Via zwervende referenties kunnen organisaties certificaten en persoonlijke sleutels apart van configuratie- of toepassingsstatusgegevens opslaan in Active Directory Domain Services (AD DS).
De werking van referentie-roaming
Bij referentie-roaming worden bestaande mechanismen voor aanmelden en automatisch inschrijven gebruikt om certificaten en sleutels veilig naar een lokale computer te downloaden wanneer een gebruiker zich aanmeldt en deze desgewenst weer te verwijderen wanneer de gebruiker zich afmeldt. Bovendien blijft de integriteit van deze referenties onder alle omstandigheden behouden, bijvoorbeeld wanneer certificaten worden bijgewerkt en wanneer een gebruiker zich bij meerdere computers tegelijk aanmeldt.
In de volgende stappen wordt beschreven hoe digitale referentie-roaming werkt.
-
Een gebruiker meldt zich aan bij een clientcomputer die verbonden is met een Active Directory-domein.
-
Het groepsbeleid voor referentie-roaming wordt als onderdeel van het aanmeldingsproces toegepast op de computer van de gebruiker.
-
Als dit de eerste keer is dat referentie-roaming wordt gebruikt, worden de certificaten in het archief van de gebruiker op de clientcomputer naar AD DS gekopieerd.
-
Als de gebruiker al certificaten in AD DS heeft, worden de certificaten in het certificaatarchief van de gebruiker op de clientcomputer vergeleken met de certificaten die voor de gebruiker zijn opgeslagen in AD DS.
-
Als de certificaten in het certificaatarchief van de gebruiker recent zijn, wordt er verder geen actie ondernomen. Als in AD DS echter recentere certificaten voor de gebruiker zijn opgeslagen, worden deze referenties naar de client gekopieerd. Als er op de clientcomputer recentere certificaten voor de gebruiker zijn opgeslagen, worden deze referenties naar AD DS gekopieerd.
-
Als er op de client extra certificaten nodig zijn, worden uitstaande verzoeken voor automatische certificaatinschrijving verwerkt.
Opmerking Certificaten die net zijn uitgegeven, worden opgeslagen in het certificaatarchief op de clientcomputer en gerepliceerd naar AD DS.
-
Wanneer de gebruiker zich later aanmeldt op een andere clientcomputer die verbonden is met het domein, wordt hetzelfde groepsbeleid toegepast en worden de referenties opnieuw gerepliceerd vanuit AD DS. Met zwervende referenties worden conflicten tussen certificaten en persoonlijke sleutels van alle clientcomputers waarop de gebruiker zich aanmeldt en in AD DS, gesynchroniseerd en opgelost.
Belangrijk In omgevingen met meerdere domeinen en domeinen met meerdere domeincontrollers zijn referenties mogelijk niet meteen beschikbaar wanneer een gebruiker zich via de ene domeincontroller bij het netwerk aanmeldt kort nadat aan de gebruiker een certificaat is verleend op een computer die de identiteit van de gebruiker valideert via een andere domeincontroller. De referenties worden dan pas beschikbaar nadat de replicatie tussen de twee domeinen of domeincontrollers is voltooid.
-
Wanneer het certificaat van de gebruiker verloopt, wordt het oude certificaat automatisch gearchiveerd in het profiel van de client en in AD DS.
Zwervende referenties wordt telkens gestart wanneer een persoonlijke sleutel of certificaat in het lokale certificaatarchief van de gebruiker verandert, wanneer de gebruiker zijn of haar computer vergrendelt of ontgrendelt en wanneer Groepsbeleid wordt vernieuwd.
Alle communicatie over certificaten tussen onderdelen op de lokale computer en tussen de lokale computer en AD DS wordt ondertekend en versleuteld.