Met op rollen gebaseerd beheer kunt u CA-beheerders (Certification Authority) organiseren in aparte, vooraf gedefinieerde CA-rollen, elk met hun eigen reeks taken. Rollen worden toegewezen via de beveiligingsinstellingen van iedere gebruiker. U wijst een rol aan een gebruiker toe door de specifieke beveiligingsinstellingen van die rol aan de gebruiker toe te wijzen. Een gebruiker met één type machtiging, zoals de machtiging CA beheren, kan specifieke CA-taken uitvoeren die een gebruiker met een ander type machtiging, zoals Certificaten verlenen en beheren, niet kan uitvoeren.
In de volgende tabel worden de rollen, gebruikers en groepen beschreven die kunnen worden gebruikt om op rollen gebaseerd beheer te implementeren. Als u een rol aan een gebruiker of groep wilt toewijzen, moet u de bijbehorende beveiligingsmachtigingen, groepslidmaatschappen of gebruikersrechten aan de gebruiker of groep toewijzen. Deze machtigingen, lidmaatschappen en rechten worden gebruikt om te onderscheiden welke gebruikers welke rol hebben.
Rollen en groepen | Beveiligingsmachtiging | Beschrijving |
---|---|---|
CA-administrator |
CA beheren |
De CA configureren en onderhouden. Dit is een CA-rol die alle andere CA-rollen kan toewijzen en het CA-certificaat kan vernieuwen. Deze machtigingen worden toegewezen via de module Certificeringsinstantie. |
Certificaatbeheer |
Certificaten verlenen en beheren |
Verzoeken voor het inschrijven en intrekken van certificaten goedkeuren. Dit is een CA-rol, die soms ook CA-officer wordt genoemd. Deze machtigingen worden toegewezen via de module Certificeringsinstantie. |
Back-upoperator |
Back-upbestand en -mappen Bestand en mappen terugzetten |
Systeemback-up en -herstel uitvoeren. Back-up is een functie van het besturingssysteem. |
Auditor |
Controle- en beveiligingslogboek beheren |
Controlelogboeken configureren, weergeven en onderhouden. Controle is een functie van het besturingssysteem. Auditor is een rol van het besturingssysteem. |
Personen die zich inschrijven |
Lezen Inschrijven |
Personen die zich inschrijven, zijn clients die zijn gemachtigd om certificaten bij een certificeringsinstantie aan te vragen. Dit is geen CA-rol. |
Alle CA-rollen worden toegewezen en gewijzigd door leden van lokale Administrators, Ondernemingsadministrators of Domeinadministrators. Op CA's voor ondernemingen zijn lokale administrators, ondernemingsadministrators en domeinadministrators standaard CA-administrators. Op zelfstandige CA's zijn alleen lokale administrators standaard CA-administrators. Als er een zelfstandige CA is geïnstalleerd op een server die lid is van een Active Directory-domein, zijn domeinadministrators ook CA-administrators.
De rollen CA-administrator en certificaatbeheerder kunnen worden toegewezen aan Active Directory-gebruikers of lokale gebruikers in de SAM (Security Accounts Manager) van de lokale computer, die de lokale database van het beveiligingsaccount vormt. U kunt rollen het beste aan groepsaccounts in plaats van aan individuele gebruikersaccounts toewijzen.
Alleen CA-administrator, certificaatbeheerder, auditor en back-upoperator zijn CA-rollen. De andere gebruikers die in de tabel worden beschreven, zijn relevant voor op rollen gebaseerd beheer. Inzicht in deze rollen is vereist voordat ze worden toegewezen.
Alleen CA-administrators en certificaatbeheerders worden toegewezen met behulp van de module Certificeringsinstantie. Als u de machtigingen van een gebruiker of groep wilt wijzigen, moet u de beveiligingsmachtigingen, het groepslidmaatschap of de gebruikersrechten van de gebruiker wijzigen.
Beveiligingsmachtigingen voor CA-administrators en certificaatbeheerders voor een CA instellen |
Open de module Certificeringsinstantie.
Klik op de naam van de CA in de consolestructuur.
Klik op Eigenschappen in het menu Actie.
Klik op het tabblad Beveiliging en geef de beveiligingsmachtigingen op.
Rollen en activiteiten
Bij elke CA-rol hoort een lijst met specifieke CA-beheerderstaken. In de volgende tabel worden alle CA-beheerderstaken weergegeven, evenals de rollen waarin ze worden uitgevoerd.
