Různé součásti služby Active Directory Rights Management Services (služba AD RMS) mají důvěryhodná připojení, která se implementují pomocí sady certifikátů. Vynucení platnosti těchto certifikátů je základní funkcí technologie AD RMS. Každá část obsahu chráněného právy je publikována s licencí, která vyjadřuje pravidla jeho použití, a každý uživatel tohoto obsahu obdrží jedinečnou licenci, která obsahuje, interpretuje a vynucuje tato pravidla použití. V tomto kontextu je licence konkrétním typem certifikátu.
Technologie AD RMS používá k vyjádření práv k použití obsahu chráněného právy slovník jazyka XML, který se nazývá XrML (Extensible Rights Markup Language).
Certifikáty a licence používané službou AD RMS jsou spojené v hierarchii, takže klient služby AD RMS může vždy sledovat řetězec od určitého certifikátu nebo licence přes důvěryhodné certifikáty až po důvěryhodný pár klíčů.
V následující tabulce naleznete seznam certifikátů a licencí používaných službou AD RMS:
| Certifikát nebo licence | Účel | Obsah |
|---|---|---|
|
Serverový certifikát pro vystavování licencí (SLC) |
Serverový certifikát pro vystavování licencí se vytváří, když je role služby AD RMS nainstalována a konfigurována na prvním serveru v clusteru. Generuje jedinečný serverový certifikát pro vystavování licencí označovaný jako vlastní zápis (samostatná registrace) a má platnost 250 let. To umožňuje dlouhou dobu archivace dat chráněných právy. Kořenový cluster zpracovává oba certifikáty vydáváním licence certifikát RAC a licencováním obsahu chráněného právy. Ostatní servery, které budou přidány ke kořenovému clusteru, serverový certifikát pro vystavování licencí sdílejí. Ve složitých prostředích je možné instalovat clustery pouze pro licencování, které generují vlastní serverové certifikáty pro vystavování licencí. |
Serverový certifikát pro vystavování licencí obsahuje veřejný klíč serveru. |
|
Klientský certifikát pro vystavování licencí (CLC) |
Klientský certifikát pro vystavování licencí vytváří cluster služby AD RMS jako odpověď na požadavek z klientské aplikace. Klientský certifikát pro vystavování licencí se odesílá do klienta, který je připojený do sítě organizace, a přiděluje uživateli právo publikovat obsah chráněný právy, když klient není připojený. Klientský certifikát pro vystavování licencí je svázaný s certifikátem RAC uživatele, takže pokud není certifikát RAC platný nebo není přítomen, uživatel nemůže získat přístup do clusteru služby AD RMS. |
Klientský certifikát pro vystavování licencí obsahuje veřejný klíč vydavatele licence a soukromý klíč vydavatele licence, které jsou zašifrovány veřejným klíčem uživatele, který si příslušný certifikát vyžádal. Obsahuje také veřejný klíč clusteru, který vydal příslušný certifikát, podepsaný soukromým klíčem clusteru, který vydal certifikát. Soukromý klíč vydavatele klientské licence slouží k podepisování licencí publikování. |
|
Certifikát počítače |
Certifikát počítače vzniká v klientském počítači při prvním použití aplikace s povolenou službou AD RMS. Klient se službou AD RMS v systému Windows Vista a Windows 7 automaticky aktivuje a zapíše kořenový cluster za účelem vytvoření tohoto certifikátu v klientském počítači. Tento certifikát identifikuje bezpečnostní modul v počítači, který je ve vzájemném vztahu s profilem přihlášeného uživatele. |
Certifikát počítače obsahuje veřejný klíč aktivovaného počítače. Odpovídající soukromý klíč je obsažen v bezpečnostním modulu příslušného počítače. |
|
Certifikát RAC (Rights Account Certificate) |
Certifikát RAC vytvořil identitu uživatele v systému AD RMS. Je vytvořen kořenovým clusterem služby AD RMS a poskytnut uživateli při prvním pokusu otevřít obsah chráněný právy. Standardní certifikát RAC identifikuje uživatele podle pověření účtu v kontextu specifického počítače nebo zařízení a doba jeho platnosti se měří v počtu dní. Výchozí doba platnosti pro standardní certifikát RAC činí 365 dní. Dočasný certifikát RAC identifikuje uživatele pouze na základě pověření účtu a jeho doba platnosti se měří v minutách. Výchozí doba platnosti pro dočasný certifikát RAC činí 15 minut. |
Certifikát RAC obsahuje veřejný klíč uživatele a soukromý klíč uživatele zašifrované veřejným klíčem aktivovaného počítače. |
|
Licence pro publikování |
Licence pro publikování je vytvořena klientem při uložení obsahu chráněného právy. Určuje uživatele, kteří mohou otevřít obsah chráněný právy, za jakých podmínek může uživatel obsah otevřít, a práva, která budou mít jednotliví uživatelé u obsahu chráněného právy. |
Licence pro publikování obsahuje symetrický klíč obsahu pro dešifrování obsahu zašifrovaný pomocí veřejného klíče serveru, který licenci vydal. |
|
Licence k použití |
Licence k použití určuje práva, která platí pro obsah chráněný právy v kontextu konkrétního ověřeného uživatele. Tato licence se váže na certifikát RAC. Pokud není certifikát RAC platný nebo není přítomen, nelze licenci k použití použít k otevření příslušného obsahu. |
Licence k použití obsahuje symetrický klíč obsahu pro dešifrování obsahu, který je zašifrovaný pomocí veřejného klíče uživatele. |