Хранилища сертификатов
В операционной системе Windows 2000 цифровые сертификаты хранятся локально на компьютере, с которого они были запрошены, либо для конкретного пользователя, работающего за данным устройством. Место хранения сертификатов называется хранилищем сертификатов (certificate store). Хранилища обеспечивают централизованное управление сертификатами, их проверку и применение в системах безопасности.
Оснастка "Сертификаты"
Для управления сертификатами используется оснастка Сертификаты (Certificates) (Рис. 26.13). С её помощью можно просматривать сертификаты, импортировать и экспортировать их, а также публиковать в Active Directory. Сертификаты можно сортировать:
- По назначению (Purpose) – группировка сертификатов по их функциональности (например, для аутентификации сервера или электронной подписи).
- По логическим хранилищам (Logical Store) – группировка сертификатов по категориям и иерархической структуре хранения.
При сортировке сертификатов по логическим хранилищам можно также отобразить физические хранилища с указанием их структуры.
Рис. 26.13. Окно оснастки Сертификаты (Certificates)
Примечание:
Оснастка Сертификаты не включена в меню по умолчанию при установке системы. Для её запуска необходимо вручную создать инструмент консоли ММС. Подробную процедуру можно найти в разделе "Создание новой консоли"главы 6.
Операции с сертификатами
Пользователь или администратор при наличии соответствующих прав может выполнять следующие действия:
- Импорт и экспорт сертификатов – перенос сертификатов между различными устройствами и сервисами.
- Экспорт сертификата с закрытым ключом – если связанный с сертификатом личный ключ доступен для экспорта, можно сохранить его в файле формата PKCS #12.
- Публикация сертификатов в Active Directory – сертификаты, опубликованные в каталоге, могут быть извлечены другими пользователями или службами.
- Поиск сертификатов – команда Поиск сертификатов (Find Certificates) позволяет находить сертификаты в хранилищах по различным параметрам, например, по имени владельца или центру сертификации.
Структура хранилищ сертификатов
Таблица 26.2. Папки хранилища сертификатов
Сортировка по | Папка | Содержит |
Логическим хранилищам | Личные (Personal) | Сертификаты, связанные с закрытыми ключами пользователя. |
Доверенные корневые центры сертификации (Trusted Root Certification Authorities) | Сертификаты корневых центров сертификации, которым доверяет система. | |
Доверительные отношения в предприятии (Enterprise Trust) | Списки доверительных отношений (certificate trust list) для работы с внешними организациями. | |
Промежуточные центры сертификации (Intermediate Certification Authorities) | Сертификаты, выданные для других пользователей и центров сертификации. | |
Объект пользователя Active Directory (Active Directory User Object) | Сертификаты, связанные с пользователем, опубликованные в Active Directory. | |
REQUEST | Запросы сертификатов и отклонённые сертификаты. | |
Назначению (основные группы) | Проверка подлинности сервера (Server Authentication) | Сертификаты для аутентификации серверов при взаимодействии с клиентами. |
Проверка подлинности клиента (Client Authentication) | Сертификаты для аутентификации клиентов при подключении к серверам. | |
Подписывание кода (Code Signing) | Сертификаты для подписи программного кода и скриптов. | |
Защищённая электронная почта (Secure Email) | Сертификаты для цифровой подписи и шифрования электронных сообщений. | |
Шифрованная файловая система (Encrypting File System, EFS) | Сертификаты для шифрования файлов и защиты данных. | |
Восстановление файлов (File Recovery) | Сертификаты, используемые для восстановления зашифрованных данных. |
Заключение
Хранилища сертификатов в Windows 2000 обеспечивают надёжное хранение цифровых сертификатов, управление ими и применение для различных целей – от проверки подлинности серверов до шифрования файлов. Оснастка Сертификаты позволяет эффективно управлять сертификатами, публиковать их в Active Directory и осуществлять поиск нужных записей.