De olika komponenterna i Active Directory Rights Management Services (AD RMS) har betrodda anslutningar som implementeras med en uppsättning certifikat. Upprätthållandet av giltigheten för dessa certifikat är en kärnfunktion i AD RMS-teknologi. Varje del av rättighetsskyddat innehåll publiceras med en licens som uttrycker dess användningsregler och varje konsument av det innehållet får en unik licens som läser, tolkar och upprätthåller de användningsreglerna. I detta sammanhang är en licens en viss typ av certifikat.

AD RMS använder XML-termer för att uttrycka användningsrättigheter för rättighetsskyddat innehåll som kallas XrML (eXtensible rights Markup Language).

De certifikat och licenser som används av AD RMS är sammankopplade i en hierarki så att AD RMS-klienten alltid kan följa en kedja från ett visst certifikat eller en viss licens genom betrodda certifikat, upp till ett betrott nyckelpar.

Följande tabell visar de certifikat och licenser som används av AD RMS:

Certifikat eller licens Syfte Innehåll

Serverlicensgivarcertifikat

Serverlicensgivarcertifikatet skapas när AD RMS-serverrollen installeras och konfigureras på den första servern i klustret. Det genererar ett unikt serverlicensgivarcertifikat för sig själv som etablerar dess identitet, som kallas för självregistrering, och har en giltighetstid på 250 år. Detta aktiverar arkivering av rättighetsskyddade data under en längre tidsperiod. Ett rotkluster hanterar både certifiering, genom att utfärda en rights account certificate (RAC), och licensiering av rättighetsskyddat innehåll. Andra servrar som lagts till i rotklustret delar ett serverlicensgivarcertifikat. I komplexa miljöer går det bara att distribuera licenskluster som genererar sitt eget serverlicensgivarcertifikat.

Serverlicensgivarcertifikatet innehåller serverns offentliga nyckel.

Klientlicensgivarcertifikat

Klientlicensgivarcertifikatet skapas av AD RMS-klustret som svar på en begäran från klientprogrammet. Klientlicensgivarcertifikat skickas till klienten medan den är anslutet till organisationens nätverk och beviljar användaren rättigheten att publicera rättighetsskyddat innehåll när klienten inte är ansluten. Klientlicensgivarcertifikatet är knutet till RAC för användaren så att om RAC inte är giltig eller inte finns med så kan användaren inte nå AD RMS-klustret.

Klientlicensgivarcertifikatet innehåller den offentliga nyckeln för klientlicensgivaren, tillsammans med den privata nyckeln för klientlicensgivaren som krypteras av den offentliga nyckeln som tillhör den användare som begärde certifikatet. Det innehåller också den offentliga nyckeln för det kluster som utfärdade certifikatet som signeras av den privata nyckeln för det kluster som utfärdade certifikatet. Klientlicensgivarens privata nyckel används för att signera publiceringslicenser.

Datorcertifikat

Datorcertifikatet skapas på klientdatorn den första gången ett AD RMS-aktiverat program används. AD RMS-klienten i Windows Vista och Windows 7 aktiveras och registreras automatiskt med rotklustret för att skapa det här certifikatet på klientdatorn. Det här certifikatet identifierar en säker databas på en dator eller enhet som är korrelerad med inloggad användarprofil.

Datorcertifikatet innehåller den aktiverade datorns offentliga nyckel. Den motsvarande privata nyckeln finns i den datorns säkra databas.

Rights account certificate (RAC)

RAC etablerade en användares identitet i AD RMS-systemet. Den skapas av AD RMS-rotklustret och ges till användaren när han eller hon försöker öppna rättighetsskyddat innehåll för första gången.

Standard-RAC identifierar en användare enligt kontoautentiseringsuppgifter när det gäller en specifik dator eller enhet och har en giltighetstid som mäts i antal dagar. Standardgiltighetstid för en standard-RAC är 365 dagar.

En temporär RAC identifierar en användare endast baserat på kontoautentiseringsuppgifter och har en giltighetstid som mäts i antal minuter. Standardgiltighetstid för en temporär RAC är 15 minuter.

RAC innehåller användarens offentliga nyckel och den privata nyckeln för användaren krypterad med den offentliga nyckeln för den aktiverade datorn.

Publiceringslicens

Publiceringslicensen skapas av klienten när innehållet sparas med rättighetsskydd. Den anger att användare som kan öppna det rättighetsskyddade innehållet, då innehållet kan öppnas av användaren, och de rättigheter som varje användare kommer att ha till det rättighetsskyddade innehållet.

Publiceringslicensen innehåller den symmetriska innehållsnyckeln för dekryptering av innehållet som krypteras med den offentliga nyckeln för den server som utfärdade licensen.

Användningslicens

Användningslicensen anger de rättigheter som gäller det rättighetsskyddade innehållet när det gäller en specifik autentiserad användare. Den här licensen är kopplad till RAC. Om RAC inte är giltig eller inte finns med går det inte att använda användningslicensen för att öppna innehållet.

Användningslicensen innehåller den symmetriska innehållsnyckeln för dekryptering av innehållet som krypteras med användarens offentliga nyckel.

Ytterligare referenser

Innehåll