Activiteit | CA-administrator | Certificaatbeheer | Auditor | Back-upoperator | Lokale administrator | Opmerkingen |
---|---|---|---|---|---|---|
CA's installeren |
|
|
|
|
X |
|
Beleidsinstellingen configureren en modules afsluiten |
X |
|
|
|
|
|
De AD CS-service (Active Directory Certificate Services) stoppen en starten |
X |
|
|
|
|
|
Uitbreidingen configureren |
X |
|
|
|
|
|
Rollen configureren |
X |
|
|
|
|
|
CA-sleutels vernieuwen |
|
|
|
|
X |
|
Sleutelherstelagenten definiëren |
X |
|
|
|
|
|
Beperkingen voor certificaatbeheer configureren |
X |
|
|
|
|
|
Eén rij in de CA-database verwijderen |
X |
|
|
|
|
|
Meerdere rijen in de CA-database verwijderen (bulkverwijdering) |
X |
X |
|
|
|
De gebruiker moet CA-administrator en certificaatbeheerder zijn. Deze activiteit kan niet worden uitgevoerd wanneer rolscheiding wordt afgedwongen. |
Rolscheiding activeren |
|
|
|
|
X |
|
Certificaten verlenen en goedkeuren |
|
X |
|
|
|
|
Certificaten weigeren |
|
X |
|
|
|
|
Certificaten intrekken |
|
X |
|
|
|
|
'On hold'-certificaten reactiveren |
|
X |
|
|
|
|
Certificaten vernieuwen |
|
X |
|
|
|
|
CRL-schema's (certificaatintrekkingslijsten) activeren, publiceren of configureren |
X |
|
|
|
|
|
Gearchiveerde sleutels herstellen |
|
X |
|
|
|
Alleen certificaatbeheerders kunnen de versleutelde sleutelgegevensstructuur uit de CA-database ophalen. De persoonlijke sleutel van een geldige sleutelherstelagent is vereist om de sleutelgegevensstructuur te ontsleutelen en een PKCS #12-bestand te genereren. |
Controleparameters configureren |
|
|
X |
|
|
De lokale administrator heeft standaard het gebruikersrecht systeemcontrole. |
Controlelogboeken |
|
|
X |
|
|
De lokale administrator heeft standaard het gebruikersrecht systeemcontrole. |
Een back-up van het systeem maken |
|
|
|
X |
|
De lokale administrator heeft standaard het gebruikersrecht systeemback-up. |
Het systeem terugzetten |
|
|
|
X |
|
De lokale administrator heeft standaard het gebruikersrecht systeemback-up. |
De CA-database lezen |
X |
X |
X |
X |
|
De lokale administrator heeft standaard de gebruikersrechten systeemcontrole en systeemback-up. |
CA-configuratiegegevens lezen |
X |
X |
X |
X |
|
De lokale administrator heeft standaard de gebruikersrechten systeemcontrole en systeemback-up. |
Aanvullende overwegingen
-
Personen die zich inschrijven, kunnen CA-eigenschappen en CRL's lezen, en certificaten aanvragen. Op een CA voor een onderneming moet een gebruiker machtigingen voor Lezen en Inschrijven op de certificaatsjabloon hebben om een certificaat te kunnen aanvragen. CA-administrators, certificaatbeheerders, auditors en back-upoperators hebben impliciete leesmachtigingen.
-
Een auditor heeft het gebruikersrecht systeemcontrole.
-
Een back-upoperator heeft het gebruikersrecht systeemback-up. Bovendien kan de back-upoperator de AD CS-service (Active Directory Certificate Services) starten en stoppen.
Rollen toewijzen
De CA-administrator wijst gebruikers aan de afzonderlijke rollen van op rol gebaseerd beheer toe door de beveiligingsinstellingen die door een rol zijn vereist, op het gebruikersaccount toe te passen. De CA-administrator kan een gebruiker aan meer dan een rol toewijzen, maar de CA is veiliger als iedere gebruiker slechts een rol krijgt toegewezen. Dankzij deze delegatiestrategie lopen minder CA-taken gevaar als een gebruikersaccount gevaar loopt.
Administratorzaken
Bij de standaard installatie-instelling voor een zelfstandige CA zijn de CA-administrators leden van de lokale groep Administrators. Bij de standaard installatie-instelling voor een ondernemings-CA zijn de CA-administrators leden van de lokale groepen Administrators, Ondernemingsadministrators en Domeinadministrators. Als u het vermogen van deze accounts wilt beperken, moet u ze uit de rollen CA-administrator en certificaatbeheerder verwijderen wanneer alle CA-rollen worden toegewezen.
Groepsaccounts waaraan de rollen CA-administrator of certificaatbeheerder zijn toegewezen, kunnen beter geen leden van de lokale lokale groep Administrators zijn. CA-rollen moeten ook alleen aan groepsaccounts worden toegewezen, en niet aan afzonderlijke gebruikersaccounts.
Opmerking | |
Lidmaatschap van de lokale groep Administrators op de CA is vereist om een CA-certificaat te kunnen vernieuwen. Leden van deze groep kunnen beheerautoriteit over alle andere CA-rollen overnemen. |