Pomocí správy založené na rolích lze správce certifikační autority (CA) uspořádat do samostatných předdefinovaných rolí CA, které mají své vlastní sady úkolů. Role jsou přiřazovány pomocí nastavení zabezpečení jednotlivých uživatelů. Roli přiřadíte uživateli tím, že mu přiřadíte určité nastavení zabezpečení, jež je přidruženo k dané roli. Uživatel s jedním typem oprávnění (například oprávnění Spravovat certifikační autoritu) může provádět určité úkoly CA, které uživatel s jiným typem oprávnění (například oprávnění Vydávat a spravovat certifikáty) nemůže provádět.

V následující tabulce jsou popsány role, uživatelé a skupiny, které je možné použít při implementaci správy založené na rolích. Chcete-li přiřadit roli uživateli nebo skupině, je nutné danému uživateli nebo skupině přiřadit oprávnění zabezpečení, členství ve skupinách nebo uživatelská práva odpovídající dané roli. Tato oprávnění zabezpečení, členství ve skupinách a uživatelská práva slouží k rozlišení uživatelů s různými rolemi.

Role a skupiny Oprávnění zabezpečení Popis

Správce certifikační autority

Spravovat certifikační autoritu

Provádí konfiguraci a údržbu certifikační autority. Jedná se o roli CA, jež umožňuje přiřazovat všechny ostatní role CA a obnovovat certifikát certifikační autority. Tato oprávnění jsou přiřazována pomocí modulu snap-in Certifikační autorita.

Správce certifikátů

Vydávat a spravovat certifikáty

Schvaluje požadavky na zápis a odvolání certifikátů. Jedná se o roli CA. Tato role bývá někdy nazývána referent CA. Tato oprávnění jsou přiřazována pomocí modulu snap-in Certifikační autorita.

Operátor zálohování

Zálohovat soubory a adresáře

Obnovit soubory a adresáře

Provádí zálohování a obnovení systému. Zálohování je funkce operačního systému.

Auditor

Správa auditování a protokolu zabezpečení

Konfiguruje, zobrazuje a provádí údržbu protokolů auditování. Auditování je funkce operačního systému. Auditor je role operačního systému.

Žadatelé

Číst

Zapsat

Žadatelé jsou klienti, kteří mají oprávnění žádat o certifikáty z certifikační autority. Nejedná se o roli CA.

Všechny role CA jsou přiřazovány a upravovány členy místní skupiny Administrators, Enterprise Admins nebo Domain Admins. Ve výchozím nastavení podnikových certifikačních autorit jsou správci certifikační autority určeni místní správci, správci rozlehlých sítí a správci domén. Ve výchozím nastavení samostatné certifikační autority jsou správci certifikační autority určeni pouze místní správci. Pokud je samostatná certifikační autorita nainstalována na serveru, který je připojen k doméně služby Active Directory, jsou správci certifikační autority určeni rovněž správci domény.

Role správce certifikační autority a správce certifikátů mohou být přiřazeny uživatelům služby Active Directory nebo místním uživatelům ve Správci účtů zabezpečení (SAM) místního počítače, což je databáze místních účtů zabezpečení. Doporučuje se přiřazovat role skupinovým účtům, nikoli jednotlivým uživatelským účtům.

Rolemi CA jsou pouze správce certifikační autority, správce certifikátů, auditor a operátor zálohování. Ostatní uživatelé popsaní v tabulce se týkají správy založené na rolích a měli by být určeni před přiřazením rolí CA.

Pomocí modulu snap-in Certifikační autorita jsou přiřazováni pouze správci certifikační autority a správci certifikátů. Chcete-li změnit oprávnění uživatele nebo skupiny, je nutné změnit oprávnění zabezpečení, členství ve skupinách nebo uživatelská práva daného uživatele.

Nastavení oprávnění zabezpečení správce certifikační autority a správce certifikátů pro certifikační autoritu
  1. Spusťte modul snap-in Certifikační autorita.

  2. Ve stromu konzoly klikněte na název certifikační autority.

  3. V nabídce Akce klikněte na příkaz Vlastnosti.

  4. Klikněte na kartu Zabezpečení a určete oprávnění zabezpečení.

Role a činnosti

Každá role CA má zvláštní seznam úkolů správy CA, jež jsou k ní přidruženy. V následující tabulce jsou uvedeny všechny úkoly správy CA spolu s rolemi, ve kterých jsou dané úkoly prováděny.

