Via de instellingen voor de validatie van certificaatpaden in Windows Server 2008 R2 en Windows Server 2008 kunt u de instellingen beheren voor de detectie en validatie van certificaatpaden voor alle gebruikers in een domein. Met Groepsbeleid kunt u deze instellingen voor certificaatvalidatie eenvoudig configureren en beheren. Hier volgen enkele van de taken die u kunt uitvoeren met deze instellingen:

  • Certificaten van tussenliggende certificeringsinstanties (CA's) distribueren

  • Certificaten blokkeren die niet worden vertrouwd

  • Certificaten beheren die worden gebruikt voor handtekeningen bij programmacode

  • Instellingen configureren voor het ophalen van certificaten en certificaatintrekkingslijsten (CRL's)

Instellingen voor de validatie van certificaatpaden zijn beschikbaar op de volgende locatie in Groepsbeleid: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Openbare-sleutelbeleid

Wanneer u op deze locatie op Instellingen voor Validering van certificaatpad dubbelklikt, zijn er aanvullende opties beschikbaar op de volgende tabbladen:

  • Archieven

  • Vertrouwde uitgevers

  • Ophalen vanaf netwerk

  • Intrekking

In de volgende procedure wordt beschreven hoe u instellingen voor de validatie van certificaatpaden configureert. In de daaropvolgende secties worden de instellingen in de verschillende gebieden beschreven.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators of een vergelijkbare groep. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Groepsbeleid voor de validatie van paden configureren voor een domein
  1. Klik op een domeincontroller op Start, wijs Systeembeheer aan en klik op Groepsbeleidsbeheer.

  2. Dubbelklik in de consolestructuur op Groepsbeleidsobjecten in het forest en domein met het groepsbeleidsobject Standaarddomeinbeleid dat u wilt bewerken.

  3. Klik met de rechtermuisknop op het groepsbeleidsobject Standaarddomeinbeleid en klik vervolgens op Bewerken.

  4. Ga in de console Groepsbeleidsbeheer naar Computerconfiguratie, Windows-instellingen, Beveiligingsinstellingen en klik vervolgens op Openbare-sleutelbeleid.

  5. Dubbelklik op Instellingen voor Validering van certificaatpad en klik vervolgens op het tabblad Archieven.

  6. Schakel het selectievakje Deze beleidsinstellingen vastleggen in.

  7. Configureer de optionele instellingen die u wilt toepassen.

  8. Als u de gewenste wijzigingen hebt aangebracht, kunt u een ander tabblad selecteren om nog meer instellingen aan te passen of op OK klikken om de nieuwe instellingen toe te passen.

Het tabblad Archieven

Sommige organisaties willen voorkomen dat gebruikers in het domein hun eigen set vertrouwde basiscertificaten kunnen configureren en willen zelf beslissen welke basiscertificaten binnen de organisatie kunnen worden vertrouwd. Dit kan worden ingesteld op het tabblad Archieven.

De volgende opties zijn beschikbaar op het tabblad Archieven:

  • Basiscertificeringsinstanties (CA's) die door de gebruiker worden vertrouwd, mogen certificaten valideren. Als u dit selectievakje uitschakelt, kunnen gebruikers niet zelf beslissen welke basis-CA-certificaten worden gebruikt om certificaten te valideren. Deze optie kan nuttig zijn om te voorkomen dat gebruikers certificaten van een onveilige keten vertrouwen en valideren, maar deze kan ook toepassingsfouten tot gevolg hebben of ertoe leiden dat gebruikers voorbijgaan aan het belang van vertrouwde basiscertificaten als middel voor het valideren van een certificaat dat aan de gebruiker wordt aangeboden.

  • Gebruikers mogen peer-vertrouwenscertificaten vertrouwen. Als u dit selectievakje uitschakelt, kunnen gebruikers niet zelf beslissen welke peercertificaten ze vertrouwen. Deze optie kan nuttig zijn om te voorkomen dat gebruikers certificaten van een onveilige bron vertrouwen, maar deze kan ook toepassingsfouten tot gevolg hebben of ertoe leiden dat gebruikers voorbijgaan aan het belang van certificaten als middel voor het tot stand brengen van een vertrouwensrelatie. U kunt ook het certificaatdoeleinde, zoals ondertekening of versleuteling, selecteren waarvoor peer-vertrouwenscertificaten kunnen worden gebruikt.

  • Basiscertificeringsinstanties die door clientcomputers kunnen worden vertrouwd. In deze sectie kunt u bepaalde basis-CA's aangeven die kunnen worden vertrouwd door gebruikers in het domein:

    • Basiscertificeringsinstanties van derden en basiscertificeringsinstanties van de onderneming. Door zowel basis-CA's van andere leveranciers als ondernemingsbasis-CA's toe te staan vergroot u het bereik van basis-CA-certificaten die kunnen worden vertrouwd door een gebruiker.

