Poszczególne składniki aplikacji Usługi zarządzania prawami dostępu w usłudze Active Directory (AD RMS) mają zaufane połączenia, które są implementowane przez zestaw certyfikatów. Wymuszanie ważności tych certyfikatów to podstawowa funkcja technologii aplikacji Usługi AD RMS. Każdy element zawartości chronionej prawami jest publikowany z licencją, która określa reguły jego użytkowania, a każdy użytkownik tej zawartości otrzymuje unikatową licencję odczytującą, interpretującą i wymuszającą te reguły użytkowania. W tym kontekście licencja jest szczególnym typem certyfikatu.
Usługi AD RMS wyrażają prawa użytkowania zawartości chronionej prawami za pomocą słownictwa XML o nazwie eXtensible rights Markup Language (XrML).
Certyfikaty i licencje używane przez Usługi AD RMS są połączone w hierarchii, aby klient aplikacji Usługi AD RMS mógł zawsze przejść łańcuch od określonego certyfikatu lub licencji, przez certyfikaty zaufane, aż do pary zaufanych kluczy.
W poniższej tabeli wyszczególniono certyfikaty i licencje używane przez Usługi AD RMS:
Certyfikat lub licencja | Zastosowanie | Zawartość |
---|---|---|
Certyfikat licencjodawcy serwera (SLC) |
Certyfikat licencjodawcy serwera jest tworzony podczas instalowania i konfigurowania roli serwera aplikacji Usługi AD RMS na pierwszym serwerze w klastrze. Serwer generuje dla siebie unikatowy certyfikat licencjodawcy serwera, który ustanawia jego tożsamość, co jest nazywane samorejestrowaniem. Okres ważności tego certyfikatu wynosi 250 lat. To umożliwia archiwizowanie danych chronionych prawami przez długi okres. Główny klaster obsługuje zarówno certyfikację (wystawia Certyfikat kont praw dostępu (RAC)), jak i licencjonowanie zawartości chronionej prawami. Inne serwery dodane do głównego klastra współużytkują certyfikat licencjodawcy serwera (SLC). W złożonych środowiskach można wdrażać klastry przeznaczone tylko do licencjonowania, które generują własne certyfikaty licencjodawcy serwera (SLC). |
Certyfikat licencjodawcy serwera zawiera klucz publiczny serwera. |
Certyfikat licencjodawcy klienta (CLC) |
Certyfikat licencjodawcy klienta (CLC) jest tworzony przez klaster aplikacji Usługi AD RMS w odpowiedzi na żądanie z aplikacji klienta. Certyfikat licencjodawcy klienta (CLC) jest wysyłany do klienta, gdy klient ten jest połączony z siecią organizacji, i udziela użytkownikowi prawa do publikowania zawartości chronionej prawami, gdy klient nie jest połączony. Certyfikat licencjodawcy klienta (CLC) i Certyfikat RAC użytkownika są ze sobą powiązane, aby w sytuacji, gdy Certyfikat RAC jest nieważny lub go nie ma, użytkownik nie mógł uzyskać dostępu do klastra aplikacji Usługi AD RMS. |
Certyfikat licencjodawcy klienta (CLC) zawiera klucz publiczny licencjodawcy klienta oraz jego klucz prywatny, szyfrowany przez klucz publiczny użytkownika, który zażądał certyfikatu. Certyfikat ten zawiera też klucz publiczny klastra, który wystawił certyfikat. Jest on podpisany kluczem prywatnym klastra, który wystawił certyfikat. Klucz prywatny licencjodawcy klienta służy do podpisywania licencji publikowania. |
Certyfikat komputera |
Certyfikat komputera jest tworzony na komputerze klienckim podczas pierwszego użycia aplikacji obsługującej Usługi AD RMS. Klient aplikacji Usługi AD RMS w systemie Windows Vista i Windows 7 automatycznie uaktywnia się i rejestruje w głównym klastrze w celu utworzenia tego certyfikatu na komputerze klienckim. W certyfikacie tym jest zidentyfikowana skrytka na komputerze lub w urządzeniu skorelowanym z profilem zalogowanego użytkownika. |
Certyfikat komputera zawiera klucz publiczny aktywowanego komputera. Odpowiadający mu klucz prywatny znajduje się w skrytce tego komputera. |
Certyfikat konta praw (RAC) |
Certyfikat RAC ustanawia tożsamość użytkownika w systemie aplikacji Usługi AD RMS. Jest on tworzony przez główny klaster aplikacji Usługi AD RMS i udostępniany użytkownikowi podczas pierwszej próby otwarcia zawartości chronionej prawami. Standardowy Certyfikat RAC identyfikuje użytkownika według poświadczeń konta w kontekście określonego komputera lub urządzenia, a jego okres ważności jest wyrażony w dniach. Domyślnie standardowy Certyfikat RAC jest ważny przez 365 dni. Tymczasowy Certyfikat RAC identyfikuje użytkownika tylko na podstawie poświadczeń konta. Jego okres ważności jest wyrażony w minutach. Domyślnie tymczasowy Certyfikat RAC jest ważny przez 15 minut. |
Certyfikat RAC zawiera klucz publiczny użytkownika oraz jego klucz prywatny, zaszyfrowany za pomocą klucza publicznego aktywowanego komputera. |
Licencja publikowania |
Licencja publikowania jest tworzona przez klienta podczas zapisywania zawartości z ochroną praw. Określa ona użytkowników, którzy mogą otwierać zawartość chronioną prawami, warunki, pod którymi zawartość może zostać otwarta przez użytkownika, oraz prawa, które każdy użytkownik będzie mieć do zawartości chronionej prawami. |
Licencja publikowania zawiera symetryczny klucz zawartości do odszyfrowywania zawartości zaszyfrowanej za pomocą klucza publicznego serwera, który wystawił licencję. |
Licencja użytkowania |
Licencja użytkowania określa prawa mające zastosowanie do zawartości chronionej prawami w kontekście określonego uwierzytelnionego użytkownika. Ta licencja i Certyfikat RAC są ze sobą powiązane. Jeśli Certyfikat RAC jest nieważny lub go nie ma, za pomocą licencji użytkowania nie można otwierać zawartości. |
Licencja użytkowania zawiera symetryczny klucz zawartości do odszyfrowywania zawartości zaszyfrowanej za pomocą klucza publicznego użytkownika. |