Rozdział 7

Usługi certyfikatów

Rozwiązania natychmiastowe zobacz na stronie

Instalowanie jednostki certyfikującej (CA)

Zastosowanie stron internetowych usług certyfikatów

Instalowanie certyfikatów jednostek certyfikujących (CA certificates)

Żądanie certyfikatów zaawansowanych

Rejestrowanie (enrolling) za pomocą pliku żądania w standardzie PKCS #10

Konfigurowanie relacji zaufania pomiędzy domeną a zewnętrzną jednostką certyfikującą (E[Author ID1: at Wed Oct 4 13:37:00 2000 ]e[Author ID1: at Wed Oct 4 13:37:00 2000 ]xternal CA)

Instalowanie automatycznego żądania certyfikatów dla komputerów

Uruchamianie i zatrzymywanie usług certyfikatów

Wykonywanie kopii zapasowych i odtwarzanie U[Author ID1: at Wed Oct 4 13:37:00 2000 ]u[Author ID1: at Wed Oct 4 13:37:00 2000 ]sług certyfikatów (C[Author ID1: at Wed Oct 4 13:46:00 2000 ]c[Author ID1: at Wed Oct 4 13:46:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 13:46:00 2000 ]s[Author ID1: at Wed Oct 4 13:46:00 2000 ]ervices)

Wyświetlanie dziennika (log) i bazy danych usług certyfikatów (C[Author ID1: at Wed Oct 4 13:46:00 2000 ]c[Author ID1: at Wed Oct 4 13:46:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 13:46:00 2000 ]s[Author ID1: at Wed Oct 4 13:46:00 2000 ]ervices)

Odwoływanie (revoking) wydanych certyfikatów i publikowanie listy CRL

Konfigurowanie zasad i modułów zakończenia (exit modules) dla usług certyfikatów (c[Author ID1: at Wed Oct 4 13:46:00 2000 ]C[Author ID1: at Wed Oct 4 13:46:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 13:46:00 2000 ]s[Author ID1: at Wed Oct 4 13:46:00 2000 ]ervices)

W skrócie

Certyfikaty

Jak zostało [Author ID1: at Wed Oct 4 13:37:00 2000 ]opisane[Author ID1: at Wed Oct 4 13:37:00 2000 ]o to[Author ID1: at Wed Oct 4 13:37:00 2000 ] w poprzednim rozdziale, certyfikaty stanowią mechanizm do [Author ID1: at Wed Oct 4 13:38:00 2000 ]uzyskania zaufania w relacji pomiędzy kluczem publicznym (public key) a jednostką, która jest właścicielem odpowiadającego mu klucza prywatnego (private key)[Author ID1: at Wed Oct 4 13:38:00 2000 ]. Certyfikat jest to [Author ID1: at Wed Oct 4 13:38:00 2000 ]oświadczeniem[Author ID1: at Wed Oct 4 13:38:00 2000 ] opatrzonym[Author ID1: at Wed Oct 4 13:38:00 2000 ]e[Author ID1: at Wed Oct 4 13:38:00 2000 ] podpisem cyfrowym, [Author ID1: at Wed Oct 4 13:39:00 2000 ], [Author ID1: at Wed Oct 4 13:39:00 2000 ]dotyczy[Author ID1: at Wed Oct 4 13:39:00 2000 ]ące[Author ID1: at Wed Oct 4 13:39:00 2000 ] klucza publicznego konkretnego podmiotu certyfikowanego (subject public key) i jest podpisany przez wydawcę (issuer), który posiada inną parę kluczy prywatnych i publicznych. Zwykle [Author ID1: at Wed Oct 4 13:39:00 2000 ]Zazwyczaj [Author ID1: at Wed Oct 4 13:39:00 2000 ]certyfikaty zawierają również inne informacje związane z danym kluczem publicznym (publ[Author ID1: at Wed Oct 4 13:40:00 2000 ]ic key)[Author ID1: at Wed Oct 4 13:40:00 2000 ], takie jak dane o tożsamości jednostki, która ma dostęp do klucza prywatnego, [Author ID1: at Wed Oct 4 13:40:00 2000 ]odpowiadającego temu kluczowi klucza prywatnego[Author ID1: at Wed Oct 4 13:40:00 2000 ] (private key)[Author ID1: at Wed Oct 4 13:38:00 2000 ]. Tak więc wydając [Author ID1: at Wed Oct 4 13:40:00 2000 ]przekazując [Author ID1: at Wed Oct 4 13:40:00 2000 ]certyfikat, jego [Author ID1: at Wed Oct 4 13:40:00 2000 ]wydawca poświadcza ważność powiązania pomiędzy kluczem publicznym podmiotu certyfikowanego (subject public key) a danymi o jego tożsamości.

Jednostki certyfikujące (Certifcate a[Author ID1: at Wed Oct 4 13:41:00 2000 ]A[Author ID1: at Wed Oct 4 13:41:00 2000 ]uthorities)

Jednostka certyfikująca (Certifcate a[Author ID1: at Wed Oct 4 13:41:00 2000 ]A[Author ID1: at Wed Oct 4 13:41:00 2000 ]uthority [Author ID1: at Wed Oct 4 13:41:00 2000 ]-[Author ID1: at Wed Oct 4 13:41:00 2000 ]— [Author ID1: at Wed Oct 4 13:41:00 2000 ]CA) jest to instytucja lub usługa wydająca certyfikaty, która jest [Author ID1: at Wed Oct 4 13:41:00 2000 ]będąca [Author ID1: at Wed Oct 4 13:41:00 2000 ]poręczycielem powiązania pomiędzy danym kluczem publicznym a informacjami o tożsamości podmiotu certyfikowanego, zawartymi w tym [Author ID1: at Wed Oct 4 13:42:00 2000 ]certyfikacie wydanym przez daną jednostkę certyfikującą[Author ID1: at Wed Oct 4 13:42:00 2000 ]. Różne jednostki certyfikujące (CAs[Author ID1: at Wed Oct 4 13:42:00 2000 ]) mogą weryfikować te powiązania na różnorodny[Author ID1: at Wed Oct 4 13:42:00 2000 ]e [Author ID1: at Wed Oct 4 13:42:00 2000 ] [Author ID1: at Wed Oct 4 13:42:00 2000 ]sposób[Author ID1: at Wed Oct 4 13:42:00 2000 ],[Author ID1: at Wed Oct 4 13:43:00 2000 ]oby[Author ID1: at Wed Oct 4 13:42:00 2000 ] i[Author ID1: at Wed Oct 4 13:43:00 2000 ] dlatego ważne jest zrozumienie zasad i procedur danej jednostki certyfikującej[Author ID1: at Wed Oct 4 13:43:00 2000 ], zanim zostanie ona [Author ID1: at Wed Oct 4 13:43:00 2000 ]obdarzona zaufaniem w zakresie potwierdzania kluczy publicznych (public keys).

Usługi certyfikatów (C[Author ID1: at Wed Oct 4 13:47:00 2000 ]c[Author ID1: at Wed Oct 4 13:47:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 13:47:00 2000 ]S[Author ID1: at Wed Oct 4 13:47:00 2000 ]ervices) firmy Microsoft, które są częścią systemu Windows 2000 służą do ustanawiania jednostek certyfikujących (CA) [Author ID1: at Wed Oct 4 13:47:00 2000 ]dla danego przedsiębiorstwa. Usługi certyfikatów (Certificate Services) z[Author ID1: at Wed Oct 4 13:47:00 2000 ]Z[Author ID1: at Wed Oct 4 13:47:00 2000 ]awierają one [Author ID1: at Wed Oct 4 13:47:00 2000 ]moduł zasad domyślnych (default policy module) służący do wydawania certyfikatów jednostkom w danym przedsiębiorstwie (użytkownikom[Author ID1: at Wed Oct 4 13:47:00 2000 ]cy[Author ID1: at Wed Oct 4 13:47:00 2000 ], komputerom[Author ID1: at Wed Oct 4 13:47:00 2000 ]y[Author ID1: at Wed Oct 4 13:47:00 2000 ] lub usługi[Author ID1: at Wed Oct 4 13:47:00 2000 ]om[Author ID1: at Wed Oct 4 13:47:00 2000 ]). Obejmują one [Author ID1: at Wed Oct 4 13:47:00 2000 ]identyfikację jednostki żądającej certyfikatu oraz sprawdzanie, czy żądanie certyfikatu jest dozwolone przez zasady zabezpieczeń z kluczem publicznym (p[Author ID1: at Wed Oct 4 13:48:00 2000 ]P[Author ID1: at Wed Oct 4 13:48:00 2000 ]ublic K[Author ID1: at Wed Oct 4 13:48:00 2000 ]k[Author ID1: at Wed Oct 4 13:48:00 2000 ]ey security policy) danej domeny. Zasady te mogą być modyfikowane lub rozszerzone w ten sposób, aby uwzględniać inne zasady lub rozszerzyć zakres funkcji jednostki certyfikującej o obsługę różnych scenariuszy ekstranetowych lub internetowych.

W ramach Infrastruktury Klucza Publicznego (Public Key Infrastructure — [Author ID1: at Wed Oct 4 13:48:00 2000 ]PKI) systemu Windows 2000 można korzystać zarówno z firmowych,[Author ID1: at Wed Oct 4 13:48:00 2000 ] jak i zewnętrznych jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 13:49:00 2000 ]), związanych z innymi przedsiębiorstwami lub usługodawcami komercyjnymi. Umożliwia to dopasowanie się do wymagań danego przedsiębiorstwa.

Hierarchia certyfikatów

Na potrzeby Infrastruktury Klucza Publicznego (PKI) przyjęto hierarchiczny model jednostek certyfikujących (hierarchical CA model), który[Author ID1: at Wed Oct 4 13:49:00 2000 ]. Model ten[Author ID1: at Wed Oct 4 13:49:00 2000 ] został wybrany ze względu na możliwości rozbudowy (scalability), łatwość administrowania oraz zgodność z rosnącą liczbą komercyjnych i niezależnych (third-party) systemów jednostek certyfikujących (CA)[Author ID1: at Wed Oct 4 13:49:00 2000 ]. W najprostszej postaci hierarchia jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 13:49:00 2000 ]) składa się z pojedynczej jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 13:49:00 2000 ]. Zwykle jednak hierarchia zawiera wiele jednostek certyfikujących ze ściśle określonymi relacjami pomiędzy nimi, jak przedstawiono to na rysunku 7.1. Może istnieć wiele niezwiązanych ze sobą struktur hierarchicznych — jednostki certyfikujące nie muszą mieć wspólnej nadrzędnej jednostki certyfikującej (parent CA).

W ramach tego modelu certyfikaty wydane przez nadrzędną jednostkę certyfikującą, wiążące klucz publiczny jednostki certyfikującej z jego tożsamością (identity) i innymi atrybutami, określonymi przez zasady (policy), dotyczą jednostek potomnych. -->Jednostka[Author ID1: at Wed Oct 4 13:50:00 2000 ] -->certyfikująca[Author ID1: at Wed Oct 4 13:50:00 2000 ] (CA)[Author ID1: at Wed Oct 4 13:50:00 2000 ], która znajduje się najwyżej w hierarchii,[Author ID1: at Wed Oct 4 13:50:00 2000 ] określana jest jako główna jednostka certyfikująca (root CA). Podległe jej jednostki certyfikujące [Author ID1: at Wed Oct 4 13:50:00 2000 ](subordinate CAs) noszą nazwę pośrednich jednostek certyfikujących (intermediate CAs) lub jednostek wydających certyfikaty (issuing CA).

