Az Active Directory tartalomvédelmi szolgáltatások (AD RMS) különböző összetevői megbízhatósági kapcsolatokkal rendelkeznek, amelyet egy-egy tanúsítványcsoport valósít meg. Az AD RMS technológia egyik alapvető rendeltetése az, hogy biztosítsa e tanúsítványok érvényességét. A jogvédett tartalom mindegyik eleme egy, a használatára vonatkozó licenccel együtt van közzétéve, és a tartalom minden felhasználója olyan egyedi licencet kap, mely lehetővé teszi ezen szabályok olvasását, értelmezését és érvényesítését. Ebben a kontextusban a licenc egyfajta tanúsítványként működik.
Az AD RMS egy XML-szókészletet használ a jogvédett tartalmak használati jogainak a leírására, melynek eXtensible rights Markup Language (XrML) a neve.
Az AD RMS által használt tanúsítványok és licencek egymással hierarchikus kapcsolatban állnak, ezért az AD RMS ügyfele mindig visszakövethet egy adott tanúsítvány- vagy licencláncot egy megbízható kulcspárig.
Az alábbi táblázat az AD RMS által használt tanúsítványokat vagy licenceket sorolja fel:
| Tanúsítvány vagy licenc | Rendeltetés | Tartalom |
|---|---|---|
|
Kiszolgálólicenc-tanúsítvány (SLC) |
A kiszolgálólicenc-tanúsítvány akkor jön létre, amikor az AD RMS kiszolgálói szerepkört a fürt első kiszolgálójára telepítik, majd konfigurálják. A kiszolgáló egyedi kiszolgálólicenc-tanúsítványt hoz létre, amellyel saját magát azonosítja (ezt hívják önbeiktatásnak), és érvényességi ideje 250 évre szól. Ez lehetővé teszi a jogvédett tartalmak hosszú időre történő archiválását. A gyökérfürt végzi a tanúsítványkezelést (jogfióktanúsítvány (RAC) kibocsátásával) és a jogvédett tartalmak licencelését. A gyökérfürthöz hozzáadott más kiszolgálók egy kiszolgálólicenc-tanúsítványon osztoznak. Összetett környezetekben kizárólag licencelést végző fürtök is üzembe helyezhetők, amelyek saját kiszolgálólicenc-tanúsítványokat generálnak. |
A kiszolgálólicenc-tanúsítvány a kiszolgáló nyilvános kulcsát tartalmazza. |
|
Ügyféllicenc-tanúsítvány (CLC) |
Az ügyféllicenc-tanúsítvány akkor jön létre, amikor az AD RMS-fürt válaszol egy ügyfélalkalmazás kérésére. Az ügyféllicenc-tanúsítványt a rendszer akkor küldi el az ügyfélnek, ha az a szervezet hálózatához csatlakozik, és lehetővé teszi az ügyfél számára, hogy akkor is közzétehessen jogvédett tartalmakat, amikor nem csatlakozik a szervezet hálózatához. Az ügyféllicenc-tanúsítvány a felhasználó RAC tanúsítványához van kötve, így ha a RAC nem érvényes vagy nem érhető el, akkor a felhasználó nem fog tudni hozzáférni az AD RMS-fürthöz. |
Az ügyféllicenc-tanúsítvány tartalmazza az ügyféllicencelő nyilvános kulcsát és titkos kulcsát; ez utóbbi a tanúsítványt igénylő felhasználó nyilvános kulcsával van titkosítva. Tartalmazza emellett a tanúsítványt kibocsátó fürt nyilvános kulcsát is, amely ennek a fürtnek a titkos kulcsával van aláírva. Az ügyféllicencelő titkos kulcsa a közzétételi licencek aláírására szolgál. |
|
Számítógép-tanúsítvány |
A számítógép-tanúsítvány akkor jön létre az ügyfélszámítógépen, amikor azon első alkalommal fut egy AD RMS-kompatibilis alkalmazás. Az AD RMS-ügyfél Windows Vista és Windows 7 rendszerben automatikusan aktiválja és bejegyzi magát a gyökérfürtben a tanúsítvány létrehozása végett. A tanúsítvány egy kulcstárolót határoz meg a bejelentkezett felhasználó profiljának megfelelő számítógépen vagy eszközön. |
A számítógép-tanúsítvány az aktivált számítógép nyilvános kulcsát tartalmazza. Az ennek megfelelő titkos kulcs a számítógép kulcstárolójában található. |
|
Jogosultságifiók-tanúsítvány |
A RAC a felhasználó identitását határozza meg az AD RMS rendszerben. Az AD RMS gyökérfürtje hozza létre és bocsátja ki a felhasználó számára, amikor az az első alkalommal próbál megnyitni egy jogvédett tartalmat. A normál RAC a felhasználót egy adott számítógép vagy eszköz vonatkozásában a fiókhoz tartozó hitelesítő adatok alapján azonosítja, és érvényességi időtartama napok számával adható meg. A normál RAC alapértelmezett érvényességi időtartama 365 nap. Az ideiglenes RAC a felhasználót kizárólag a fiókhoz tartozó hitelesítő adatok alapján azonosítja, és érvényességi időtartama percek számával adható meg. Az ideiglenes RAC alapértelmezett érvényességi időtartama 15 perc. |
A RAC tartalmazza a felhasználó nyilvános kulcsát és titkos kulcsát; ez utóbbi az aktivált számítógép nyilvános kulcsával van titkosítva. |
|
Közzétételi licenc |
A közzétételi licenc akkor jön létre az ügyfélszámítógépen, ha a felhasználó egy tartalmat jogvédelemmel ellátva ment. Meghatározza a jogvédett tartalom megnyitására jogosult felhasználók körét, a megnyitás körülményeit, valamint azt, hogy a felhasználók milyen jogosultságokkal rendelkeznek a jogvédett tartalomhoz. |
A közzétételi licenc tartalmazza a tartalom visszafejtésére szolgáló szimmetrikus tartalomkulcsot, amely a licencet kibocsátó kiszolgáló nyilvános kulcsával van titkosítva. |
|
Használati licenc |
A használati licenc egy adott, hitelesített felhasználóval kapcsolatban határozza meg a jogvédett tartalomra vonatkozó használati jogosultságokat. A licenc a RAC tanúsítványhoz van kötve. Ezért ha a RAC nem érvényes vagy nem érhető el, akkor a licenc nem használható a tartalom megnyitására. |
A használati licenc tartalmazza a tartalom visszafejtésére szolgáló szimmetrikus tartalomkulcsot, amely a felhasználó nyilvános kulcsával van titkosítva. |