    • Alleen basiscertificeringsinstanties van de onderneming. Door alleen ondernemingsbasis-CA's toe te staan zorgt u ervoor dat alleen certificaten worden vertrouwd die zijn verleend door een interne ondernemings-CA die verificatiegegevens verkrijgt van en certificaten uitgeeft naar Active Directory Domain Services (AD DS).

  • Certificeringsinstanties moeten ook voldoen aan de UPN (User Principal Name)-beperkingen. Met deze instellingen worden ook alleen interne ondernemings-CA's vertrouwd. Bovendien wordt met de UPN-beperking voorkomen dat certificaten voor verificatie worden vertrouwd die niet voldoen aan voorwaarden met betrekking tot UPN-namen.

Verder zijn er organisaties die speciale vertrouwde basiscertificaten willen identificeren en distribueren om ondernemingsscenario's mogelijk te maken waarin extra vertrouwensrelaties nodig zijn. Zie Beleid gebruiken om certificaten te distribueren om de vertrouwde basiscertificeringsinstanties aan te geven die u wilt distribueren naar clients in uw domein.

Het tabblad Vertrouwde uitgevers

Steeds meer software-uitgevers en toepassingsontwikkelaars maken gebruik van softwarehandtekeningen om te controleren of hun toepassingen afkomstig zijn van een vertrouwde bron. Gebruikers begrijpen echter vaak weinig van de handtekeningcertificaten die horen bij de toepassingen die ze installeren, of besteden er geen aandacht aan.

Met de beleidsopties op het tabblad Vertrouwde uitgevers van het beleid voor validatie van certificaatpaden kunt u bepalen wie er beslissingen kan nemen met betrekking tot vertrouwde uitgevers:

  • Administrators en gebruikers

  • Alleen administrators

  • Alleen ondernemingsadministrators

Bovendien kunt u met beleidsopties op dit tabblad afdwingen dat certificaten van vertrouwde uitgevers op het volgende worden gecontroleerd:

  • Ze zijn niet ingetrokken

  • Ze hebben geldige tijdstempels

Het tabblad Ophalen vanaf netwerk

Gegevens met betrekking tot certificaten zoals certificaatintrekkingslijsten (CRL's) en certificaten in het Microsoft Basiscertificaatprogramma voor leden moeten regelmatig worden bijgewerkt om effectief te zijn. Er kunnen echter problemen optreden wanneer de validatiecontrole en het ophalen van certificaatintrekkingsgegevens en kruiscertificaten worden onderbroken omdat er meer gegevens worden verzonden dan oorspronkelijk werd verwacht.

Met instellingen voor ophalen vanaf het netwerk kunnen beheerders het volgende doen:

  • Certificaten automatisch bijwerken in het Microsoft Basiscertificaatprogramma

  • Time-outwaarden configureren voor het ophalen van certificaatintrekkingslijsten (CRL's) en padvalidatie (als de netwerkcondities niet optimaal zijn, is het aan te raden de standaardwaarden hoger in te stellen)

  • Het ophalen van verlenercertificaten tijdens de padvalidatie inschakelen

  • Definiëren hoe vaak kruiscertificaten worden gedownload

Het tabblad Intrekking

Active Directory Certificate Services (AD CS) biedt ondersteuning voor het gebruik van CRL's en delta-CRL's, evenals OCSP-antwoorden (Online Certificate Status Protocol) die worden gedistribueerd door online-responders om te controleren of certificaten ingetrokken zijn.

Verder kunnen beheerders via groepsbeleid voor validatie van paden het gebruik van CRL's en onlineresponders optimaliseren, vooral in situaties waar de prestaties onder druk staan door bijzonder grote CRL's of netwerkcondities.

De volgende instellingen zijn beschikbaar:

  • Altijd voorkeur voor CRL's (Certificaatintrekkingslijsten) boven OCSP-antwoorden (Online Certificate Status Protocol). Clients moeten normaal gesproken altijd de meest recente intrekkingsgegevens gebruiken die beschikbaar zijn, ongeacht of deze afkomstig zijn van een CRL of van een onlineresponder. Als deze optie is geselecteerd, wordt een intrekkingscontrole van een onlineresponder alleen gebruikt als er geen geldige CRL- of delta-CRL beschikbaar is.

  • CRL- en OCSP-antwoorden mogen langer geldig zijn dan hun levensduur. Het wordt normaal gesproken niet aanbevolen toe te staan dat CRL's en OCSP-antwoorden langer geldig zijn dan de opgegeven geldigheidsduur. Deze optie kan echter nodig zijn in situaties waarin clients gedurende langere tijd geen verbinding kunnen maken met een CRL-distributiepunt of een onlineresponder. Hoe lang een CRL of OCSP-antwoord nog kan worden gebruikt na het verstrijken van de geldigheidsduur, kan ook worden opgegeven onder deze beleidsinstelling.


Inhoudsopgave