A Windows Server 2008 R2 és a Windows Server 2008 rendszer a tanúsítvány elérési útjának érvényesítésére vonatkozó beállításai lehetővé teszik a tanúsítvány elérési útjának felderítésére és érvényesítésére vonatkozó beállítások kezelését az összes felhasználóhoz és tartományhoz. A tanúsítványérvényesítés ezen beállításait könnyen lehet konfigurálni és kezelni csoportházirend használatával. Ezekkel a beállításokkal többek között az alábbi feladatokat lehet végrehajtani:
-
Köztes hitelesítésszolgáltatói tanúsítványok telepítése.
-
Nem megbízható tanúsítványok letiltása.
-
Kódaláíráshoz használt tanúsítványok kezelése.
-
Tanúsítványok és visszavonási listák lekérési beállításainak konfigurálása.
A tanúsítvány-elérésiút érvényesítésének beállításai a csoportházirendben az alábbi helyen érhetők el: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Nyilvános kulcs házirendjei.
Ezen a helyen a Tanúsítvány-elérésiút érvényesítésének beállításai elemre kétszer kattintva, további beállítások érhetők el az alábbi lapok bejelölésével:
-
Tárolók
-
Megbízható gyártók
-
Lekérés hálózaton keresztül
-
Visszavonás
Az alábbi eljárással a tanúsítvány-elérésiút érvényesítésének beállításai konfigurálhatók. Az eljárást követő szakaszok írják le az összes ilyen terület beállításait.
Ehhez a művelethez legalább a Tartománygazdák csoporthoz vagy ezzel egyenértékű csoporthoz kell tartoznia. További információ: Szerepköralapú felügyelet megvalósítása.
Elérési út érvényesítésére vonatkozó csoportházirend konfigurálása tartományhoz. |
A tartománykezelőn kattintson a Start gombra, mutasson a Felügyeleti eszközök menüpontra, majd kattintson a Csoportházirend kezelése elemre.
A konzolfán kattintson duplán a Csoportházirend-objektumok elemre a szerkeszteni kívánt Alapértelmezett tartományházirend csoportházirend-objektumot tartalmazó erdőben és tartományban.
Kattintson az egér jobb oldali gombjával az Alapértelmezett tartományházirend csoportházirend-objektumra, majd a Szerkesztés parancsra.
A csoportházirend kezelése konzolban navigáljon a Számítógép konfigurációja, A Windows beállításai, Biztonsági beállítások menüre, majd kattintson a Nyilvános kulcs házirendjei elemre.
Ezután kattintson duplán A tanúsítvány-elérésiút érvényesítésének beállításai elemre, és váltson a Tárolók lapra.
Jelölje be A következő házirend-beállítások megadása jelölőnégyzetet.
Konfigurálja azokat a választható beállításokat, amelyekre szüksége van.
Ha befejezte a módosítások végrehajtását, újabb lap kijelölésével további beállításokat módosíthat, vagy az OK gombra kattintva alkalmazhatja az új beállításokat.
A tárolók lap
Egyes szervezetek nem kívánják engedélyezni a tartománybeli felhasználók számára saját megbízható legfelső szintű tanúsítványok konfigurálását, és maguk kívánják eldönteni, hogy a vállalaton belül mely legfelső szintű tanúsítványok megbízhatók. Ez a feladat a Tárolók lap használatával oldható meg.
A Tárolók lapon az alábbi beállítások érhetők el:
-
Megbízható legfelső szintű hitelesítésszolgáltató használatának engedélyezése felhasználó számára tanúsítványok érvényesítésére. Ennek a jelölőnégyzetnek a törlése megakadályozza a felhasználót annak eldöntésében, hogy mely legfelső szintű hitelesítésszolgáltatói tanúsítványok használhatók tanúsítványok érvényesítésére. Ez a beállítás segít ugyan annak megelőzésében, hogy a felhasználó megbízhatónak minősítsen és érvényesítsen nem biztonságos láncból származó tanúsítványokat, de alkalmazáshibákat is okozhat, és hatására annak veszélye is fennáll, hogy a felhasználók nem veszik figyelembe a megbízható legfelső szintű tanúsítványt mint a bemutatott tanúsítványok érvényesítésének eszközét.
-
A felhasználók megbízhatónak minősíthetik a társmegbízhatósági tanúsítványokat. Ennek a jelölőnégyzetnek a törlése megakadályozza, hogy a felhasználó maga dönthesse el, hogy mely társtanúsítványokat tekint megbízhatónak. Ez a beállítás segít ugyan annak megelőzésében, hogy a felhasználók megbízhatónak tekintsenek nem biztonságos forrásból származó tanúsítványokat, de alkalmazáshibákat is okozhat, és hatására fennáll annak veszélye is, hogy a felhasználók figyelmen kívül hagyják a tanúsítványokat mint a megbízhatóság megítélésének eszközeit. Megjelölheti a tanúsítvány célját is, például aláírás vagy titkosítás, amelyre a társmegbízhatósági tanúsítvány használható.
-
Az ügyfélszámítógépek által megbízhatóként kezelhető legfelső szintű hitelesítésszolgáltatók. Ebben a szakaszban olyan legfelső szintű hitelesítésszolgáltatók azonosíthatók, amelyek a tartomány felhasználói számára megbízhatónak tekinthetők.
-
Külső felső szintű hitelesítésszolgáltatók és vállalati felső szintű hitelesítésszolgáltatók. Nem Microsoft és vállalati legfelső szintű hitelesítésszolgáltatók felvételével kibővíthető a felhasználó számára megbízhatónak tekinthető legfelső szintű hitelesítésszolgáltatók köre.
