Gestionarea certificatelor de utilizator, certificate - caracteristici de securitate Windows Server 2018
Utilizatorii pot interoga, de export, certificate de import care servesc EFS pentru a identifica utilizatorii, și să gestioneze. Această caracteristică este destinat utilizatorilor avansați care doresc să aibă propriul lor instrument de gestionare a certificatului. utilizatorii nu au de obicei pentru a gestiona certificatele, deoarece EFS genereaza automat o pereche de chei pentru ei, la prima referire la ea - .. care este, atunci când încercați să cripta un fișier sau director (în acest caz, o cheie publică certificată de o autoritate de certificare, iar dacă nu este disponibil, EFS ea semnează cheia publică).
Cele de mai sus este ușor pentru a vedea dacă sistemul după instalare rulare Certificate snap-in, și descoperi nodul (folderul) Personal: acest nod va fi gol. Dacă apoi cripta un fișier sau un dosar și pentru a reveni la certificatele de completare snap-in, puteți vedea că în dosarul personal a apărut certificat emis de către utilizatorul curent. certificat de management, de import și de export utilizează certificatele de meniu contextual snap-in (a se vedea Sec., de asemenea, de mai jos. "certificate de import pentru export"). Utilizatorii pot administra numai propriile lor certificate.
Recuperarea fișierelor criptate pe un alt calculator
Uneori trebuie să recuperați informațiile criptate nu este pe computerul pe care a fost arhivată. Acest lucru se poate face folosind utilitarul Backup, care stochează informațiile într-o formă criptată, împreună cu atributul de criptare. Cu toate acestea, trebuie să aibă grijă de transferul către noul certificat de calculator și cheia privată corespunzătoare a utilizatorului sau prin utilizarea unui profil de roaming, sau manual. Pe orice computer în cazul în care un utilizator înregistrat cu un profil de roaming, se vor aplica aceleași chei de criptare. prin transfer manuală a unei chei private și certificatul se face în două etape: în primul rând, trebuie să creați o copie de rezervă a certificatului și a cheii private (certificatul și cheia privată ar trebui să fie exportate într-un fișier cu PFX extensia), iar apoi să restaurați copia creată pe un alt calculator. (Această procedură este utilă doar pentru computerele care nu sunt asociate unui domeniu. Într-un domeniu, puteți utiliza procedura descrisă mai sus în sec. „Cripteze pentru partajare.“) Ca urmare a acestei proceduri, utilizatorul curent (care a importat certificatul) vor avea posibilitatea de a lucra cu criptate date pe acest computer.
În rețele deschise, cum ar fi internetul, informații pot cădea în mâinile utilizatorilor, ale căror intenții sunt necunoscute. Informația a fost de mică valoare, are nevoie și de siguranță. Cu toate acestea, în cazul în care informațiile sunt valoroase sau confidențiale, trebuie să ia măsuri de securitate adecvate pentru a le proteja.
Utilizarea certificatelor de siguranță
Certificatele pot fi utilizate pentru o varietate de probleme de securitate.
· Criptare (criptare). Acesta oferă acces la informații numai pentru utilizatorul căruia îi este destinat.
· Semnături digitale (semnături digitale). Asigurarea integrității datelor și autenticitatea.
Autentificarea este necesar să se asigure secretul schimbului de date. Utilizatorii trebuie să poată autentifica și verifica identitatea altor utilizatori cu care comunică. Un certificat digital este un mijloc comun de identificare.
Certificatele sunt utilizate pentru a oferi autentificare în următoarele cazuri:
· Autentificarea utilizatorului pentru site-ul securizat de Protocoale de securitate TLS (Transport Layer) sau Secure Sockets Layer (SSL);
· Autentificarea serverului pentru utilizator prin TLS.
Pentru a asigura confidențialitatea de transmitere a datelor în rețele neprotejate sau rețele private locale utilizate de criptare cu un secret, sau închise, cheia (criptare cheie secretă). Certificatele asigură confidențialitatea datelor transmise folosind o varietate de metode. Procesul-verbal al cel mai larg utilizat pentru a asigura confidențialitatea:
· Secure Multipurpose Internet Mail Extensions (S / MIME);
· Transport Layer Security (TLS);
· IP Security (IPSec).
Ai încredere CA este instalat cu o copie a certificatului rădăcină în magazin rădăcină de încredere al CAs, precum și calea reală a certificatului. Acest lucru înseamnă că nici unul dintre ierarhia certificatelor (certificate de trecere) nu a fost revocat și nu a expirat valabilitatea.
Dacă organizația dvs. utilizează Active Directory, apoi încredere în CAs organizația dvs. este setat automat pe baza deciziilor și setările făcute de administratorul de sistem.
· Cheia publică (cheia publică) al titularului certificatului;
· Identitatea titularului certificatului;
· Perioada certificatului;
· Informații privind autoritatea de certificare;
· Semnătura digitală (semnătură digitală).
Toate certificatele au o dată de expirare. Start și data de încheiere a perioadei de valabilitate a certificatului specificate în certificat. Pentru fiecare set de politici de reînnoire certificat CA expirat.