[Author ID1: at Wed Oct 4 13:51:00 2000 ]

Rysunek 7.1.[Author ID1: at Wed Oct 4 13:51:00 2000 ] Hierarchia jednostek certyfikujących.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID1: at Wed Oct 4 13:51:00 2000 ]

Zaletą tego modelu jest to, że weryfikacja certyfikatów wymaga istnienia relacji zaufania ze stosunkowo niewielką liczbą głównych jednostek certyfikujących (root CAs). Również liczba jednostek wydających certyfikaty (issuing CAs) może być również [Author ID1: at Wed Oct 4 13:51:00 2000 ]zmienna. Oto kilka powodów, dla których obsługuje się wiele jednostek wydających certyfikaty (issuing CAs)[Author ID1: at Wed Oct 4 13:51:00 2000 ]:

• U[Author ID1: at Wed Oct 4 13:51:00 2000 ]u[Author ID1: at Wed Oct 4 13:51:00 2000 ]żytkowanie (U[Author ID1: at Wed Oct 4 13:51:00 2000 ]u[Author ID1: at Wed Oct 4 13:51:00 2000 ]sage) — C[Author ID1: at Wed Oct 4 13:52:00 2000 ]c[Author ID1: at Wed Oct 4 13:52:00 2000 ]ertyfikaty mogą być wydawane w różnych celach: do [Author ID1: at Wed Oct 4 13:52:00 2000 ]zabezpieczania[Author ID1: at Wed Oct 4 13:52:00 2000 ]e[Author ID1: at Wed Oct 4 13:52:00 2000 ] poczty elektronicznej, uwierzytelniania[Author ID1: at Wed Oct 4 13:53:00 2000 ]e[Author ID1: at Wed Oct 4 13:53:00 2000 ] w sieci,[Author ID1: at Wed Oct 4 13:53:00 2000 ] itd. Zasady wydawania certyfikatów w każdym z powyższych przypadków mogą być [Author ID1: at Wed Oct 4 13:53:00 2000 ]odmienne,[Author ID1: at Wed Oct 4 13:53:00 2000 ] a rozdzielenie ich umożliwia jednoczesne [Author ID1: at Wed Oct 4 13:53:00 2000 ]administrowanie nimi,[Author ID1: at Wed Oct 4 13:53:00 2000 ].[Author ID1: at Wed Oct 4 13:53:00 2000 ]

• p[Author ID1: at Wed Oct 4 13:53:00 2000 ]P[Author ID1: at Wed Oct 4 13:53:00 2000 ]odziały organizacyjne (organizational divisions) — w[Author ID1: at Wed Oct 4 13:53:00 2000 ]W[Author ID1: at Wed Oct 4 13:53:00 2000 ] zależności od roli, jaką spełnia jednostka w danej organizacji,[Author ID1: at Wed Oct 4 13:53:00 2000 ]. M[Author ID1: at Wed Oct 4 13:53:00 2000 ] m[Author ID1: at Wed Oct 4 13:53:00 2000 ]ogą istnieć różne zasady wydawania certyfikatów. Wiele jednostek wydających certyfikaty (issuing CAs) [Author ID1: at Wed Oct 4 13:54:00 2000 ]pozwala na rozdzielenie i administrowanie tymi zasadami,[Author ID1: at Wed Oct 4 13:54:00 2000 ].[Author ID1: at Wed Oct 4 13:54:00 2000 ]

• p[Author ID1: at Wed Oct 4 13:54:00 2000 ]P[Author ID1: at Wed Oct 4 13:54:00 2000 ]odziały geograficzne (G[Author ID1: at Wed Oct 4 13:54:00 2000 ]g[Author ID1: at Wed Oct 4 13:54:00 2000 ]eographic divisions) — o[Author ID1: at Wed Oct 4 13:54:00 2000 ]O[Author ID1: at Wed Oct 4 13:54:00 2000 ]rganizacje mogą mieć swoje siedziby w różnych miejscach. Aby zachować wydajność systemu,[Author ID1: at Wed Oct 4 13:54:00 2000 ] w przypadku wolnych połączeń sieciowych pomiędzy siedzibami,[Author ID1: at Wed Oct 4 13:54:00 2000 ] konieczne jest zastosowanie wielu jednostek wydających certyfikaty (issuing CAs).

Hierarchia jednostek certyfikujących ma również kilka zalet administracyjnych:

• E[Author ID1: at Wed Oct 4 13:54:00 2000 ]e[Author ID1: at Wed Oct 4 13:54:00 2000 ]lastyczność (F[Author ID1: at Wed Oct 4 13:54:00 2000 ]f[Author ID1: at Wed Oct 4 13:54:00 2000 ]lexibility) — E[Author ID1: at Wed Oct 4 13:54:00 2000 ]e[Author ID1: at Wed Oct 4 13:54:00 2000 ]lastyczna konfiguracja środowiska zabezpieczeń jednostki certyfikującej (CA), np.[Author ID1: at Wed Oct 4 13:55:00 2000 ] —[Author ID1: at Wed Oct 4 13:55:00 2000 ] siła klucza (key strength), ochrona fizyczna, ochrona przed atakami przez sieć,[Author ID1: at Wed Oct 4 13:55:00 2000 ] itd. — [Author ID1: at Wed Oct 4 13:55:00 2000 ] [Author ID1: at Wed Oct 4 13:55:00 2000 ]pozwala zachować równowagę pomiędzy bezpieczeństwem (security) a przydatnością (usability). Dla przykładu:[Author ID1: at Wed Oct 4 13:55:00 2000 ]Na przykład[Author ID1: at Wed Oct 4 13:55:00 2000 ] w głównej jednostce certyfikującej (root CA) można zastosować specjalny sprzęt kryptograficzny i obsługiwać go w obszarze zabezpieczonym fizycznie (physically secure area) lub w trybie offline. Taki sposób nie będzie stosowany w przypadku jednostek wydających certyfikaty (I[Author ID1: at Wed Oct 4 13:56:00 2000 ]i[Author ID1: at Wed Oct 4 13:56:00 2000 ]ssuing CA) ze względu na koszty i małą przydatność takiego rozwiązania w tym przypadku,[Author ID1: at Wed Oct 4 13:56:00 2000 ].[Author ID1: at Wed Oct 4 13:56:00 2000 ]

• c[Author ID1: at Wed Oct 4 13:56:00 2000 ]C[Author ID1: at Wed Oct 4 13:56:00 2000 ]zęste aktualizacje — k[Author ID1: at Wed Oct 4 13:56:00 2000 ]K[Author ID1: at Wed Oct 4 13:56:00 2000 ]lucze lub (i) certyfikaty dla jednostek wydających certyfikaty (issuing CAs) [Author ID1: at Wed Oct 4 13:56:00 2000 ]mogą być często aktualizowane bez konieczności zmiany ustanowionych relacji zaufania (trust relationships), ale wówczas s[Author ID1: at Wed Oct 4 13:57:00 2000 ]. S[Author ID1: at Wed Oct 4 13:57:00 2000 ]ą to klucze i certyfikaty [Author ID1: at Wed Oct 4 13:57:00 2000 ]najbardziej narażone na niebezpieczeństwo,[Author ID1: at Wed Oct 4 13:57:00 2000 ].[Author ID1: at Wed Oct 4 13:57:00 2000 ]

• Z[Author ID1: at Wed Oct 4 13:57:00 2000 ]z[Author ID1: at Wed Oct 4 13:57:00 2000 ]amykanie (shut down) — m[Author ID1: at Wed Oct 4 13:57:00 2000 ]M[Author ID1: at Wed Oct 4 13:57:00 2000 ]ożna wyłączyć określoną część hierarchii jednostek certyfikujących (CA) [Author ID1: at Wed Oct 4 13:57:00 2000 ]bez wpływu na ustanowione relacje zaufania (trust relationships)[Author ID1: at Wed Oct 4 13:57:00 2000 ] i np.[Author ID1: at Wed Oct 4 13:58:00 2000 ]. Można na przykład[Author ID1: at Wed Oct 4 13:58:00 2000 ] zamknąć i odwołać (revoke) certyfikat jednostki wydającej certyfikaty (issuing CA) określonego oddziału przedsiębiorstwa, co pozostanie[Author ID1: at Wed Oct 4 13:58:00 2000 ] bez wpływu na inne oddziały.

Można dodawać lub usuwać jednostki wydające certyfikaty (issuing CA) [Author ID1: at Wed Oct 4 13:58:00 2000 ]podlegające danej głównej jednostce certyfikującej (root CA). Można także łączyć istniejące struktury hierarchiczne jednostek certyfikujących (CA) [Author ID1: at Wed Oct 4 13:58:00 2000 ]poprzez wydanie certyfikatu dla głównej jednostki certyfikującej [Author ID1: at Wed Oct 4 13:58:00 2000 ](root CA) innej hierarchii, jako pośredniczącej jednostki certyfikującej (intermediate CA). Jednak przedtem należy pomyśleć, jakie niezgodności zasad (policy) można w ten sposób [Author ID1: at Wed Oct 4 13:59:00 2000 ]wprowadzić w ten sposób[Author ID1: at Wed Oct 4 13:59:00 2000 ].

Instalowanie jednostki certyfikującej w przedsiębiorstwie (enterprise CA)

Instalowanie Usług Certyfikatów (C[Author ID1: at Wed Oct 4 13:59:00 2000 ]Certificate S[Author ID1: at Wed Oct 4 13:59:00 2000 ]Services) firmy Microsoft jest łatwe. Zalecane jest ustanowienie domeny przed utworzeniem jednostki certyfikującej (CA) [Author ID1: at Wed Oct 4 13:59:00 2000 ]i ustanowienie[Author ID1: at Wed Oct 4 14:01:00 2000 ] [Author ID1: at Wed Oct 4 14:01:00 2000 ]ustalenie [Author ID1: at Wed Oct 4 14:01:00 2000 ]jednej lub kilku jednostek certyfikujących przedsiębiorstwa (enterprise CA). Proces ten zostanie opisany szczegółowo w części „Rozwiązania natychmiastowe” niniejszego rozdziału. Jego najważniejsze etapy przedstawiono poniżej:

• W[Author ID1: at Wed Oct 4 14:01:00 2000 ]w[Author ID1: at Wed Oct 4 14:01:00 2000 ]ybór serwera głównego (host server) — G[Author ID1: at Wed Oct 4 14:01:00 2000 ]g[Author ID1: at Wed Oct 4 14:01:00 2000 ]łówna jednostka certyfikująca (root CA) może zostać uruchomiona na dowolnym komputerze pracującym pod kontrolą systemu Windows 2000, co [Author ID1: at Wed Oct 4 14:01:00 2000 ]dotyczy to [Author ID1: at Wed Oct 4 14:01:00 2000 ]również kontrolera[Author ID1: at Wed Oct 4 14:01:00 2000 ]y[Author ID1: at Wed Oct 4 14:01:00 2000 ] domeny (domain controller). Podejmując taką decyzję,[Author ID1: at Wed Oct 4 14:02:00 2000 ] powinny być brane pod uwagę takie czynniki,[Author ID1: at Wed Oct 4 14:02:00 2000 ] jak:[Author ID1: at Wed Oct 4 14:02:00 2000 ] fizyczne zabezpieczenia, szacowane obciążenie, wymagania dotyczące połączeń (connectivity),[Author ID1: at Wed Oct 4 14:02:00 2000 ] itp.,[Author ID1: at Wed Oct 4 14:02:00 2000 ].[Author ID1: at Wed Oct 4 14:02:00 2000 ]

• N[Author ID1: at Wed Oct 4 14:02:00 2000 ]n[Author ID1: at Wed Oct 4 14:02:00 2000 ]azewnictwo (N[Author ID1: at Wed Oct 4 14:02:00 2000 ]n[Author ID1: at Wed Oct 4 14:02:00 2000 ]aming) — N[Author ID1: at Wed Oct 4 14:02:00 2000 ]n[Author ID1: at Wed Oct 4 14:02:00 2000 ]azwy jednostek certyfikujących są umieszczone ma [Author ID1: at Wed Oct 4 14:02:00 2000 ]stałe w ich certyfikatach i nie mogą być zmieniane. Należy wziąć pod uwagę konwencję nazewniczą przedsiębiorstwa i potrzeby, które mogą wystąpić w przyszłości,[Author ID1: at Wed Oct 4 14:02:00 2000 ].[Author ID1: at Wed Oct 4 14:02:00 2000 ]

• G[Author ID1: at Wed Oct 4 14:02:00 2000 ]g[Author ID1: at Wed Oct 4 14:02:00 2000 ]enerowanie klucza (key generation) — p[Author ID1: at Wed Oct 4 14:02:00 2000 ]P[Author ID1: at Wed Oct 4 14:02:00 2000 ]ara kluczy publicznych jednostki certyfikującej (CA) jest generowana w trakcie procesu instalowania i jest niepowtarzalna dla danej jednostki certyfikującej,[Author ID1: at Wed Oct 4 14:03:00 2000 ].[Author ID1: at Wed Oct 4 14:03:00 2000 ]

