på fliken Arkiv.

  6. Markera kryssrutan Definiera följande principinställningar .

  7. Konfigurera de alternativ som behövs.

  8. När du är klar kan du välja en annan flik och ändra ytterligare inställningar eller klicka på OK så att de nya inställningarna tillämpas.

Fliken Arkiv

Vissa organisationer vill hindra domänanvändare från att konfigurera egna betrodda rotcertifikat och avgöra vilket rotcertifikat inom organisationen som är betrott. Fliken Arkiv kan användas för detta.

Följande alternativ är tillgängliga på fliken Arkiv:

  • Tillåt att utfärdare av användarförtroenderotcertifikat används för certifikatsvalidering. Om du avmarkerar kryssrutan kan användarna inte avgöra vilka rotcertifikat som kan användas för certifikatvalidering. Även om alternativet kan hjälpa till att hindra användare från att lita på och verifiera certifikat från en kedja som inte är säker, kan det också resultera i programfel eller göra så att användare bortser från förtroendet hos ett rotcertifikat för att verifiera certifikat som presenteras för dem.

  • Tillåt användare att lita på peer-förtroendecertifikat. Om du avmarkerar den här kryssrutan kan inte användare avgöra vilka peer-certifikat som är betrodda. Även om alternativet kan hjälpa till att hindra användare från att lita på certifikat från en osäker källa, kan det också resultera i programfel eller göra så att användare bortser från certifikat i avsikt att skapa förtroende. Du kan också välja vilka syften peer-förtroendecertifikat ska användas i, t.ex. signering eller kryptering.

  • Rotcertifikatutfärdare som klientdatorer kan ange som betrodda. I det här avsnittet kan du identifiera specifika rotcertifikatutfärdare som domänanvändarna kan lita på:

    • Tredjeparts rotcertifikatutfärdare och företagets rotcertifikatutfärdare. Genom att ta med både andra än Microsoft- och företagsrotcertifikatutfärdare kan du utöka antalet rotcertifikatutfärdarcertifikat som är betrodda.

    • Endast företagets rotcertifikatutfärdare. Genom att välja endast företagets rotcertifikatutfärdare begränsas förtroendet till en intern företagscertifikatutfärdare som hämtar autentiseringsinformation från och publicerar certifikat till AD DS (Active Directory Domain Services).

  • Certifikatutfärdarna måste även följa UPN-namnbegränsningar. De här inställningarna begränsar också förtroendet till interna företagscertifikatutfärdare. Dessutom kan UPN-begränsningar hindra dem från att tro på autentiseringsrelaterade certifikat som inte följer UPN-reglerna.

Vissa företag kanske dessutom vill identifiera och distribuera särskilda betrodda rotcertifikat för situationer i verksamheten där sådana behövs. Information om hur du identifierar betrodda rotcertifikat som ska distribueras till klienter i domänen finns i Använda princip för att distribuera certifikat.

Fliken Betrodda utfärdare

Allt fler programvaruleverantörer och programutvecklare använder programvarusignering för att kontrollera att deras program kommer från en betrodd källa. Många användare förstår emellertid inte eller bryr sig inte om de signeringscertifikat som är kopplade till programmen de installerar.

Med principalternativen på fliken Betrodda utfärdare i principen Validering av certifikatsökväg kan du styra vilka som ska kunna avgöra om ett certifikat kommer från en betrodd utgivare:

  • Administratörer och användare

  • Endast administratörer

  • Endast företagsadministratörer

Dessutom kan du med principalternativen på den här fliken kräva att certifikat från betrodda utgivare ska kontrolleras så att de:

  • Inte har återkallats

  • Har giltiga tidstämplar

Fliken Hämta verifieringsdata

Om det ska fungera måste den certifikatrelaterade informationen t.ex. listor över återkallade certifikat och certifikat i Microsofts rotcertifikatsprogram uppdateras regelbundet. Det kan dock inträffa problem om tidsgränsen överskrids vid validering och hämtning av information om återkallade certifikat, på grund av att mängden information är större än väntat.

Med inställningarna för hämtning av verifieringsdata kan administratörer göra följande:

  • Automatiskt uppdatera certifikat i Microsofts rotcertifikatsprogram.

  • Ange tidsgränser för hämtning av listor över återkallade certifikat och sökvägsvalidering (längre tidsgränser är praktiska om nätverksförhållandena är bristfälliga).

  • Aktivera hämtning av utfärdarcertifikat under pågående sökvägsvalidering.

  • Ange hur ofta korscertifikat ska hämtas.

Fliken Återkallelse

Active Directory-certifikattjänster innehåller funktioner för återkallningskontroll genom listor över återkallade certifikat och listor över ändringar i återkallade certifikat samt OCSP-svar (Online Certificate Status Protocol) som distribuerar av onlinesvarare.

Med grupprincipen för sökvägsvalideringen kan administratörer dessutom förbättra användningen av listor över återkallade certifikat och onlinesvarare, framför allt i situationer då onormalt stora listor eller nätverksförhållandena påverkar prestanda.

Följande inställningar är tillgängliga:

  • Prioritera alltid återkallade certifikat före OCSP-svar (Online Certificate Status Protocol). I allmänhet ska den senaste återkallningsinformationen användas, oavsett om den kommer från listor över återkallade certifikat eller onlinesvarare. Om det här alternativet väljs används en återkallningskontroll från en onlinesvarare endast om det inte finns någon giltig lista över återkallade certifikat eller en lista över ändringar i återkallade certifikat.

  • Tillåt att återkallade certifikat och OCSP-svar är giltiga längre än deras livstid. I allmänhet rekommenderar vi inte att du tillåter att återkallade certifikat och OCSP-svar är giltiga längre än giltighetstiden. Alternativet kan behövas vid tillfällen då klienterna inte kan ansluta till en distributionspunkt för listor över återkallade certifikat eller en onlinesvarare under en längre period. Tidslängden utöver den angivna giltighetstiden konfigureras också under den här principinställningen.


Innehåll