· Enterprise CA (autoritate de certificare pentru întreprindere). Necesită disponibilitate Active Directory. Acesta utilizează informațiile disponibile în Active Directory, pentru verificarea identității certificatului solicitant. Publică listele de certificate revocate în Active Directory, precum și în dosarul public;
· Izolat autoritate (independent) de certificare (autoritate de certificare independent). El este dependent de Active Directory. În mod implicit, utilizatorii pot solicita certificate de la acest centru, numai de pagini web. CA Alone publică listele de revocare a certificatelor într-un dosar public sau în Active Directory (în cazul în care serviciul director este disponibil).
Utilizarea certificatelor Internet
Sistemul de operare menține certificate la nivel local pe computerul de la care se solicită un certificat pentru computer sau pentru utilizator să lucreze pentru computer. Locația de stocare este numit depozitul de certificate de certificate (depozit de certificate).
Certificatele de completare snap-in nu există în interfața cu utilizatorul sistemului, deci trebuie să fie conectat manual la consola MMC. Procedura de creare a instrumentului MSK descris în Sec. „Crearea unei noi consolă,“ Capitolul 6, „Instrumente de sistem“.
Figura 10. Certificatele de completare snap-in fereastra
Tabelul 1. Lista de depozit de certificate dosare cu o scurtă descriere
Certificatele asociate cu perechi de chei care cripta și decripta cheia simetrică utilizată pentru a restaura datele criptate
Cu drepturi corespunzătoare, puteți importa sau exporta certificate din orice dosar din depozitul de certificate. În cazul în care cheia privată asociată cu certificatul este disponibil pentru export, aveți posibilitatea să exportați certificatul și cheia privată într-un fișier care corespunde standardului PKCS # 12.
Certificatele de completare snap-in vă permite să publice certificate emise pentru Active Directory. Publicarea certificatului în Active Directory permite tuturor grupurilor care au permisiunile necesare pentru a recupera certificatul după cum este necesar.
Echipa Găsiți Certificate (Certificat de cautare) (meniul contextual sau din meniul Acțiune (Acțiune)) ajută să găsiți certificatele eliberate în depozitul de certificate. Puteți căuta o anumită locație sau în toate magazinele și pentru a limita căutarea pe baza unei anumite informații certificat, de exemplu, pentru a căuta certificatele emise de către anumite autorități de certificare.
Pentru a solicita un certificat într-o Certificate anticipate:
1. Deschideți Certificatele de completare snap-in fereastra.
2. panoul Schiță (panoul din stânga), deschideți site-ul: Certificate utilizator | Utilizator curent (Certificate | utilizatorul curent), de calculator - Certificate | Nume calculator (Certificate (Local Computer)).
4. În meniul Acțiune (Acțiune), selectați Toate sarcinile | Cerere de Certificat (Toate sarcinile | Solicitați un nou certificat).
5. În expertul Expertul certificat Cerere, selectați:
· Tipul (model) a certificatului;
· CA, care va emite certificatul (dacă aveți mai multe CA) (Dacă selectați Advanced (Avansat));
· CSP (furnizor de servicii criptografice, CSP) (dacă este selectată opțiunea Avansat).
6. Introduceți un nume prietenos pentru certificatul și descrierea acestuia.
7. După ce selectați și verificați toți parametrii, faceți clic pe Finish (Finalizare).
Importul și exportul de certificate
Când importați sau un certificat de export este copiat la magazin sau de la magazin. Importul sau exportul certificatului se efectuează în următoarele condiții:
· Instalarea certificatului, ați primit de la un alt utilizator (de import);
· Certificat de recuperare, care a fost păstrată ca rezervă (import);
· Crearea unei copii de rezervă a certificatului (de export);
Certificatele de transfer sunt disponibile în următoarele formate.
· Schimb de informații personale (Personal Information Exchange) (PKCS # 12)
PKCS # 12 este un format standard industrial utilizat pentru a transfera sau de rezervă și restaurare a certificatelor și a cheilor lor. Certificate în acest format pot fi transferate între produsele de unul sau diferiți producători, de exemplu, Microsoft si IBM. Pentru a utiliza un # 12 format de servicii criptografice PKCS (CSP) trebuie să ia în considerare certificatele și cheile sunt disponibile pentru export. Exportați cheia privată - o operațiune riscantă, deoarece cheia poate sesiza persoane neautorizate. Prin urmare, PKCS # 12 este singurul format care acceptă Microsoft pentru certificatele de export și cheile asociate lor private.
· Criptografică Mesaj Sintaxa standard (standard criptografic Mesaj Sintaxă) (PKCS # 7)
Acesta definește o sintaxă comună pentru date și face recomandări pentru criptarea, semnătura digitală și lanț de certificate. PKCS # 7 definește formatul exact în care datele sunt criptate sau sunt semnate, precum și modul în care se determină algoritmii de criptare. PKCS # 7 vă permite să transferați certificatul și toate certificatele din calea de certificare de la un calculator la altul sau de la un computer la o unitate detașabilă. nume de fișiere certificat au extensia R7.
· DER X.509 binar Codificat
Formatul poate utiliza autorități de certificare care nu sunt pe servere Windows. nume de fișiere certificat au ser extensia.
· X. 509 Codificat Base64
Acest format poate utiliza CA care nu sunt pe servere Windows - de exemplu, CA, utilizați software-ul de software Netscape. nume de fișiere certificat au ser extensia.