De verschillende onderdelen van Active Directory Rights Management Services (AD RMS) hebben vertrouwde verbindingen die worden geïmplementeerd met behulp van een set certificaten. Het afdwingen van de validiteit van deze certificaten is een kernfunctie van de AD RMS-technologie. Alle met rechten beveiligde inhoud wordt gepubliceerd met een licentie waarin de gebruiksregels van de bijbehorende inhoud zijn vastgelegd. Iedereen die gebruikmaakt van deze inhoud, ontvangt een unieke licentie die deze gebruiksregels leest, interpreteert en toepast. In die zin is een licentie een soort certificaat.
Voor het uitdrukken van gebruiksrechten voor met rechten beveiligde inhoud maakt AD RMS gebruik van een XML-vocabulaire, genaamd XrML (eXtensible rights Markup Language).
De door AD RMS gebruikte certificaten en licenties zijn hiërarchisch met elkaar verbonden, zodat de AD RMS-client altijd een keten kan volgen, beginnend bij een certificaat of een licentie, zijn weg vindt naar vertrouwde certificaten en tenslotte uitkomt bij een vertrouwd sleutelpaar.
De volgende tabel bevat een overzicht van de door AD RMS gebruikte certificaten en licenties:
| Certificaat of licentie | Doel | Inhoud |
|---|---|---|
|
Serverlicentiecertificaat (SLC) |
Het SLC wordt gemaakt als de AD RMS-serverrol is geïnstalleerd en geconfigureerd op de eerste server in het cluster. Er wordt een uniek SLC voor de server gegenereerd dat de identiteit bepaalt. De geldigheidsduur is een periode van 250 jaar. Hierdoor wordt het mogelijk met rechten beveiligde gegevens te archiveren gedurende een lange periode. Een basiscluster handelt zowel de certificering af (door het uitgeven van een Rights Account Certificate (RAC)) als de licentiëring van met rechten beveiligde inhoud. Andere servers die worden toegevoegd aan het basiscluster delen een SLC. In complexe omgevingen kunnen licentieverleningsclusters worden geïmplementeerd, die hun eigen SLC genereren. |
Het SLC bevat de openbare sleutel van de server. |
|
Clientlicentieverleningscertificaat (CLC) |
Als antwoord op een aanvraag van de clienttoepassing, wordt door het AD RMS-cluster een CLC gemaakt. Het CLC wordt naar de client verzonden als deze verbinding heeft met het netwerk van de organisatie. Het CLC verleent de gebruiker het recht met rechten beveiligde inhoud te publiceren zonder dat de client verbinding met het netwerk heeft. Het CLC is gerelateerd aan het RAC van de gebruiker. Als het RAC dus afwezig is of ongeldig, heeft de gebruiker geen toegang tot het AD RMS-cluster. |
Het CLC bevat de openbare sleutel voor de clientlicentie, en de persoonlijke sleutel voor de clientlicentie die is versleuteld door de openbare sleutel van de gebruiker die het certificaat heeft aangevraagd. Daarnaast bevat het de openbare sleutel van het cluster dat het certificaat heeft uitgegeven, ondertekend met de persoonlijke sleutel van het cluster dat het certificaat heeft uitgegeven. De persoonlijke sleutel voor de clientlicentie wordt gebruikt voor het ondertekenen van uitgiftelicenties. |
|
Machinecertificaat |
De eerste keer dat er een AD RMS-toepassing wordt gebruikt, wordt het machinecertificaat gemaakt op de clientcomputer. De AD RMS-client in Windows Vista en Windows 7 wordt automatisch geactiveerd en schrijft zich automatisch in bij het basiscluster om dit certificaat te maken op de clientcomputer. Dit certificaat identificeert een lockbox op een computer of apparaat die gerelateerd is aan het profiel van de aangemelde gebruiker. |
Het machinecertificaat bevat de openbare sleutel van de geactiveerde computer. De bijbehorende persoonlijke sleutel bevindt zich in de lockbox van deze computer. |
|
RAC (Rights Account-certificaat) |
Het RAC heeft de identiteit van een gebruiker ingesteld op het AD RMS-systeem. Het is gemaakt door het AD RMS-basiscluster en wordt aan de gebruiker geleverd op het moment dat deze voor de eerste keer probeert met rechten beveiligde inhoud te openen. Een standaard-RAC identificeert een gebruiker aan de hand accountreferenties voor een specifieke computer of een specifiek apparaat, en heeft een in dagen uitgedrukte geldigheidsduur. De standaardgeldigheidsduur voor een standaard-RAC is 365 dagen. Een tijdelijk RAC identificeert een gebruiker uitsluitend op basis van accountreferenties en heeft een in minuten uitgedrukte geldigheidsduur. De standaardgeldigheidsduur voor een tijdelijk RAC is 15 minuten. |
Het RAC bevat de openbare sleutel van de gebruiker en de persoonlijke sleutel van de gebruiker die is versleuteld met de openbare sleutel van de geactiveerde computer. |
|
Uitgiftelicentie |
De uitgiftelicentie wordt gemaakt door de client als er met rechten beveiligde inhoud wordt opgeslagen. In de uitgiftelicentie is vastgelegd welke gebruikers de met rechten beveiligde inhoud kunnen openen, onder welke voorwaarden de inhoud mag worden geopend door een gebruiker en de rechten die elke gebruiker heeft voor de met rechten beveiligde inhoud. |
De uitgiftelicentie bevat de symmetrische sleutel voor het ontsleutelen van inhoud die is versleuteld met de openbare sleutel van de server die de licentie heeft uitgegeven. |
|
Gebruikslicentie |
De gebruikslicentie bepaalt voor één geverifieerde gebruiker de rechten die van toepassing zijn op de met rechten beveiligde inhoud. Deze licentie is gerelateerd aan het RAC. Als het RAC ongeldig is of afwezig, kan de gebruikslicentie niet worden gebruikt voor het openen van de inhoud. |
De gebruikslicentie bevat de symmetrische sleutel voor het ontsleutelen van inhoud die is versleuteld met de openbare sleutel van de gebruiker. |