Správa ověření cesty k certifikátu

Některé organizace chtějí zabránit uživatelům v doméně v konfiguraci vlastních důvěryhodných kořenových certifikátů a rozhodnou, které kořenové certifikáty jsou v rámci organizace důvěryhodné. K tomuto účelu lze použít kartu Úložiště.

Na kartě Úložiště jsou k dispozici následující možnosti:

• Povolit ověřování certifikátů pomocí kořenových certifikačních autorit důvěryhodných pro uživatele. Pokud zrušíte zaškrtnutí tohoto políčka, zabráníte uživatelům v rozhodnutí, které kořenové certifikační autority se mají použít k ověření certifikátů. Ačkoli může tato možnost zabránit uživatelům ve výběru důvěryhodného certifikátu a ověření certifikátu z nezabezpečeného řetězce, může mít také za následek chyby aplikace nebo způsobit, že uživatelé nebudou důvěryhodný kořenový certifikát používat jako způsob ověření certifikátu, který je jim nabídnut.
  
  
• Povolit uživatelům důvěřovat certifikátům důvěryhodným pro druhou stranu. Pokud zrušíte zaškrtnutí tohoto políčka, zabráníte uživatelům v rozhodnutí, kterým certifikátům druhé strany budou důvěřovat. Ačkoli tato možnost může zabránit uživatelům ve výběru důvěryhodných certifikátů z nezabezpečeného zdroje, může mít také za následek chyby aplikace nebo způsobit, že uživatelé nebudou certifikáty používat k navázání důvěryhodného vztahu. Můžete vybrat také účel certifikátu, například podpis nebo šifrování, pro které lze certifikáty důvěryhodné pro druhou stranu použít.
  
  
• Kořenové certifikační autority, kterým mohou klientské počítače důvěřovat. V této oblasti můžete zadat konkrétní certifikační autority, které jsou pro uživatele v doméně důvěryhodné:
  
  
  • Kořenové certifikační autority třetích stran a rozlehlých sítí. Zahrnutím kořenových certifikačních autorit od jiných poskytovatelů než společnosti Microsoft a podnikových certifikačních autorit můžete rozšířit rozsah certifikátů, které jsou pro uživatele důvěryhodné.
    
    
  • Pouze kořenové certifikační autority rozlehlých sítí. Omezením důvěryhodnosti pouze na kořenové podnikové certifikační autority můžete efektivně omezit důvěryhodnost na certifikáty vydané interní podnikovou certifikační autoritou, která informace o ověření získala ze služby AD DS (Active Directory Domain Services) a certifikáty do této služby publikuje.
    
    
• Certifikační autority musí rovněž vyhovovat omezením hlavního názvu uživatele. Tato nastavení omezují také důvěryhodnost interních podnikových certifikačních autorit. Omezení hlavního názvu uživatele by dále zabránilo nastavení důvěryhodnosti u certifikátů vztahujících se k ověření, u kterých nejsou potvrzeny podmínky související s hlavním názvem uživatele.
  
  

Některé organizace mohou navíc chtít identifikovat a distribuovat specifické důvěryhodné kořenové certifikáty, aby povolily obchodní záměry vyžadující další důvěryhodné vztahy. Pokud chcete označit důvěryhodné kořenové certifikáty, které se mají distribuovat klientům v doméně, naleznete informace v tématu Použití zásad k distribuci certifikátů.

Stále větší počet vydavatelů softwaru a vývojářů aplikací používá k ověření, zda aplikace pochází z důvěryhodného zdroje, softwarový podpis. Mnoho uživatelů však podpisovým certifikátům přidruženým k aplikaci, kterou instalují, nerozumí nebo je ignorují.

Možnosti zásad na kartě Důvěryhodní vydavatelé zásad ověřování cesty k certifikátu umožňují určit, kdo může rozhodovat o důvěryhodných vydavatelích:

• Správci a uživatelé
  
  
• Pouze správci
  
  
• Pouze podnikoví správci
  
  

Možnosti zásad na této kartě také umožňují vyžadovat, aby u certifikátů důvěryhodných vydavatelů bylo ověřeno následující:

• Certifikáty nebyly odvolány.
  
  
• Certifikáty mají platná časová razítka.
  
  

Platnost dat souvisejících s certifikáty, jako jsou například seznamy odvolaných certifikátů (CRL) a certifikáty v programu Microsoft Root Certificate Program, je nutné zajistit jejich pravidelnou aktualizací. Pokud jsou však kontrola ověření a načítání dat odvolání certifikátu a křížových certifikátů přerušeny, protože je přenášeno více dat, než byl původní odhad, může dojít k problémům.

Nastavení načítání ze sítě umožňuje správcům:

• Automaticky aktualizovat certifikáty v programu Microsoft Root Certificate Program
  
  
• Konfigurovat hodnoty časového limitu načtení seznamu odvolaných certifikátů (CRL) a ověření cesty (vyšší výchozí hodnoty mohou být užitečné, pokud nejsou síťové podmínky optimální)
  
  
• Povolit načítání certifikátu vystavitele během ověření cesty
  
  
• Definovat, jak často jsou stahovány křížové certifikáty
  
  

Za účelem podpory kontroly odvolání podporuje služba AD CS (Active Directory Certificate Services) použití seznamů odvolaných certifikátů (CRL) a rozdílových seznamů CRL a také odpovědi protokolu OCSP (Online Certificate Status Protocol) distribuované online respondéry.

Nastavení zásad skupiny ověření cesty umožňují správcům optimalizovat použití seznamů odvolaných certifikátů (CRL) a online respondérů zejména v situacích, kdy extrémně velké seznamy odvolaných certifikátů (CRL) nebo síťové podmínky snižují výkon.

K dispozici jsou následující nastavení:

• Vždy upřednostňovat seznamy odvolaných certifikátů (CRL) před odpověďmi protokolu OCSP (Online Certificate Status Protocol). Obecně platí, že klienti by měli používat nejnovější údaje o odvolání, které jsou k dispozici, bez ohledu na to, zda pocházejí ze seznamu odvolaných certifikátů (CRL) nebo od online respondéru. Pokud je tato možnost vybrána, bude kontrola odvolání v rámci online respondéru použita pouze v případě, že není k dispozici platný seznam odvolaných certifikátů (CRL) nebo rozdílový seznam CRL.
  
  
• Umožnit prodloužení doby platnosti seznamů CRL a odpovědí protokolu OCSP. Není doporučeno povolit prodloužení doby platnosti seznamů CRL a odpovědí protokolu OCSP. Tato možnost však může být potřebná v situacích, kdy se klienti nemohou po delší dobu připojit k distribučnímu bodu seznamu CRL nebo online respondéru. V rámci tohoto nastavení zásad lze také zadat dobu prodloužení platnosti, po kterou bude seznam CRL a odpověď protokolu OCSP ještě možné použít.