A hitelesítő adatok központosított kezelése segítségével a szervezetek az Active Directory tartományi szolgáltatásokban (AD DS) tárolhatják (az alkalmazás állapotán vagy a konfigurációs információn kívül) a tanúsítványokat és a titkos kulcsokat is.

A hitelesítő adatok központosított kezelésének működési mechanizmusa

A hitelesítő adatok központosított kezelése meglévő bejelentkezési és automatikus tanúsítványigénylési mechanizmusokkal teszi lehetővé tanúsítványok és kulcsok biztonságos letöltését a helyi számítógépre minden alkalommal, amikor a felhasználó bejelentkezik, illetve azok eltávolítását a felhasználó kijelentkezésekor, amennyiben erre igény van. A hitelesítő adatok sértetlensége minden körülmények között biztosított, így a tanúsítványok frissítésekor, és akkor is, amikor a felhasználók egyszerre több számítógépre jelentkeznek be.

Az alábbi lépések a digitális tanúsítványok hitelesítő adatainak központosított kezelése során alkalmazott működési mechanizmust vázolják.

  1. A felhasználó bejelentkezik egy Active Directory-tartományhoz csatlakoztatott ügyfélszámítógépre.

  2. A bejelentkezési folyamat részeként a rendszer a hitelesítő adatok központosított kezelésének csoportházirendjét alkalmazza a felhasználó számítógépére.

  3. Ha első alkalommal kerül sor a hitelesítő adatok központosított kezelésének használatára, a szolgáltatás a felhasználó tárolójában található tanúsítványokat az ügyfélszámítógépről az Active Directory tartományi szolgáltatásokba másolja.

  4. Ha a felhasználónak már találhatók tanúsítványai az Active Directory tartományi szolgáltatásokban, a szolgáltatás összehasonlítja azokat a felhasználó ügyfélszámítógépen található tanúsítványtárában tárolt tanúsítványokkal.

  5. Ha a felhasználó tanúsítványtárában található tanúsítványok frissek, a rendszer nem végez további műveletet. Ha azonban frissebb tanúsítványok találhatók az Active Directory tartományi szolgáltatásokban, a hitelesítő adatokat a szolgáltatás az ügyfélszámítógépre másolja. Ha frissebb tanúsítványok találhatók az ügyfélszámítógépen, a hitelesítő adatokat a szolgáltatás az Active Directory tartományi szolgáltatásokba másolja.

  6. Ha további tanúsítványokra van szükség az ügyfélszámítógépen, a szolgáltatás feldolgozza a függőben lévő tanúsítványkérelmek automatikus igényléseit.

    Megjegyzés

    Az újonnan kiállított tanúsítványokat a szolgáltatás az ügyfélszámítógépen a tanúsítványtárolóban tárolja és onnan replikálja az Active Directory tartományi szolgáltatásokba.

  7. Amikor a felhasználó bejelentkezik a tartomány egy másik ügyfélszámítógépén, a rendszer ugyanazt a csoportházirend-beállítást alkalmazza, és ismét replikálja a hitelesítő adatokat az Active Directory tartományi szolgáltatásokból. A tanúsítványhordozás szinkronizálja a tanúsítványokat és a titkos kulcsokat, továbbá feloldja azok ütközéseit. Ez az Active Directory tartományi szolgáltatások mellett az összes olyan ügyfélszámítógépet is érinti, amelyre a felhasználó bejelentkezett.

    Fontos!

    Több tartomány alkotta környezetekben és több tartományvezérlőt üzemeltető tartományokban elképzelhető, hogy a hitelesítő adatok nem állnak azonnal rendelkezésre, ha a felhasználó röviddel az után jelentkezik be a hálózatba egy tartományvezérlőn keresztül, hogy egy olyan számítógépen állítottak ki számára tanúsítványt, amely a felhasználó azonosságát egy másik tartományvezérlővel hitelesítteti. A hitelesítő adatok csak a két tartomány vagy tartományvezérlő közötti replikálás sikeres befejeződését követően fognak rendelkezésre állni.

  8. Amikor a felhasználó tanúsítványa lejár, a szolgáltatás automatikusan archiválja a régi tanúsítványt az ügyfél profiljában a számítógépen és az Active Directory tartományi szolgáltatásokban.

A hitelesítő adatok központosított kezelése működésbe lép minden olyan alkalommal, amikor titkos kulcs vagy tanúsítvány módosul a felhasználó helyi tanúsítványtárolójában, amikor a felhasználó zárolja a számítógépet, feloldja annak zárolását, illetve amikor a csoportházirend frissül.

A szolgáltatás aláír és titkosít minden olyan kommunikációt a helyi számítógép összetevői vagy a helyi számítógép és az Active Directory tartományi szolgáltatások között, amely kapcsolatos a tanúsítványokkal.


Tartalom