• C[Author ID1: at Wed Oct 4 14:03:00 2000 ]c[Author ID1: at Wed Oct 4 14:03:00 2000 ]ertyfikat jednostki certyfikującej (CA) [Author ID1: at Wed Oct 4 14:03:00 2000 ]— w[Author ID1: at Wed Oct 4 14:03:00 2000 ]W[Author ID1: at Wed Oct 4 14:03:00 2000 ] procesie instalowania do automatycznego generowania podpisanego przez nią samą (self signed CA certificate)[Author ID1: at Wed Oct 4 14:03:00 2000 ]certyfikatu jednostki certyfikującej (CA), podpisanego przez nią samą (self signed CA certificate)[Author ID1: at Wed Oct 4 14:03:00 2000 ], korzysta się z pary kluczy publiczny/[Author ID1: at Wed Oct 4 14:03:00 2000 ]-prywatny danej jednostki certyfikującej [Author ID1: at Wed Oct 4 14:04:00 2000 ](CA). Można wygenerować żądanie certyfikatu dla podrzędnej jednostki certyfikującej (child CA) i wysłać je do pośredniczącej jednostki certyfikującej (intermediate CA) lub głównej jednostki certyfikującej [Author ID1: at Wed Oct 4 14:04:00 2000 ](root CA).[Author ID1: at Wed Oct 4 14:04:00 2000 ],[Author ID1: at Wed Oct 4 14:04:00 2000 ] [Author ID1: at Wed Oct 4 14:04:00 2000 ]

• I[Author ID1: at Wed Oct 4 14:04:00 2000 ]i[Author ID1: at Wed Oct 4 14:04:00 2000 ]ntegrowanie z usługami Active Directory (Active Directory integration) — I[Author ID1: at Wed Oct 4 14:04:00 2000 ]i[Author ID1: at Wed Oct 4 14:04:00 2000 ]nformacje dotyczące jednostki certyfikującej jest [Author ID1: at Wed Oct 4 14:04:00 2000 ]są [Author ID1: at Wed Oct 4 14:04:00 2000 ]zapisywane[Author ID1: at Wed Oct 4 14:05:00 2000 ]a[Author ID1: at Wed Oct 4 14:05:00 2000 ] w jej [Author ID1: at Wed Oct 4 14:05:00 2000 ]obiekcie jednostki certyfikującej [Author ID1: at Wed Oct 4 14:05:00 2000 ](CA object) w Active Directory podczas instalowania. W ten sposób klienci[Author ID1: at Wed Oct 4 14:05:00 2000 ]ty[Author ID1: at Wed Oct 4 14:05:00 2000 ] domeny (domain clients) uzyskują informacje o dostępnych jednostkach certyfikujących oraz o rodzajach certyfikatów wydawanych przez te jednostki,[Author ID1: at Wed Oct 4 14:05:00 2000 ]. [Author ID1: at Wed Oct 4 14:05:00 2000 ]

• z[Author ID1: at Wed Oct 4 14:05:00 2000 ]Z[Author ID1: at Wed Oct 4 14:05:00 2000 ]asady wydawania (issuing policy) — J[Author ID1: at Wed Oct 4 14:05:00 2000 ]j[Author ID1: at Wed Oct 4 14:05:00 2000 ]ednostka certyfikująca przedsiębiorstwa (enterprise CA) automatycznie instaluje i konfiguruje Moduł Zasad Przedsiębiorstwa (E[Author ID1: at Wed Oct 4 14:05:00 2000 ]Enterprise PP[Author ID1: at Wed Oct 4 14:05:00 2000 ]olicy M[Author ID1: at Wed Oct 4 14:05:00 2000 ]Module) firmy Microsoft dla danej jednostki certyfikującej (CA). Upoważniony administrator może modyfikować te zasady, ale w większości przypadków nie jest to konieczne.

Po ustanowieniu głównej jednostki certyfikującej (root CA) możliwe jest zainstalowanie podporządkowanych jej jednostek certyfikujących pośredniczących (intermediate CA) lub wydających certyfikaty (issuing CA). Jedyna znacząca różnica w zasadach instalowania jest taka, że żądania certyfikatu są generowane w celu przesłania do głównej jednostki certyfikującej (root CA) lub pośredniczącej jednostki certyfikującej [Author ID1: at Wed Oct 4 14:06:00 2000 ](intermediate CA). Żądanie może być skierowane bądź automatycznie do jednostki certyfikującej, pracującej w trybie online, którą lokalizuje się za pomocą usług Active Directory, bądź też ręcznie w trybie offline. W obu przypadkach otrzymany w ten sposób certyfikat musi zostać zainstalowany w jednostce certyfikującej (CA)[Author ID1: at Wed Oct 4 14:06:00 2000 ] zanim zacznie ona działać.

Pojedyncza jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 14:06:00 2000 ]może obsługiwać jednostki w wielu domenach,[Author ID1: at Wed Oct 4 14:07:00 2000 ] a nawet jednostki[Author ID1: at Wed Oct 4 14:07:00 2000 ]ek[Author ID1: at Wed Oct 4 14:07:00 2000 ] spoza granic danej domeny. Możliwa jest też odwrotna sytuacja — w domenie może być [Author ID1: at Wed Oct 4 14:07:00 2000 ]znajdować się [Author ID1: at Wed Oct 4 14:07:00 2000 ]wiele jednostek certyfikujących przedsiębiorstwa (enterprise CA).

Jeśli zostanie podjęta decyzja o korzystaniu z niezależnej jednostki certyfikującej (third party CA), takiej jak VeriSign (www.verisign.com), pojawi się monit o zarejestrowanie (enroll) i uzyskanie certyfikatu w trybie online. Procedura jest łatwa i[Author ID1: at Wed Oct 4 14:08:00 2000 ],[Author ID1: at Wed Oct 4 14:08:00 2000 ] w trybie online [Author ID1: at Wed Oct 4 14:08:00 2000 ]dostępna jest również pomoc w trybie online[Author ID1: at Wed Oct 4 14:08:00 2000 ]. Większość niezależnych jednostek certyfikujących (third party[Author ID1: at Wed Oct 4 14:08:00 2000 ] CAs) [Author ID1: at Wed Oct 4 14:08:00 2000 ]zezwala na korzystanie ze swoich usług za darmo w okresie próbnym, zwykle [Author ID1: at Wed Oct 4 14:08:00 2000 ]głównie [Author ID1: at Wed Oct 4 14:08:00 2000 ]przez miesiąc. Następnie zostan[Author ID1: at Wed Oct 4 14:08:00 2000 ]j[Author ID1: at Wed Oct 4 14:08:00 2000 ]i[Author ID1: at Wed Oct 4 14:08:00 2000 ]e przysłana prośba o przekazanie z witryny bezpiecznej (secure site) danych dotyczących karty kredytowej. Jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 14:08:00 2000 ]przesyła[Author ID1: at Wed Oct 4 14:08:00 2000 ]śle[Author ID1: at Wed Oct 4 14:08:00 2000 ] wiadomość e-[Author ID1: at Thu Oct 5 06:10:00 2000 ]mail o pierwszym zarejestrowaniu i po raz [Author ID1: at Wed Oct 4 14:09:00 2000 ]kolejny raz[Author ID1: at Wed Oct 4 14:09:00 2000 ], kiedy [Author ID1: at Wed Oct 4 14:09:00 2000 ]gdy [Author ID1: at Wed Oct 4 14:09:00 2000 ]okres próbny skończy[Author ID1: at Wed Oct 4 14:09:00 2000 ]będzie [Author ID1: at Wed Oct 4 14:09:00 2000 ] [Author ID1: at Wed Oct 4 14:09:00 2000 ]się kończył[Author ID1: at Wed Oct 4 14:09:00 2000 ]. [Author ID1: at Wed Oct 4 14:09:00 2000 ]

Jednostki certyfikujące są cennymi zasobami i zwykle są bardzo dobrze chronione. Ochrona ta obejmuje:

• O[Author ID1: at Wed Oct 4 14:09:00 2000 ]o[Author ID1: at Wed Oct 4 14:09:00 2000 ]chronę fizyczną (physical protection) — f[Author ID1: at Wed Oct 4 14:10:00 2000 ]F[Author ID1: at Wed Oct 4 14:10:00 2000 ]izyczne odizolowanie serwera jednostki certyfikującej (CA server),[Author ID1: at Wed Oct 4 14:10:00 2000 ] w pomieszczeniu dostępnym tylko dla administratorów zabezpieczeń,[Author ID1: at Wed Oct 4 14:10:00 2000 ] ogranicza możliwości przed penetracją ze strony osób niepowołanych,[Author ID1: at Wed Oct 4 14:10:00 2000 ].[Author ID1: at Wed Oct 4 14:10:00 2000 ]

• Z[Author ID1: at Wed Oct 4 14:10:00 2000 ]z[Author ID1: at Wed Oct 4 14:10:00 2000 ]arządzanie kluczami (keys[Author ID1: at Wed Oct 4 14:10:00 2000 ] management) — K[Author ID1: at Wed Oct 4 14:10:00 2000 ]k[Author ID1: at Wed Oct 4 14:10:00 2000 ]lucze prywatne (private keys) muszą być chronione, ponieważ stanowią podstawę zaufania do procesu certyfikacji. Kryptograficzne Moduły Sprzętowe (Cryptogt[Author ID2: at Thu Oct 5 06:10:00 2000 ]r[Author ID1: at Thu Oct 5 06:11:00 2000 ]aphic Hardware Modules) umożliwiają przechowywanie kluczy [Author ID1: at Wed Oct 4 14:10:00 2000 ]odporne na penetrację (tamper-resistant key storage) przechowywanie kluczy [Author ID1: at Wed Oct 4 14:10:00 2000 ]i odizolowanie operacji kryptograficznych od innych programów uruchomionych na danym serwerze,[Author ID1: at Wed Oct 4 14:11:00 2000 ].[Author ID1: at Wed Oct 4 14:11:00 2000 ]

• o[Author ID1: at Wed Oct 4 14:11:00 2000 ]O[Author ID1: at Wed Oct 4 14:11:00 2000 ]dtwarzanie (R[Author ID1: at Wed Oct 4 14:11:00 2000 ]r[Author ID1: at Wed Oct 4 14:11:00 2000 ]estoration) — u[Author ID1: at Wed Oct 4 14:11:00 2000 ]U[Author ID1: at Wed Oct 4 14:11:00 2000 ]trata jednostki certyfikującej (CA) [Author ID1: at Wed Oct 4 14:11:00 2000 ]w wyniku awarii sprzętowej może być przyczyną niesprawności systemu i problemów administracyjnych oraz może [Author ID1: at Wed Oct 4 14:11:00 2000 ]zapobiec odwołaniu (revocation) istniejących certyfikatów. Usługi certyfikatów (c[Author ID1: at Wed Oct 4 14:11:00 2000 ]C[Author ID1: at Wed Oct 4 14:11:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 14:11:00 2000 ]S[Author ID1: at Wed Oct 4 14:11:00 2000 ]ervices) firmy Microsoft obsługują wykonywanie kopii zapasowej konkretnej jednostki certyfikującej (CA[Author ID1: at Wed Oct 4 14:11:00 2000 ]) [Author ID1: at Wed Oct 4 14:11:00 2000 ]i późniejsze jej odtworzenie.

Relacja zaufania w strukturach hierarchicznych z wieloma jednostkami certyfikującymi

Infrastruktura Klucza Publicznego (PKI) systemu Windows 2000 rozwiązuje problem relacji zaufania (trust relationships) w strukturach hierarchicznych z wieloma jednostkami certyfikującymi (multiple CA hierarchy). Dotyczy to hierarchii jednostek certyfikujących (CA hierar[Author ID1: at Thu Oct 5 06:11:00 2000 ]chies) w jednym przedsiębiorstwie i [Author ID1: at Wed Oct 4 14:12:00 2000 ], hierarchii jednostek certyfikujących (CA hierarchies) [Author ID1: at Wed Oct 4 14:12:00 2000 ]w granicach wielu przedsiębiorstw oraz komercyjnych jednostek certyfikujących, takich jak VeriSign lub Thawte.