-
Csak vállalati felső szintű hitelesítésszolgáltatók. A megbízhatóságnak a vállalati legfelső szintű hitelesítésszolgáltatókra korlátozásával a bizalom hatékonyan korlátozható olyan belső vállalati hitelesítésszolgáltató által kiállított tanúsítványokra, amely a hitelesítési információkat az Active Directory tartományi szolgáltatásoktól kapja, és ott teszi közzé a tanúsítványokat.
-
Külső felső szintű hitelesítésszolgáltatók és vállalati felső szintű hitelesítésszolgáltatók. Nem Microsoft és vállalati legfelső szintű hitelesítésszolgáltatók felvételével kibővíthető a felhasználó számára megbízhatónak tekinthető legfelső szintű hitelesítésszolgáltatók köre.
-
A hitelesítésszolgáltatóknak meg kell felelniük a felhasználói nevekkel szemben támasztott követelményeknek is. Ezek a beállítások szintén a belső vállalati hitelesítésszolgáltatókra korlátozzák a megbízhatóságot. Az egyszerű felhasználónév korlátozásai azt is megakadályozzák, hogy megbízhatónak minősüljenek olyan hitelesítésre vonatkozó tanúsítványok, amelyek nem felelnek meg az egyszerű felhasználónévre vonatkozó feltételeknek.
Elképzelhető továbbá, hogy némely cégek azonosítani és terjeszteni kívánnak majd megbízható főtanúsítványokat olyan esetekben, amelyekben további bizalomra van szükség üzleti ügyekben. Azoknak a megbízható legfelső szintű tanúsítványoknak az azonosításához, amelyeket a tartománybeli ügyfeleknek kíván terjeszteni, további információ található az alábbi témakörben: Tanúsítványok terjesztése házirendek használatával.
A megbízható közzétevők lap
A szoftveraláírást egyre növekvő számú szoftvergyártó és alkalmazásfejlesztő használja annak ellenőrzésére, hogy alkalmazásaik megbízható forrásból származnak-e. Sok felhasználó azonban nem érti vagy figyelmen kívül hagyja a telepített alkalmazásokhoz társított aláírási tanúsítványokat.
A tanúsítvány-elérésiút érvényesítése házirend Megbízható közzétevők lapján lévő házirend-beállítások lehetővé teszik annak szabályozását, hogy ki hozhat döntést a megbízható közzétevőkkel kapcsolatban:
-
Rendszergazdák és felhasználók
-
Csak rendszergazdák
-
Csak vállalati rendszergazdák
Az ezen a lapon található házirend-beállítások lehetővé teszik a megbízható közzétevő tanúsítványai ellenőrzésének előírását annak megállapítása érdekében, hogy
-
Azokat nem vonták-e vissza
-
Rendelkeznek-e érvényes időbélyeggel
Lekérés hálózaton keresztül
A hatékonyság érdekében a tanúsítványokkal kapcsolatos adatokat, például a visszavonási listákat és a Microsoft Root Certificate Program résztvevőinek tanúsítványait rendszeresen frissíteni kell. Problémák merülhetnek fel azonban, ha az érvényesség ellenőrzése, illetve a tanúsítvány-visszavonási adatok és a kereszttanúsítványok lekérdezése megszakad, mert az előre jelzettnél több adat átvitelére van szükség.
A hálózati lekérés beállításai a rendszergazda számára lehetővé teszik a következőket:
-
Tanúsítványok automatikus frissítése a Microsoft Root Certificate Program keretében.
-
A lekérés időtúllépési értékeinek konfigurálása a visszavonási listákhoz és az elérési út érvényesítéséhez (nagyobb alapértelmezett értékek hasznosak lehetnek, ha a hálózati feltételek nem optimálisak)
-
Kiállítói tanúsítvány lekérésének engedélyezése elérési út érvényesítése közben.
-
Kereszttanúsítványok letöltési gyakoriságának definiálása.
Visszavonási lap
A visszavonás ellenőrzése érdekében az Active Directory tanúsítványszolgáltatások támogatja a visszavonási és a különbözeti visszavonási listák használatát, valamint az online válaszadók által terjesztett OCSP-válaszokat.
Az elérési út csoportházirend-beállításai a rendszergazdák számára lehetővé teszik a visszavonási listák és online válaszadók használatának optimalizálását, különösen olyankor, amikor rendkívül hosszú visszavonási listák és a hálózati viszonyok rontják a teljesítményt.
A következő beállítások érhetők el:
-
Mindig részesítse előnyben a tanúsítvány-visszavonási listákat (CRL) az online tanúsítványállapot-protokoll (OCSP) válaszokkal szemben. Általában célszerű, ha az ügyfelek a legújabb visszavonási adatokat használják, függetlenül attól, hogy azok visszavonási listából vagy online válaszadótól származnak. Ennek a beállításnak a választásakor csak akkor kerül sor online válaszadótól származó visszavonás-ellenőrzés használatára, ha nincs elérhető érvényes visszavonási vagy különbözeti visszavonási lista.
-
A CRL-ek és az OCSP-válaszok ne legyenek élettartamuknál hosszabb ideig érvényesek. Általában nem ajánlott annak engedélyezése, hogy a visszavonási listák és az OCSP-válaszok érvényességi időtartamukon túl is érvényesek maradjanak. Erre azonban szükség lehet, ha az ügyfelek hosszabb ideig nem tudnak csatlakozni egy visszavonási lista terjesztési pontjához vagy online válaszadóhoz. Ebben a házirend-beállításban azonban az is megadható, hogy egy visszavonási listát vagy OCSP-választ mennyi ideig lehessen még használni eredeti érvényességének lejárta után is.