Можно использовать групповую политику домена для управления следующими типами связанных с сертификатами действий в среде доменных служб Active Directory:
-
Перемещение учетных данных
-
автоматическая регистрация сертификатов;
-
Подтверждение пути сертификата
-
Распространение сертификатов
Перемещение учетных данных
Перемещение учетных данных служит для хранения сертификатов X.509, запросов на сертификаты и закрытых ключей, предназначенных для пользователей в доменных службах Active Directory, отдельно от профиля пользователя и для использования их на любом компьютере в сети.
Цифровые сертификаты и закрытые ключи содержат сравнительно небольшие объемы данных, которые должны храниться в безопасности. Политика перемещения учетных данных служит для управления использованием этих учетных данных на нескольких компьютерах с учетом требований безопасного хранения и ограничения размера цифровых сертификатов и закрытых ключей. В системах Windows Server 2008 R2 и Windows Server 2008 политика перемещения учетных данных включает хранимые имена пользователей и пароли, а также сертификаты и ключи.
Дополнительные сведения см. в разделе Разрешение перемещения учетных данных.
Дополнительные сведения о перемещении учетных данных и существенных отличиях в его реализации в операционных системах Windows Server 2008, Windows Server 2003, Windows Vista и Windows XP см. на странице, посвященной настройке и устранению неполадок, связанных с перемещением учетных данных клиента в службах сертификатов (
Автоматическая регистрация сертификатов
Во многих организациях используется групповая политика для автоматической регистрации сертификатов для пользователей, компьютеров или служб.
Дополнительные сведения см. в разделе Настройка автоматической регистрации сертификатов.
Подтверждение пути сертификата
Поскольку использование сертификатов как средства обеспечения безопасной связи и защиты данных постоянно растет, администраторы могут применять политики доверия сертификатов в целях оптимизации управления использованием сертификатов и повышения эффективности работы инфраструктуры открытого ключа с помощью параметров подтверждения пути сертификатов.
Параметры подтверждения пути сертификатов в групповой политике позволяют администраторам управлять хранилищами, доверенными издателями, получением по сети и проверкой отзывов.
Дополнительные сведения см. в разделе Управление подтверждением пути сертификата.
Распространение сертификатов
Возможности групповой политики по распространению сертификатов являются полезным средством управления в организации доверием, связанным с использованием сертификатов. С их помощью можно гарантировать, что определенные сертификаты являются доверенными, а также обеспечить практически полную автоматизацию построения цепочки сертификатов. Также можно блокировать использование сертификатов, которые невозможно отозвать напрямую, так как они были выданы внешним центром сертификации.
Дополнительные сведения см. в разделе Использование политики для передачи сертификатов.