Na podstawie obiektów zasad domen (domain policy objects) systemu Windows 2000 można ustanowić i wprowadzić w życie relacje zaufania oparte na jednostkach certyfikujących (CA-based trust relationships). Umożliwia to zastosowanie ograniczeń użycia certyfikatów wydanych przez każdą zaufaną główną jednostkę certyfikującą (root CA), np.[Author ID1: at Wed Oct 4 14:12:00 2000 ]. NA przykład[Author ID1: at Wed Oct 4 14:12:00 2000 ] można wybrać, że zatwierdzane będą tylko certyfikaty wydane przez jednostkę certyfikującą dla uwierzytelniania serwera nawet, jeśli ta jednostka certyfikująca (CA)[Author ID1: at Wed Oct 4 14:13:00 2000 ] wydaje certyfikaty dla wielu innych zastosowań.

Użytkownicy indywidualni mogą dodawać relacje zaufania jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 14:13:00 2000 ]), które mają[Author ID1: at Wed Oct 4 14:13:00 2000 ]a[Author ID1: at Wed Oct 4 14:13:00 2000 ] zastosowanie tylko do nich samych. Można to zrobić,[Author ID1: at Wed Oct 4 14:13:00 2000 ] korzystając z funkcji klienta i nie jest wymagana interwencja administratora.

Odwoływanie (R[Author ID1: at Wed Oct 4 14:14:00 2000 ]r[Author ID1: at Wed Oct 4 14:14:00 2000 ]evocation)

Certyfikaty bywają długowieczne,[Author ID1: at Wed Oct 4 14:14:00 2000 ] ale[Author ID1: at Wed Oct 4 14:14:00 2000 ] istnieje kilka przyczyn, dlaczego mogą stać się niegodne zaufania przed upłynięciem terminu ich ważności. Oto niektóre z nich:

• N[Author ID1: at Wed Oct 4 14:14:00 2000 ]n[Author ID1: at Wed Oct 4 14:14:00 2000 ]aruszenie zabezpieczeń klucza prywatnego,[Author ID1: at Wed Oct 4 14:14:00 2000 ]

• O[Author ID1: at Wed Oct 4 14:14:00 2000 ]o[Author ID1: at Wed Oct 4 14:14:00 2000 ]szustwa (fraud) przy uzyskiwaniu certyfikatu,[Author ID1: at Wed Oct 4 14:14:00 2000 ]

• z[Author ID1: at Wed Oct 4 14:14:00 2000 ]Z[Author ID1: at Wed Oct 4 14:14:00 2000 ]miana statusu.[Author ID1: at Wed Oct 4 14:14:00 2000 ]

Na potrzeby funkcji korzystających z klucza publicznego założono weryfikację rozproszoną,[Author ID1: at Wed Oct 4 14:14:00 2000 ] gdzie [Author ID1: at Wed Oct 4 14:15:00 2000 ]dokąd można [Author ID1: at Wed Oct 4 14:15:00 2000 ]skierować komunikację z centralną jednostką zaufaną, która może zagwarantować [Author ID1: at Wed Oct 4 14:15:00 2000 ]może zagwarantuje [Author ID1: at Wed Oct 4 14:15:00 2000 ]poprawność tych danych uwierzytelniających (credentials). Z tego względu pojawiło się zapotrzebowanie na informacje o odwołaniu (revocation information), które mogą być rozsyłane do jednostek próbujących zweryfikować certyfikaty.

Infrastruktura Klucza Publicznego (PKI) systemu Windows 2000 korzysta ze Standardowych List odwoływania [Author ID0: at Thu Nov 30 00:00:00 1899 ]Odwołań [Author ID1: at Wed Oct 4 14:16:00 2000 ]Certyfikatów (c[Author ID1: at Wed Oct 4 14:15:00 2000 ]C[Author ID1: at Wed Oct 4 14:15:00 2000 ]ertificate r[Author ID1: at Wed Oct 4 14:15:00 2000 ]R[Author ID1: at Wed Oct 4 14:15:00 2000 ]evocation l[Author ID1: at Wed Oct 4 14:15:00 2000 ]L[Author ID1: at Wed Oct 4 14:15:00 2000 ]ists [Author ID1: at Wed Oct 4 14:15:00 2000 ]-[Author ID1: at Wed Oct 4 14:15:00 2000 ]— [Author ID1: at Wed Oct 4 14:15:00 2000 ]CRLs). Jednostki certyfikujące przedsiębiorstwa (enterprise CAs) obsługują odwoływanie certyfikatów (certificate revocation) i publikowanie list [Author ID1: at Wed Oct 4 14:17:00 2000 ]CRL dla usług katalogowych Active Directory pod kontrola[Author ID1: at Wed Oct 4 14:17:00 2000 ]a[Author ID1: at Wed Oct 4 14:17:00 2000 ] administracyjna[Author ID1: at Wed Oct 4 14:17:00 2000 ]a[Author ID1: at Wed Oct 4 14:17:00 2000 ]. Klienci[Author ID1: at Wed Oct 4 14:17:00 2000 ]ty[Author ID1: at Wed Oct 4 14:17:00 2000 ] domen mogą uzyskać te informacje i zapisać je [Author ID1: at Wed Oct 4 14:17:00 2000 ]w buforze lokalnym, aby korzystać z nich przy weryfikowaniu certyfikatów. Ten sam mechanizm służy do obsługi list ([Author ID1: at Wed Oct 4 14:17:00 2000 ]CRL)[Author ID1: at Wed Oct 4 14:17:00 2000 ] opublikowanych przez komercyjne jednostki certyfikujące (commercial CAs) i do [Author ID1: at Wed Oct 4 14:17:00 2000 ]niezależnych programów dla serwera certyfikatów, przy założeniu, że opublikowane listy odwołań[Author ID1: at Wed Oct 4 16:04:00 2000 ]CRL [Author ID1: at Wed Oct 4 16:04:00 2000 ] [Author ID1: at Wed Oct 4 16:04:00 2000 ]są dostępne dla klientów poprzez sieć.

Rozwiązania natychmiastowe

Instalowanie jednostki certyfikującej (Certification Authority — CA[Author ID1: at Wed Oct 4 14:18:00 2000 ])

W zależności od struktury sieci można zainstalować jedną lub kilka jednostek certyfikujących, których rodzaje wymieniono poniżej:

• G[Author ID1: at Wed Oct 4 14:18:00 2000 ]g[Author ID1: at Wed Oct 4 14:18:00 2000 ]łówna jednostka certyfikująca przedsiębiorstwa (enterprise root CA) — g[Author ID1: at Wed Oct 4 14:18:00 2000 ]G[Author ID1: at Wed Oct 4 14:18:00 2000 ]łówna jednostka w hierarchicznej strukturze jednostek certyfikujących przedsiębiorstwa w systemie Windows 2000. Ze względów bezpieczeństwa jednostka certyfikująca przedsiębiorstwa [Author ID1: at Wed Oct 4 14:19:00 2000 ]jest ona [Author ID1: at Wed Oct 4 14:19:00 2000 ](enterprise CA) na ogół[Author ID1: at Wed Oct 4 14:19:00 2000 ]zwykle jest[Author ID1: at Wed Oct 4 14:19:00 2000 ] skonfigurowana w ten sposób, że wydaje certyfikaty tylko bezpośrednio podległym jednostkom certyfikującym (subordinate CAs[Author ID1: at Wed Oct 4 14:19:00 2000 ]). Jednostka certyfikująca przedsiębiorstwa[Author ID1: at Wed Oct 4 14:20:00 2000 ] [Author ID1: at Wed Oct 4 14:20:00 2000 ]ta [Author ID1: at Wed Oct 4 14:20:00 2000 ]wymaga spełnienia następujących warunków:

• ze względu na usługi katalogowe [Author ID1: at Wed Oct 4 14:21:00 2000 ]Active Directory[Author ID1: at Wed Oct 4 14:21:00 2000 ], [Author ID1: at Wed Oct 4 14:21:00 2000 ]M[Author ID1: at Wed Oct 4 14:21:00 2000 ]m[Author ID1: at Wed Oct 4 14:21:00 2000 ]usi być zainstalowana usługa systemu Windows 2000 Domain Name Service (DNS). Jest to wymagane ze względu na usługi katalogowe Active Directory[Author ID1: at Wed Oct 4 14:21:00 2000 ],[Author ID1: at Wed Oct 4 14:21:00 2000 ].[Author ID1: at Wed Oct 4 14:21:00 2000 ]

• M[Author ID1: at Wed Oct 4 14:21:00 2000 ]m[Author ID1: at Wed Oct 4 14:21:00 2000 ]usi być zainstalowana usługa systemu Windows Directory Service. Zasady przedsiębiorstwa (enterprise policy) umieszczają dane w Active Directory,[Author ID1: at Wed Oct 4 14:21:00 2000 ].[Author ID1: at Wed Oct 4 14:21:00 2000 ]

• U[Author ID1: at Wed Oct 4 14:21:00 2000 ]u[Author ID1: at Wed Oct 4 14:21:00 2000 ]prawnienia administracyjne dotyczące serwerów usług DNS, Directory i jednostek certyfikujących. Są one[Author ID1: at Wed Oct 4 14:21:00 2000 ]Jest to[Author ID1: at Wed Oct 4 14:21:00 2000 ] ważne, ponieważ program instalacyjny modyfikuje informacje w wielu miejscach i w niektórych przypadkach konieczne są takie [Author ID1: at Wed Oct 4 14:22:00 2000 ]uprawnienia administracyjne[Author ID1: at Wed Oct 4 14:22:00 2000 ].

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

• P[Author ID1: at Wed Oct 4 14:22:00 2000 ]p[Author ID1: at Wed Oct 4 14:22:00 2000 ]odrzędne jednostki certyfikujące przedsiębiorstwa (enterprise subordinate CAs[Author ID1: at Wed Oct 4 14:22:00 2000 ]) — W[Author ID1: at Wed Oct 4 14:22:00 2000 ]w[Author ID1: at Wed Oct 4 14:22:00 2000 ]ydają[Author ID1: at Wed Oct 4 14:22:00 2000 ]e[Author ID1: at Wed Oct 4 14:22:00 2000 ] certyfikaty w granicach danego przedsiębiorstwa, ale nie są to [Author ID1: at Wed Oct 4 14:22:00 2000 ]jest [Author ID1: at Wed Oct 4 14:22:00 2000 ]jednostką[Author ID1: at Wed Oct 4 14:23:00 2000 ]i[Author ID1: at Wed Oct 4 14:23:00 2000 ] certyfikujące[Author ID1: at Wed Oct 4 14:23:00 2000 ]ą (CA) [Author ID1: at Wed Oct 4 14:23:00 2000 ] [Author ID1: at Wed Oct 4 14:23:00 2000 ]obdarzone[Author ID1: at Wed Oct 4 14:23:00 2000 ]ą[Author ID1: at Wed Oct 4 14:23:00 2000 ] najwyższym stopniem zaufana w tym przedsiębiorstwie, ponieważ podlegają[Author ID1: at Wed Oct 4 14:23:00 2000 ] innej jednostce certyfikującej. Podległa jednostka certyfikująca (subordinate CA) wymaga spełnienia następujących warunków:

• N[Author ID1: at Wed Oct 4 14:23:00 2000 ]n[Author ID1: at Wed Oct 4 14:23:00 2000 ]adrzędna jednostka certyfikująca (parent CA), którą może być zewnętrzna komercyjna jednostka certyfikująca (external commercial CA) lub autonomiczna jednostka certyfikująca (standalone CA),[Author ID1: at Wed Oct 4 14:23:00 2000 ]

• U[Author ID1: at Wed Oct 4 14:23:00 2000 ]u[Author ID1: at Wed Oct 4 14:23:00 2000 ]sługa DNS systemu Windows 2000,[Author ID1: at Wed Oct 4 14:23:00 2000 ]

• u[Author ID1: at Wed Oct 4 14:23:00 2000 ]U[Author ID1: at Wed Oct 4 14:23:00 2000 ]prawnienia administracyjne dotyczące serwerów usług DNS, Active Directory i jednostek certyfikujących.

• A[Author ID1: at Wed Oct 4 14:24:00 2000 ]a[Author ID1: at Wed Oct 4 14:24:00 2000 ]utonomiczna główna jednostka certyfikująca (standalone root CA) — G[Author ID1: at Wed Oct 4 14:24:00 2000 ]g[Author ID1: at Wed Oct 4 14:24:00 2000 ]łówna jednostka w hierarchicznej strukturze relacji zaufania jednostek certyfikujących (CA trust hierarchy). Może wydawać certyfikaty poza sieć przedsiębiorstwa. N[Author ID1: at Wed Oct 4 14:24:00 2000 ]Np.[Author ID1: at Wed Oct 4 14:24:00 2000 ]a przykład[Author ID1: at Wed Oct 4 14:24:00 2000 ] można wydać certyfikaty odbiorcom,[Author ID1: at Wed Oct 4 14:24:00 2000 ] aby mieli dostęp do witryny internetowej przedsiębiorstwa, ale utworzenie w katalogu konta dla każdego odbiorcy nie jest możliwe do wykonania. Autonomiczna jednostka certyfikująca (standalone root CA) wymaga uprawnień administratora na serwerze lokalnym,[Author ID1: at Wed Oct 4 14:24:00 2000 ].[Author ID1: at Wed Oct 4 14:24:00 2000 ]

• A[Author ID1: at Wed Oct 4 14:24:00 2000 ]a[Author ID1: at Wed Oct 4 14:24:00 2000 ]utonomiczna podrzędna jednostka certyfikująca (standalone subordinate CA) — p[Author ID1: at Wed Oct 4 14:24:00 2000 ]P[Author ID1: at Wed Oct 4 14:24:00 2000 ]racuje jako pojedynczy serwer certyfikatów lub jest częścią hierarchicznej struktury relacji zaufania jednostek certyfikujących (CA trust hierarchy). P[Author ID1: at Wed Oct 4 14:25:00 2000 ]Autonomiczna podrzędna jednostka certyfikująca (standalone subordinate CA) p[Author ID1: at Wed Oct 4 14:25:00 2000 ]owinna zostać zainstalowana,[Author ID1: at Wed Oct 4 14:25:00 2000 ] jeśli wydaje się certyfikaty jednostkom spoza przedsiębiorstwa. Należy zwrócić uwagę, że zwykle autonomiczna główna jednostka certyfikująca (standalone root CA) wydaje certyfikaty innym jednostkom certyfikującym, podczas gdy autonomiczna podrzędna jednostka certyfikująca (standalone subordinate CA) wydaje certyfikaty użytkownikom. Autonomiczna podrzędna jednostka certyfikująca (standalone subordinate CA) [Author ID1: at Wed Oct 4 14:26:00 2000 ]wymaga spełnienia następujących warunków:

• P[Author ID1: at Wed Oct 4 14:27:00 2000 ]p[Author ID1: at Wed Oct 4 14:27:00 2000 ]ołączenie z jednostką certyfikującą, która będzie przetwarzać żądania certyfikatów wysłane przez daną autonomiczną podrzędną jednostkę certyfikującą. Może to być jednostka certyfikująca przedsiębiorstwa (enterprise CA), a[Author ID1: at Wed Oct 4 14:27:00 2000 ]A[Author ID1: at Wed Oct 4 14:27:00 2000 ]utonomiczna główna jednostka certyfikująca (S[Author ID1: at Wed Oct 4 14:27:00 2000 ]s[Author ID1: at Wed Oct 4 14:27:00 2000 ]tandalone R[Author ID1: at Wed Oct 4 14:27:00 2000 ]r[Author ID1: at Wed Oct 4 14:27:00 2000 ]oot CA) lub zewnętrzna komercyjna jednostka certyfikująca (e[Author ID1: at Wed Oct 4 14:27:00 2000 ]E[Author ID1: at Wed Oct 4 14:27:00 2000 ]xternal C[Author ID1: at Wed Oct 4 14:27:00 2000 ]c[Author ID1: at Wed Oct 4 14:27:00 2000 ]ommercial CA),[Author ID1: at Wed Oct 4 14:27:00 2000 ].[Author ID1: at Wed Oct 4 14:27:00 2000 ]

• U[Author ID1: at Wed Oct 4 14:27:00 2000 ]u[Author ID1: at Wed Oct 4 14:27:00 2000 ]prawnienia administracyjne na serwerze lokalnym.[Author ID1: at Wed Oct 4 14:27:00 2000 ]

Uwaga: opisana poniżej procedura podaje sposób instalowania jednostki certyfikującej (CA). Jeśli mają być zainstalowane opcjonalne składniki sieci Web,[Author ID1: at Wed Oct 4 14:27:00 2000 ] to musi być także [Author ID1: at Wed Oct 4 14:27:00 2000 ]zainstalowany I[Author ID1: at Wed Oct 4 14:28:00 2000 ]I[Author ID0: at Thu Nov 30 00:00:00 1899 ]nternet Information Server (IIS).

Aby zainstalować jednostkę certyfikującą[Author ID1: at Wed Oct 4 14:28:00 2000 ]a[Author ID1: at Wed Oct 4 14:28:00 2000 ] (CA) postępuj zgodnie z procedurą opisaną poniżej:

1. W oknie Panel Sterowania (C[Author ID1: at Wed Oct 4 14:28:00 2000 ]Control PP[Author ID1: at Wed Oct 4 14:28:00 2000 ]anel) kliknij dwukrotnie ikonę Dodaj/Usuń programy (A[Author ID1: at Wed Oct 4 14:28:00 2000 ]Add/R[Author ID1: at Wed Oct 4 14:28:00 2000 ]Remove p[Author ID1: at Wed Oct 4 14:28:00 2000 ]P[Author ID1: at Wed Oct 4 14:28:00 2000 ]rograms). Pojawi się okno dialogowe Dodaj/Usuń programy [Author ID1: at Wed Oct 4 14:29:00 2000 ](Add/Remove Programs)[Author ID1: at Wed Oct 4 14:29:00 2000 ].

2. Aby uruchomić Kreatora Składników Systemu Windows (W[Author ID1: at Wed Oct 4 14:29:00 2000 ]W[Author ID1: at Wed Oct 4 14:29:00 2000 ]indows C[Author ID1: at Wed Oct 4 14:29:00 2000 ]Components W[Author ID1: at Wed Oct 4 14:29:00 2000 ]Wizard) kliknij [Author ID1: at Wed Oct 4 14:29:00 2000 ]naciśnij [Author ID1: at Wed Oct 4 14:29:00 2000 ]opcję Dodaj/Usuń składniki systemu Windows (A[Author ID1: at Wed Oct 4 14:29:00 2000 ]Add/R[Author ID1: at Wed Oct 4 14:29:00 2000 ]Remove Windows C[Author ID1: at Wed Oct 4 14:29:00 2000 ]c[Author ID1: at Wed Oct 4 14:29:00 2000 ]omponents).

3. Wybierz pozycję Usługi Certyfikatów (C[Author ID1: at Wed Oct 4 14:29:00 2000 ]Certificate SS[Author ID1: at Wed Oct 4 14:29:00 2000 ]ervices).

4. Aby zamknąć pole komunikatów (message box),[Author ID1: at Wed Oct 4 14:29:00 2000 ] kliknij [Author ID1: at Wed Oct 4 20:15:00 2000 ]zaznacz [Author ID1: at Wed Oct 4 20:15:00 2000 ]Tak (Y[Author ID1: at Wed Oct 4 14:29:00 2000 ]Yes). Jeśli masz zamiar korzystać ze składników internetowych usług certyfikatów (Certificate Services)[Author ID1: at Wed Oct 4 14:29:00 2000 ], sprawdź,[Author ID1: at Wed Oct 4 14:29:00 2000 ] czy zaznaczone jest pole wyboru Internet Information Server (IIS).

5. Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 14:30:00 2000 ]Next). Kreator (wizard) wyświetli monit o podanie rodzaju jednostki certyfikującej (CA), która ma być zainstalowana. Program instalacyjny,[Author ID1: at Wed Oct 4 14:30:00 2000 ] aby uprościć instalację, [Author ID1: at Wed Oct 4 14:30:00 2000 ]spróbuje domyślić się, która opcja jest wybrana aby uprościć instalacje[Author ID1: at Wed Oct 4 14:30:00 2000 ]:[Author ID1: at Wed Oct 4 14:30:00 2000 ].[Author ID1: at Wed Oct 4 14:30:00 2000 ]

• J[Author ID1: at Wed Oct 4 14:30:00 2000 ]j[Author ID1: at Wed Oct 4 14:30:00 2000 ]eśli nie wykryto usług katalogowych Active Directory, opcje z jednostkami certyfikującymi przedsiębiorstwa będą zablokowane,[Author ID1: at Wed Oct 4 14:30:00 2000 ].[Author ID1: at Wed Oct 4 14:30:00 2000 ]

• J[Author ID1: at Wed Oct 4 14:30:00 2000 ]j[Author ID1: at Wed Oct 4 14:30:00 2000 ]eśli wykryto usługi katalogowe, wybrana zostanie główna jednostka certyfikująca przedsiębiorstwa (E[Author ID1: at Wed Oct 4 14:30:00 2000 ]e[Author ID1: at Wed Oct 4 14:30:00 2000 ]nterprise R[Author ID1: at Wed Oct 4 14:30:00 2000 ]r[Author ID1: at Wed Oct 4 14:30:00 2000 ]oot CA), o ile nie zarejestrowano jeszcze w Active Directory żadnej jednostki certyfikującej,[Author ID1: at Wed Oct 4 14:31:00 2000 ].[Author ID1: at Wed Oct 4 14:31:00 2000 ]

• J[Author ID1: at Wed Oct 4 14:31:00 2000 ]j[Author ID1: at Wed Oct 4 14:31:00 2000 ]eśli w Active Directory zarejestrowano jednostki certyfikujące, wybrana zostanie podrzędna jednostka certyfikująca przedsiębiorstwa (Enterprise Sub[Author ID1: at Wed Oct 4 14:31:00 2000 ]ordinate CA)[Author ID1: at Wed Oct 4 14:31:00 2000 ].

Uwaga: Jeśli certyfikaty będą wydawane jednostkom w danej organizacji i będzie [Author ID1: at Wed Oct 4 14:31:00 2000 ]potrzebna jest [Author ID1: at Wed Oct 4 14:31:00 2000 ]całkowita integracja z usługami katalogowymi Active Directory albo konieczne jest [Author ID1: at Wed Oct 4 14:31:00 2000 ]uaktywnienie logowania za pomocą kart elektronicznych (smart card logon), powinna zostać wybrana jednostka certyfikująca przedsiębiorstwa (E[Author ID1: at Wed Oct 4 14:31:00 2000 ]e[Author ID1: at Wed Oct 4 14:31:00 2000 ]nterprise CA). Jeśli certyfikaty będą wydawane jednostkom spoza przedsiębiorstwa oraz usługi katalogowe Active Directory i inne funkcje Infrastruktury Klucza Publicznego (PKI) systemu Windows 2000 nie będą używane, powinna zostać wybrana autonomiczna jednostka certyfikująca (S[Author ID1: at Wed Oct 4 14:32:00 2000 ]s[Author ID1: at Wed Oct 4 14:32:00 2000 ]tandalone CA).

6. Na podstawie powyższych informacji dotyczących różnych rodzajów jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 14:32:00 2000 ]) wybierz taką [Author ID1: at Wed Oct 4 14:32:00 2000 ]tę [Author ID1: at Wed Oct 4 14:32:00 2000 ]jednostkę certyfikującą,[Author ID1: at Wed Oct 4 14:32:00 2000 ] która jest potrzebna. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 14:32:00 2000 ](Next)[Author ID1: at Wed Oct 4 14:32:00 2000 ].

7. Kreator (Wizard) [Author ID1: at Wed Oct 4 14:32:00 2000 ]wyświetli monit o podanie informacji dotyczących twojej organizacji i lokacji (site), co przedstawiono na rysunku 7.2.

Uwaga: Nazwa jednostki certyfikującej (CA) jest bardzo ważna, ponieważ służy do identyfikowania obiektu jednostki certyfikującej (CA object). Okres ważności może być ustalony tylko dla głównej jednostki certyfikującej (root CA). Rzeczywisty okres ważności jest rozwiązaniem kompromisowym pomiędzy względami bezpieczeństwa a wymo[Author ID1: at Wed Oct 4 14:33:00 2000 ]a[Author ID1: at Wed Oct 4 14:33:00 2000 ]gani[Author ID1: at Wed Oct 4 14:33:00 2000 ]ami administracyjnymi. Za każdym razem, kiedy [Author ID1: at Wed Oct 4 14:33:00 2000 ]gdy [Author ID1: at Wed Oct 4 14:33:00 2000 ]certyfikat traci ważność, administrator musi uaktualnić wszystkie relacje zaufania (trust relationships) i przenieść jednostkę certyfikującą (CA) [Author ID1: at Wed Oct 4 14:33:00 2000 ]do nowego certyfikatu.

8. Po wpisaniu wszystkich informacji identyfikujących naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 14:33:00 2000 ](Next)[Author ID1: at Wed Oct 4 14:33:00 2000 ].

9. Pojawi się okno z komunikatem ostrzegającym, że podane informacje zawierają znaki, które będą zakodowane w standardzie Unicode. Aby zamknąć okno,[Author ID1: at Wed Oct 4 14:33:00 2000 ] naciśnij przycisk [Author ID1: at Wed Oct 4 14:33:00 2000 ]Tak (Y[Author ID1: at Wed Oct 4 14:33:00 2000 ]Yes).

10. Okno dialogowe określa lokalizację bazy danych certyfikatów, informacji o konfiguracji oraz miejsca przechowywania Listy Odwołań [Author ID1: at Wed Oct 4 16:04:00 2000 ]Certyfikatów[Author ID1: at Wed Oct 4 16:04:00 2000 ] ([Author ID1: at Wed Oct 4 16:04:00 2000 ]CRL)[Author ID1: at Wed Oct 4 16:04:00 2000 ]. Jednostka certyfikująca przedsiębiorstwa (enterprise CA) zawsze zapisuje dane w katalogu CertSrv.

Uwaga: Zaleca się, aby sprawdzić zawartość pola Store przy zaznaczonym polu wyboru foldera udostępnionego (shared folder). Opcja ta określa lokalizację foldera, w którym zapisane będą dane o konfiguracji danej jednostki certyfikującej. Należy podać ścieżkę UNC do tego foldera i tak skonfigurować wszystkie jednostki certyfikujące (CA), by wskazywały na ten sam folder. Jeśli nie można skorzystać z usług katalogowych Active Directory, wówczas[Author ID1: at Wed Oct 4 14:34:00 2000 ] to wtedy[Author ID1: at Wed Oct 4 14:34:00 2000 ] folder ten służy do określenia konfiguracji jednostki certyfikującej (CA) [Author ID1: at Wed Oct 4 14:34:00 2000 ]przez narzędzia administracyjne.

Rysunek 7.2.[Author ID1: at Wed Oct 4 14:34:00 2000 ] Dane identyfikacyjne jednostki certyfikującej wraz z ustawionym okresem ważności.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

11. Podaj lokalizację, w której mają zostać zapisane podane [Author ID1: at Wed Oct 4 14:35:00 2000 ]ustalone [Author ID1: at Wed Oct 4 14:35:00 2000 ]przez ciebie informacje,[Author ID1: at Wed Oct 4 14:35:00 2000 ] a następnie naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 14:35:00 2000 ]Next).

12. Może pojawić się okno komunikatów,[Author ID1: at Wed Oct 4 14:35:00 2000 ] z informacją, że zostanie utworzony folder. Aby zamknąć okno,[Author ID1: at Wed Oct 4 14:35:00 2000 ] naciśnij przycisk Tak (YY[Author ID1: at Wed Oct 4 14:35:00 2000 ]es).

13. Jeśli usługa Internet Information Server (IIS) jest uruchomiona, pojawi się komunikat żądający zatrzymania tej usługi. Aby zatrzymać usługe [Author ID1: at Wed Oct 4 14:35:00 2000 ]Internet Information Server[Author ID1: at Wed Oct 4 14:35:00 2000 ] (IIS) [Author ID1: at Wed Oct 4 14:35:00 2000 ]to zrobić [Author ID1: at Wed Oct 4 14:35:00 2000 ]naciśnij przycisk OK..[Author ID1: at Wed Oct 4 14:35:00 2000 ]

14. Jeśli instalowana jest podrzędna jednostka certyfikująca (S[Author ID1: at Wed Oct 4 14:35:00 2000 ]s[Author ID1: at Wed Oct 4 14:35:00 2000 ]ubordinate CA), kreator (wizard) [Author ID1: at Wed Oct 4 14:35:00 2000 ]wyświetli monit o informacje na temat, w jaki sposób [Author ID1: at Wed Oct 4 14:36:00 2000 ]dotyczące sposobu[Author ID1: at Wed Oct 4 14:36:00 2000 ]będą [Author ID1: at Wed Oct 4 14:36:00 2000 ] [Author ID1: at Wed Oct 4 14:36:00 2000 ]wysyłania[Author ID1: at Wed Oct 4 14:36:00 2000 ]e[Author ID1: at Wed Oct 4 14:36:00 2000 ] żądania certyfikatu. W trakcie instalowania głównej jednostki certyfikującej (R[Author ID1: at Wed Oct 4 14:36:00 2000 ]r[Author ID1: at Wed Oct 4 14:36:00 2000 ]oot CA) to okno dialogowe nie pojawi się. W tym przypadku przejdź bezpośrednio do kroku [Author ID1: at Wed Oct 4 14:36:00 2000 ]czynności[Author ID1: at Wed Oct 4 14:36:00 2000 ] 18.

15. Aby zlokalizować jednostkę certyfikującą pracującą w trybie online,[Author ID1: at Wed Oct 4 14:36:00 2000 ] naciśnij przycisk Przeglądaj (B[Author ID1: at Wed Oct 4 14:36:00 2000 ]Browse). Jeśli korzystasz z komercyjnej jednostki certyfikującej (CA) lub z jednostki certyfikującej, która nie jest dostępna z sieci jako główna (root), wybierz opcję Zapisz Żądanie w Pliku (S „S[Author ID1: at Wed Oct 4 14:37:00 2000 ]ave The Request To a File”[Author ID1: at Wed Oct 4 14:37:00 2000 ]). Jeśli utworzysz plik, musisz go przekazać do jednostki certyfikującej (CA), aby mogła go przetworzyć. Jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 14:37:00 2000 ]dostarczy certyfikat, który instaluje się za pomocą modułu dodatkowego (snap-in) konsoli MMC.

16. Naciśnij Dalej (N[Author ID1: at Wed Oct 4 14:37:00 2000 ]Next). Jeśli wybrałeś zapisywanie żądania w pliku, pojawi się komunikat, mówiący o tym, że musisz przekazać ten plik do jednostki certyfikującej (CA). Sposób przekazania opisano w dalszej części niniejszego rozdziału. W przeciwnym razie wykonanie kroku [Author ID1: at Wed Oct 4 14:37:00 2000 ]czynności [Author ID1: at Wed Oct 4 14:37:00 2000 ]17 spowoduje zainstalowanie jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 14:37:00 2000 ].

17. Naciśnij przycisk OK.

18. Rozpocznie się instalowanie. Może pojawić się monit o włożenie instalacyjnego dysku CD-ROM systemu Windows 2000. Aby zamknąć kreatora (wizard),[Author ID1: at Wed Oct 4 14:38:00 2000 ] naciśnij przycisk Zakończ (F[Author ID1: at Wed Oct 4 14:38:00 2000 ]Finish).

Zastosowanie stron internetowych usług certyfikatów

Usługi Certyfikatów (C[Author ID1: at Wed Oct 4 14:41:00 2000 ]Certificates[Author ID1: at Wed Oct 4 14:41:00 2000 ] SS[Author ID1: at Wed Oct 4 14:41:00 2000 ]ervices) systemu Windows 2000 są [Author ID1: at Wed Oct 4 14:41:00 2000 ]dostarczane przez[Author ID1: at Wed Oct 4 14:42:00 2000 ]ją[Author ID1: at Wed Oct 4 14:41:00 2000 ] próbne strony internetowe, które umożliwiają użycie przeglądarki internetowej do połączenia się z daną usługą i wykonanie [Author ID1: at Wed Oct 4 14:42:00 2000 ]zre[Author ID1: at Wed Oct 4 14:42:00 2000 ]alizowanie [Author ID1: at Wed Oct 4 14:42:00 2000 ]często wykonywanych zadań, takich jak żądanie certyfikatu jednostki administracyjnej, żądanie certyfikatów od jednoste[Author ID1: at Wed Oct 4 14:42:00 2000 ]ki[Author ID1: at Wed Oct 4 14:42:00 2000 ] certyfikujących, przetwarzanie pliku z żądaniem certyfikatu lub przetwarzanie pliku rejestrowania karty elektronicznej (smart card enrollment file).

Jednostka certyfikująca przedsiębiorstwa (enterprise CA) wymaga zalogowania się na stronie internetowej,[Author ID1: at Wed Oct 4 14:43:00 2000 ] podając swój identyfikator użytkownika (user ID). Następnie wybiera się Szablon Certyfikatu (Certificate Template). Jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 14:43:00 2000 ]znajduje konto użytkownika w usługach katalogowych Active Directory i generuje certyfikat na podstawie informacji z Active Directory i wybranego szablonu (template).

Autonomiczna[Author ID1: at Wed Oct 4 14:43:00 2000 ]e[Author ID1: at Wed Oct 4 14:43:00 2000 ] jednostka certyfikująca (CA)[Author ID1: at Wed Oct 4 14:43:00 2000 ] nie wymaga podania Identyfikatora Logowania (Logon ID), ale zamiast tego korzysta z informacji podanych w żądaniu certyfikatu i na podstawie tych danych wydaje certyfikat. Domyślnie autonomiczna jednostka certyfikująca (S[Author ID1: at Wed Oct 4 14:44:00 2000 ]s[Author ID1: at Wed Oct 4 14:44:00 2000 ]tandalone CA) nie wyda natychmiast certyfikatu użytkownikowi — najpierw administrator musi zatwierdzić żądanie za pomocą narzędzi administracyjnych. Oznacza to, że użytkownik musi odwiedzić strony internetowe dwukrotnie;[Author ID1: at Wed Oct 4 14:44:00 2000 ] —[Author ID1: at Wed Oct 4 14:44:00 2000 ] aby wysłać żądanie oraz aby odebrać certyfikat. Administrator może skonfigurować jednostkę certyfikującą (CA) [Author ID1: at Wed Oct 4 14:44:00 2000 ]w ten sposób, aby certyfikaty były wydawane natychmiast i w tym przypadku użytkownik otrzyma certyfikat na żądanie.

Na potrzeby poniższej procedury przyjęto, że zainstalowana jest usługa certyfikatów (c[Author ID1: at Wed Oct 4 14:44:00 2000 ]C[Author ID1: at Wed Oct 4 14:44:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 14:44:00 2000 ]S[Author ID1: at Wed Oct 4 14:44:00 2000 ]ervice) firmy Microsoft. Strony internetowe znajdują się pod adresem http://ServerNAme/CertSrv, gdzie ServerName jest nazwą serwera jednostki certyfikującej (CA s[Author ID1: at Wed Oct 4 14:45:00 2000 ]S[Author ID1: at Wed Oct 4 14:45:00 2000 ]erver).

Wskazówka: Jeśli po połączeniu się ze stronami internetowymi usług certyfikatów (C[Author ID1: at Wed Oct 4 14:45:00 2000 ]c[Author ID1: at Wed Oct 4 14:45:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 14:45:00 2000 ]s[Author ID1: at Wed Oct 4 14:45:00 2000 ]ervices) wystąpi błąd, należy sprawdzić, czy strony te są zainstalowane. Jeśli nie zainstalowano usługi Internet Information Server (IIS) lub zainstalowano ją po usłudze certyfikatów (Certificate Service)[Author ID1: at Wed Oct 4 14:45:00 2000 ], to strony internetowe nie zostaną zainstalowane. W tym przypadku konieczne[Author ID1: at Wed Oct 4 14:45:00 2000 ]a[Author ID1: at Wed Oct 4 14:45:00 2000 ] jest ponowne zainstalowanie usług certyfikatów (Certificate Service)[Author ID1: at Wed Oct 4 14:45:00 2000 ] i prawdopodobnie również usługi Internet Information Server (IIS)[Author ID0: at Thu Nov 30 00:00:00 1899 ].

Potwierdzanie ustawień stron internetowych

Jeśli korzysta się z jednostki certyfikującej przedsiębiorstwa (enterprise CA), konieczne jest upewnienie się, czy prawidłowo ustanowiono zabezpieczenia stron internetowych. W przypadku autonomicznej jednostki certyfikującej (S[Author ID1: at Wed Oct 4 14:46:00 2000 ]s[Author ID1: at Wed Oct 4 14:46:00 2000 ]tandalone CA),[Author ID1: at Wed Oct 4 14:46:00 2000 ] można to pominąć. Jednostka certyfikująca przedsiębiorstwa (enterprise CA) [Author ID1: at Wed Oct 4 14:46:00 2000 ]wymaga, aby żądający certyfikatu (requestor) został uwierzytelniony przez daną stronę internetową, więc może ustalić, które informacje mają być zamieszczone w certyfikacie.

Poniżej opisano sposób potwierdzania ustawień zabezpieczeń:

1. Z menu Narzędzia administracyjne (AA[Author ID1: at Wed Oct 4 14:46:00 2000 ]dministrative T[Author ID1: at Wed Oct 4 14:46:00 2000 ]t[Author ID1: at Wed Oct 4 14:46:00 2000 ]ools) wybierz pozycję Menedżer Usług Internetowych (II[Author ID1: at Wed Oct 4 14:46:00 2000 ]nternet S[Author ID1: at Wed Oct 4 14:46:00 2000 ]Service M[Author ID1: at Wed Oct 4 14:46:00 2000 ]Manager).

2. Rozwiń gałąź Domyślna Witryna Sieci Web (DD[Author ID1: at Wed Oct 4 14:46:00 2000 ]efault Web Site) i zlokalizuj katalog wirtualny (virtual directory) CertSrv. Jeśli nie można go [Author ID1: at Wed Oct 4 14:47:00 2000 ]znaleźć [Author ID1: at Wed Oct 4 14:47:00 2000 ]CertSrv[Author ID1: at Wed Oct 4 14:47:00 2000 ], upewnij się, czy zainstalowano Usługę Certyfikatów (C[Author ID1: at Wed Oct 4 14:47:00 2000 ]Certificate SS[Author ID1: at Wed Oct 4 14:47:00 2000 ]ervice) a — [Author ID1: at Wed Oct 4 14:47:00 2000 ]w razie potrzeby — [Author ID1: at Wed Oct 4 14:47:00 2000 ]zainstaluj je ponownie.

OSTRZEŻENIE! Aby wymieniony powyżej katalog wirtualny był widoczny, może być konieczne usunięcie i ponowne zainstalowanie Usługi Certyfikatów (C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Certificate S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Service).

3. Prawym klawiszem [Author ID1: at Wed Oct 4 14:48:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 14:48:00 2000 ]myszki kliknij folder wirtualny CertSrv i z menu wybierz pozycję[Author ID1: at Wed Oct 4 14:48:00 2000 ]e[Author ID1: at Wed Oct 4 14:48:00 2000 ] Właściwości (PP[Author ID1: at Wed Oct 4 14:48:00 2000 ]roperties).

4. Wybierz zakładkę Zabezpieczenia Katalogu (DD[Author ID1: at Wed Oct 4 14:48:00 2000 ]irectory S[Author ID1: at Wed Oct 4 14:48:00 2000 ]Security).

5. W części okna Kontrola Dostępu Anonimowego i Uwierzytelniania (A[Author ID1: at Wed Oct 4 14:48:00 2000 ]Anonymous Access and Authentication Control) naciśnij przycisk Edytuj (E[Author ID1: at Wed Oct 4 14:48:00 2000 ]e[Author ID1: at Wed Oct 4 14:48:00 2000 ]dit).

6. Usuń zaznaczenie wszystkich pól wyboru oprócz Zintegrowane Uwierzytelnianie Systemowe Windows (I[Author ID1: at Wed Oct 4 14:49:00 2000 ]Integrated Windows Authentication), jak przedstawiono to na rysunku 7.3.

7. Naciśnij przycisk [Author ID1: at Wed Oct 4 14:49:00 2000 ]OK.[Author ID1: at Wed Oct 4 14:49:00 2000 ] i zamknij wszystkie okna dialogowe.

Rysunek 7.3.[Author ID1: at Wed Oct 4 14:49:00 2000 ] Sposoby uwierzytelniania.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Instalowanie certyfikatów jednostek certyfikujących (CA C[Author ID1: at Wed Oct 4 14:49:00 2000 ]c[Author ID1: at Wed Oct 4 14:49:00 2000 ]ertificates)

Uruchom przeglądarkę i połącz się ze stroną o adresie http://ServerName/CertSrv, gdzie ServerName jest nazwą serwera jednostki certyfikującej (CA server). W przypadku łączenia się z jednostką certyfikującą przedsiębiorstwa (E[Author ID1: at Wed Oct 4 14:49:00 2000 ]e[Author ID1: at Wed Oct 4 14:49:00 2000 ]nterprise CA), wymagane będzie zalogowanie się [Author ID1: at Wed Oct 4 14:49:00 2000 ]na stronie internetowej przez podanie identyfikatora użytkownika (U[Author ID1: at Wed Oct 4 14:50:00 2000 ]u[Author ID1: at Wed Oct 4 14:50:00 2000 ]ser ID) i hasła. Po połączeniu się [Author ID1: at Wed Oct 4 14:50:00 2000 ]pojawi się ekran podobny do przedstawionego na rysunku 7.4.

Rysunek 7.4.[Author ID1: at Wed Oct 4 14:50:00 2000 ] Ekran powitalny Usługi Certyfikatów firmy Microsoft (Microsoft C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Certificate S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Services).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

W przypadku połączenia z jednostką certyfikującą[Author ID1: at Wed Oct 4 14:50:00 2000 ]a[Author ID0: at Thu Nov 30 00:00:00 1899 ] przedsiębiorstwa (enterprise CA)[Author ID0: at Thu Nov 30 00:00:00 1899 ], jeśli dany komputer należy do tego przedsiębiorstwa,[Author ID1: at Wed Oct 4 14:50:00 2000 ] można przejść [Author ID0: at Thu Nov 30 00:00:00 1899 ]od razu przejść [Author ID1: at Wed Oct 4 14:50:00 2000 ]do procedury opisanej w podrozdziale „Żądanie certyfikatu”, pomijając procedurę zamieszczoną poniżej. W przypadku połączenia z autonomiczną jednostką certyfikującą (S[Author ID1: at Wed Oct 4 14:51:00 2000 ]s[Author ID1: at Wed Oct 4 14:51:00 2000 ]tandalone CA) przed użyciem Infrastruktury Klucza Publicznego (PKI) konieczne jest pobranie certyfikatu głównego (root certificate) i podać, czy zostanie obdarzony zaufaniem.

Pobieranie certyfikatu głównego (root certificate)

1. Zaznacz pozycję Pobieranie certyfikatu głównego lub listy unieważnionych certyfikatów (RR[Author ID1: at Wed Oct 4 14:51:00 2000 ]etrieve the root certificate or certificate revocation list),[Author ID1: at Wed Oct 4 14:51:00 2000 ] a następnie naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 14:51:00 2000 ]Next). Pojawi się ekran podobny do zamieszczonego na rysunku 7.5.

2. Kliknij [Author ID1: at Wed Oct 4 20:15:00 2000 ]Wybierz [Author ID1: at Wed Oct 4 20:15:00 2000 ]łącze Pobieranie certyfikatu jednostki certyfikującej (DD[Author ID1: at Wed Oct 4 14:51:00 2000 ]ownload CA certificate).

3. Wybierz pozycję Otwórz ten plik z bieżącej lokalizacji (O[Author ID1: at Wed Oct 4 14:51:00 2000 ]Open this file from its current location) i n[Author ID1: at Wed Oct 4 14:52:00 2000 ]. N[Author ID1: at Wed Oct 4 14:52:00 2000 ]aciśnij przycisk OK. Pojawi się okno dialogowe podobne do zamieszczonego na rysunku 7.6.

4. Jeśli zadecydujesz, że certyfikat jest godny zaufania we wszystkich wymienionych w oknie zastosowaniach,[Author ID1: at Wed Oct 4 14:52:00 2000 ] naciśnij przycisk Instaluj Certyfikat (II[Author ID1: at Wed Oct 4 14:52:00 2000 ]nstall CC[Author ID1: at Wed Oct 4 14:52:00 2000 ]ertificate). Uruchomiony zostanie Kreator Importu Certyfikatów (CC[Author ID1: at Wed Oct 4 14:52:00 2000 ]ertificate I[Author ID1: at Wed Oct 4 14:52:00 2000 ]Import WW[Author ID1: at Wed Oct 4 14:52:00 2000 ]izard).

5. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 14:52:00 2000 ](Next)[Author ID1: at Wed Oct 4 14:52:00 2000 ]. Kreator (wizard) poprosi o wybranie magazynu (store) dla danego certyfikatu. Wybierz opcję Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu (AA[Author ID1: at Wed Oct 4 14:52:00 2000 ]utomatically select the certificate store based on the type of the certificate). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 14:53:00 2000 ](Next)[Author ID1: at Wed Oct 4 14:53:00 2000 ].

6. Naciśnij przycisk Zakończ (F[Author ID1: at Wed Oct 4 14:53:00 2000 ]Finish).

Rysunek 7.5.[Author ID1: at Wed Oct 4 14:53:00 2000 ] Okno dialogowe z instrukcjami instalacji jednostki certyfikującej (CA).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 7.6.[Author ID1: at Wed Oct 4 14:53:00 2000 ] Okno dialogowe z informacjami o certyfikacie.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

7. Jeśli operacja importowania zakończy się poprawnie, pojawi się komunikat potwierdzający. Naciśnij przycisk OK.

8. Aby zamknąć okno dialogowe Informacje o Certyfikacie (C[Author ID1: at Wed Oct 4 14:53:00 2000 ]Certificate I[Author ID1: at Wed Oct 4 14:53:00 2000 ]Information),[Author ID1: at Wed Oct 4 14:53:00 2000 ] naciśnij przycisk [Author ID1: at Wed Oct 4 14:54:00 2000 ]OK. Teraz można przejść do następnej procedury żądania certyfikatu.

Żądanie certyfikatu

Poniżej opisano procedurę żądania certyfikatu:

1. Uruchom przeglądarkę i połącz się ze stroną o adresie http://ServerName/CertSrv. Pojawi się ekran powitalny Usługi Certyfikatów Firmy Microsoft (Microsoft CC[Author ID1: at Wed Oct 4 14:54:00 2000 ]ertificate SS[Author ID1: at Wed Oct 4 14:54:00 2000 ]ervices), przedstawiony na rysunku 7.4.

2. Wybierz opcję[Author ID1: at Wed Oct 4 14:54:00 2000 ]Włącz pozycję[Author ID1: at Wed Oct 4 14:54:00 2000 ] Żądanie Certyfikatu (RR[Author ID1: at Wed Oct 4 14:54:00 2000 ]equest a Certificate). Naciśnij przycisk Dalej (NN[Author ID1: at Wed Oct 4 14:54:00 2000 ]ext).

3. Wybierz opcję Żądanie Certyfikatu Użytkownika (U[Author ID1: at Wed Oct 4 14:55:00 2000 ]User Certificate Request) i w polu listy zaznacz pozycję Certyfikat Użytkownika (UU[Author ID1: at Wed Oct 4 14:55:00 2000 ]ser CC[Author ID1: at Wed Oct 4 14:55:00 2000 ]ertificate). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 14:55:00 2000 ](Next)[Author ID1: at Wed Oct 4 14:55:00 2000 ].

4. W przypadku połączenia z autonomiczną jednostką certyfikującą (S[Author ID1: at Wed Oct 4 14:55:00 2000 ]s[Author ID1: at Wed Oct 4 14:55:00 2000 ]tandalone CA) pojawi się strona Certyfikat Użytkownika [Author ID1: at Wed Oct 4 14:55:00 2000 ]-[Author ID1: at Wed Oct 4 14:55:00 2000 ]— [Author ID1: at Wed Oct 4 14:55:00 2000 ]I[Author ID1: at Wed Oct 4 14:55:00 2000 ]Informacja Identyfikacyjna (UU[Author ID1: at Wed Oct 4 14:55:00 2000 ]ser CC[Author ID1: at Wed Oct 4 14:55:00 2000 ]ertificate [Author ID1: at Wed Oct 4 14:55:00 2000 ]-[Author ID1: at Wed Oct 4 14:55:00 2000 ]— [Author ID1: at Wed Oct 4 14:55:00 2000 ]I[Author ID1: at Wed Oct 4 14:55:00 2000 ]Identifying II[Author ID1: at Wed Oct 4 14:55:00 2000 ]nformation). Wypełnij wtedy [Author ID1: at Wed Oct 4 14:55:00 2000 ]wówczas [Author ID1: at Wed Oct 4 14:55:00 2000 ]formularz w trybie online i naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 14:56:00 2000 ](Next)[Author ID1: at Wed Oct 4 14:56:00 2000 ]. W przypadku połączenia z jednostką certyfikującą przedsiębiorstwa (enterprise CA) dane zostaną pobrane z Active Directory i pojawi się monit o wysłanie żądania.

5. Naciśnij przycisk Wyślij (S[Author ID1: at Wed Oct 4 14:56:00 2000 ]Submit). Na podstawie podanych informacji program wygeneruje parę kluczy prywatnych i żądanie certyfikatu oraz wyśle żądanie do jednostki certyfikującej (CA).

6. Jeśli jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 14:56:00 2000 ]jest skonfigurowana w ten sposób, że zatwierdza żądania automatycznie, to [Author ID1: at Wed Oct 4 14:56:00 2000 ]zostanie wydany nowy certyfikat. W tym przypadku kliknij połączenie (link) Instaluj ten certyfikat (I[Author ID1: at Wed Oct 4 14:56:00 2000 ]Install this certificate) i zostanie on zainstalowany. Jeśli jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 14:57:00 2000 ]wymaga przed wydaniem certyfikatu zatwierdzenia przez administratora, pojawi się okno Certyfikat Oczekujący (CC[Author ID1: at Wed Oct 4 14:57:00 2000 ]ertificate PP[Author ID1: at Wed Oct 4 14:57:00 2000 ]ending). Teraz należy przejść do następnej procedury.

Zakończenie obsługi żądań oczekujących

Procedura ta pozwala na zakończenie obsługi żądania certyfikatu, które wymaga zatwierdzenia przez administratora. Należy zwrócić uwagę, że poniższą procedurę wykonuje się tylko wtedy, gdy jednostka certyfikująca została skonfigurowana w ten sposób, że przed wydaniem certyfikatu wymagane jest zatwierdzenie przez administratora oraz po pojawieniu się komunikatu o certyfikacie oczekującym (c[Author ID1: at Wed Oct 4 14:58:00 2000 ]C[Author ID1: at Wed Oct 4 14:58:00 2000 ]ertificate p[Author ID1: at Wed Oct 4 14:58:00 2000 ]P[Author ID1: at Wed Oct 4 14:58:00 2000 ]ending), kończącym procedurę opisaną powyżej.

1. Uruchom przeglądarkę i połącz się ze stroną o adresie http://ServerName/CertSrv. Pojawi się ekran powitalny Usługi Certyfikatów Firmy Microsoft (Microsoft CC[Author ID1: at Wed Oct 4 14:58:00 2000 ]ertificate SS[Author ID1: at Wed Oct 4 14:58:00 2000 ]ervices), przedstawiony na rysunku 7.4. Zaznacz opcję Sprawdzenie Certyfikatów Oczekujących (C[Author ID1: at Wed Oct 4 14:58:00 2000 ]Check On a Pending Certificate) i naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 14:59:00 2000 ]Next).

2. W polu listy pojawią się zatwierdzone żądania certyfikatów. Wybierz jedno i naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 14:59:00 2000 ](Next)[Author ID1: at Wed Oct 4 14:59:00 2000 ].

3. Kliknij łącze (link) Instalowanie niniejszego certyfikatu (I[Author ID1: at Wed Oct 4 14:59:00 2000 ]Install this certificate).

4. Certyfikat został zainstalowany. Aby zamknąć okno z komunikatem potwierdzającym,[Author ID1: at Wed Oct 4 14:59:00 2000 ] naciśnij przycisk OK.

Weryfikowanie wydanego certyfikatu

Do zweryfikowania certyfikatu można użyć przeglądarki internetowej lub programu narzędziowego Jednostka certyfikująca (Certificate Authority — CA[Author ID1: at Wed Oct 4 14:59:00 2000 ]). Obydwa sposoby opisano poniżej.

Zastosowanie programu Internet Explorer 5

1. Z menu programu Internet Explorer Narzędzia ( [Author ID1: at Wed Oct 4 15:00:00 2000 ]TT[Author ID1: at Wed Oct 4 15:00:00 2000 ]ools) wybierz pozycję Opcje Internetowe (Internet OO[Author ID1: at Wed Oct 4 15:00:00 2000 ]ptions).

2. Wybierz zakładkę Zawartość (C[Author ID1: at Wed Oct 4 15:00:00 2000 ]Content).[Author ID1: at Wed Oct 4 15:00:00 2000 ]

3. Naciśnij przycisk Certyfikaty (C[Author ID1: at Wed Oct 4 15:00:00 2000 ]Certificates).

4. Znajdź [Author ID1: at Wed Oct 4 15:00:00 2000 ]Odszukaj [Author ID1: at Wed Oct 4 15:00:00 2000 ]pobrany certyfikat i kliknij go dwukrotnie, aby zobaczyć informacje szczegółowe. Jeśli certyfikatu nie ma na liście, jego[Author ID1: at Wed Oct 4 15:01:00 2000 ] pobranie certyfikatu [Author ID1: at Wed Oct 4 15:01:00 2000 ]nie zakończyło się poprawnie. Można wybrać zakładkę Ogólne (G[Author ID1: at Wed Oct 4 15:01:00 2000 ]General), Szczegóły (DD[Author ID1: at Wed Oct 4 15:02:00 2000 ]etails) lub Ścieżka Certyfikacji (C[Author ID1: at Wed Oct 4 15:02:00 2000 ]Certification PP[Author ID1: at Wed Oct 4 15:02:00 2000 ]ath). Na rysunku 7.7 przedstawiono okno zakładki Szczegóły [Author ID1: at Wed Oct 4 15:02:00 2000 ](Details)[Author ID1: at Wed Oct 4 15:02:00 2000 ].

Rysunek 7.7.[Author ID1: at Wed Oct 4 15:02:00 2000 ] Informacje szczegółowe o certyfikacie.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Zastosowanie programu narzędziowego Jednostka certyfikująca ([Author ID1: at Wed Oct 4 15:02:00 2000 ]Certificate [Author ID1: at Wed Oct 4 15:02:00 2000 ]Authority (Jednostka certyfikująca[Author ID1: at Wed Oct 4 15:02:00 2000 ])

1. Z menu Narzędzia administracyjne (A[Author ID1: at Wed Oct 4 15:02:00 2000 ]Administrative t[Author ID1: at Wed Oct 4 15:02:00 2000 ]T[Author ID1: at Wed Oct 4 15:02:00 2000 ]ools) wybierz pozycję Jednostka Certyfikująca (CC[Author ID1: at Wed Oct 4 15:02:00 2000 ]ertification AA[Author ID1: at Wed Oct 4 15:03:00 2000 ]uthority).

2. Znajdź [Author ID1: at Wed Oct 4 15:03:00 2000 ]Odszukaj [Author ID1: at Wed Oct 4 15:03:00 2000 ]pobrany certyfikat i kliknij go dwukrotnie, aby zobaczyć informacje szczegółowe. Jeśli certyfikatu nie ma na liście, jego[Author ID1: at Wed Oct 4 15:04:00 2000 ] pobranie certyfikatu [Author ID1: at Wed Oct 4 15:04:00 2000 ]nie zakończyło się poprawnie. Powinno pojawić się okno,[Author ID1: at Wed Oct 4 15:04:00 2000 ] przedstawione na rysunku 7.7.[Author ID1: at Wed Oct 4 15:03:00 2000 ]

Żądanie certyfikatów zaawansowanych

Jeśli zachodzi potrzeba wysłania do jednostki certyfikującej (CA) żądania certyfikatu specjalnego,[Author ID1: at Wed Oct 4 15:04:00 2000 ] należy skorzystać z opcji zaawansowanych. Można, np.[Author ID1: at Wed Oct 4 15:04:00 2000 ] na przykład[Author ID1: at Wed Oct 4 15:04:00 2000 ] żądać certyfikatu dla protokołu IP Security (IPSec) lub certyfikatu z kluczem o specjalnej długości.

Poniżej zamieszczono procedurę żądania certyfikatu zaawansowanego:

1. Za pomocą przeglądarki przejdź do strony Usługi Certyfikatów [Author ID1: at Wed Oct 4 15:06:00 2000 ]-[Author ID1: at Wed Oct 4 15:06:00 2000 ]—[Author ID1: at Wed Oct 4 15:06:00 2000 ]Strona Powitalna (CC[Author ID1: at Wed Oct 4 15:06:00 2000 ]ertificate SS[Author ID1: at Wed Oct 4 15:06:00 2000 ]ervices WW[Author ID1: at Wed Oct 4 15:06:00 2000 ]elcome). Zaznacz opcję Żądanie Certyfikatu (RR[Author ID1: at Wed Oct 4 15:06:00 2000 ]equest a Certificate),[Author ID1: at Wed Oct 4 15:06:00 2000 ] a następnie naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 15:06:00 2000 ]Next).

2. Wybierz opcję Żądanie Zaawansowane (A[Author ID1: at Wed Oct 4 15:06:00 2000 ]Advanced Request) i włącz [Author ID1: at Wed Oct 4 15:06:00 2000 ]a następnie kliknij [Author ID1: at Wed Oct 4 15:06:00 2000 ]Dalej [Author ID1: at Wed Oct 4 15:06:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:06:00 2000 ]. Powinien pojawić się ekran podobny do zamieszczonego na rysunku 7.8.

Rysunek 7.8.[Author ID1: at Wed Oct 4 15:07:00 2000 ] Okno Ż[Author ID0: at Thu Nov 30 00:00:00 1899 ]ż[Author ID1: at Wed Oct 4 15:06:00 2000 ]ądania certyfikatów zaawansowanych (A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Advanced CC[Author ID0: at Thu Nov 30 00:00:00 1899 ]ertificate RR[Author ID0: at Thu Nov 30 00:00:00 1899 ]equests).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

3. Zaznacz opcję Prześlij żądanie certyfikatu do danej jednostki certyfikującej,[Author ID1: at Wed Oct 4 15:12:00 2000 ] używając formularza (S[Author ID1: at Wed Oct 4 15:12:00 2000 ]Submit a certificate request to this CA using a form),[Author ID1: at Wed Oct 4 15:12:00 2000 ] a następnie naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 15:12:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:12:00 2000 ]. Opcję[Author ID1: at Wed Oct 4 15:13:00 2000 ]a[Author ID0: at Thu Nov 30 00:00:00 1899 ] wykorzystującą[Author ID1: at Wed Oct 4 15:13:00 2000 ]a[Author ID0: at Thu Nov 30 00:00:00 1899 ] pliki w standardzie PKCS #10 omówiono w dalszej części niniejszego rozdziału.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 15:13:00 2000 ]: [Author ID1: at Wed Oct 4 15:13:00 2000 ]zobacz na stronie:

Wydawanie kart elektronicznych (smart cards)

4. W przypadku połączenia z autonomiczną jednostką certyfikującą (S[Author ID1: at Wed Oct 4 15:13:00 2000 ]s[Author ID1: at Wed Oct 4 15:13:00 2000 ]tandalone CA) zostaniesz poproszony o podanie informacji identyfikujących. Wybierz zastosowanie certyfikatu, które ci najbardziej odpowiada. