Центры сертификации

Центр сертификации (также встречается термин поставщик сертификатов, Certification Authority, CA) – это доверенная служба, отвечающая за выпуск цифровых сертификатов. Центр сертификации подтверждает подлинность пользователя или организации, проверяя их соответствие установленной политике безопасности перед выдачей сертификата.

Функции центра сертификации

Центр сертификации выполняет ряд критически важных функций:

Большинство современных цифровых сертификатов построены на стандарте X.509, который применяется в инфраструктуре открытых ключей (PKI) Windows 2000.

Доверие к центру сертификации

Выбор центра сертификации основан на принципе доверия (trust). Доверие к CA означает, что пользователи и системы полагаются на соблюдение центром сертификации строгих правил:

Центр сертификации может быть:

Иерархия центров сертификации

Центры сертификации могут быть организованы в иерархическую структуру (certificate hierarchy), состоящую из:

Такая структура позволяет централизованно управлять сертификатами, минимизируя риски компрометации корневого центра.

Доверие к центру сертификации в Windows 2000

В Windows 2000 доверие к CA устанавливается при наличии:

Если в организации используется Active Directory, доверие к внутренним центрам сертификации устанавливается автоматически на основе настроек администратора.

Структура цифрового сертификата

Сертификат подтверждает подлинность пользователя или сервера и обычно содержит:

Политика обновления и отзыва сертификатов

Сертификаты имеют ограниченный срок действия. По истечении срока их необходимо продлевать. Центры сертификации используют политику автоматического продления или требуют от пользователей повторного запроса.

Отозванные сертификаты публикуются в списке отозванных сертификатов (CRL), который доступен для проверки системами аутентификации.

Типы центров сертификации в Windows 2000

Windows 2000 Server поддерживает два типа центров сертификации:

Выбор центра сертификации

Выбор CA зависит от масштабов организации:

Таким образом, центры сертификации являются неотъемлемой частью инфраструктуры открытых ключей (PKI) и играют ключевую роль в обеспечении безопасности данных.