Činnost Správce certifikační autority Správce certifikátů Auditor Operátor zálohování Místní správce Poznámky

Instalace certifikačních autorit

 

 

 

 

X

 

Konfigurace zásad a modulů ukončení

X

 

 

 

 

 

Zastavení a spuštění služby AD CS (Active Directory Certificate Services)

X

 

 

 

 

 

Konfigurace rozšíření

X

 

 

 

 

 

Konfigurace rolí

X

 

 

 

 

 

Obnovení klíčů CA

 

 

 

 

X

 

Definování agentů obnovení klíčů

X

 

 

 

 

 

Konfigurace omezení správce certifikátů

X

 

 

 

 

 

Odstranění jednoho řádku z databáze CA

X

 

 

 

 

 

Odstranění více řádků z databáze CA (hromadné odstranění)

X

X

 

 

 

Uživatel musí být současně správce certifikační autority i správce certifikátů. Tuto činnost nelze provádět, pokud je vynuceno rozdělení rolí.

Povolení rozdělení rolí

 

 

 

 

X

 

Vydávání a schvalování certifikátů

 

X

 

 

 

 

Odepření certifikátů

 

X

 

 

 

 

Odvolání certifikátů

 

X

 

 

 

 

Opětovná aktivace zadržených certifikátů

 

X

 

 

 

 

Obnovení certifikátů

 

X

 

 

 

 

Povolení, publikování nebo konfigurace plánů seznamu odvolaných certifikátů (CRL)

X

 

 

 

 

 

Obnovení archivovaných klíčů

 

X

 

 

 

Strukturu dat zašifrovaného klíče může z databáze CA načíst pouze správce certifikátů. K dešifrování struktury dat klíče a generování souboru PKCS #12 je požadován privátní klíč platného agenta obnovení klíčů.

Konfigurace parametrů auditování

 

 

X

 

 

Místní správce má ve výchozím nastavení uživatelská práva k auditování systému.

Auditování protokolů

 

 

X

 

 

Místní správce má ve výchozím nastavení uživatelská práva k auditování systému.

Zálohování systému

 

 

 

X

 

Místní správce má ve výchozím nastavení uživatelská práva k zálohování systému.

Obnovení systému

 

 

 

X

 

Místní správce má ve výchozím nastavení uživatelská práva k zálohování systému.

Čtení z databáze CA

X

X

X

X

 

Místní správce má ve výchozím nastavení uživatelská práva k auditování systému a zálohování systému.

Čtení informací o konfiguraci CA

X

X

X

X

 

Místní správce má ve výchozím nastavení uživatelská práva k auditování systému a zálohování systému.

Další požadavky

  • Žadatelé mohou číst vlastnosti certifikační autority a seznamy odvolaných certifikátů (CRL) a mohou žádat o certifikáty. K požádání o certifikát u podnikové certifikační autority musí mít uživatel v šabloně certifikátu oprávnění ke čtení a k zápisu. Správci certifikační autority, správci certifikátů, auditoři a operátoři zálohování mají implicitně oprávnění ke čtení.

  • Auditor má uživatelská práva k auditování systému.

  • Operátor zálohování má uživatelská práva k zálohování systému. Kromě toho má operátor zálohování možnost zastavit a spustit službu AD CS (Active Directory Certificate Services).

Přiřazení rolí

Správce certifikační autority přiřazuje uživatele k různým rolím správy založené na rolích tím, že u účtu uživatele použije nastavení zabezpečení požadované příslušnou rolí. Správce certifikační autority může uživatele přiřadit k více rolím, zabezpečení certifikační autority je však vyšší, pokud je každý uživatel přiřazen pouze k jedné roli. Při použití této strategie delegování bude v případě ohrožení zabezpečení účtu uživatele ohroženo méně úkolů CA.

Informace pro správce

Ve výchozím nastavení instalace samostatné certifikační autority jsou jako správci certifikační autority určeni členové místní skupiny Administrators. Ve výchozím nastavení instalace podnikové certifikační autority jsou jako správci certifikační autority určeni členové místních skupin Administrators, Enterprise Admins a Domain Admins. Chcete-li po přiřazení všech rolí CA omezit možnosti některých uvedených účtů, odeberte je z rolí správce certifikační autority a správce certifikátů.

Doporučuje se, aby skupinové účty, kterým byly přiřazeny role správce certifikační autority nebo správce certifikátů, nebyly členy místní skupiny Administrators. Dále se doporučuje, aby role CA byly přiřazovány pouze skupinovým účtům, nikoli jednotlivým uživatelským účtům.

Poznámka

K prodloužení certifikátu certifikační autority je nutné členství v místní skupině Administrators v certifikační autoritě. Členové této skupiny mohou přebírat oprávnění pro správu všech ostatních rolí CA.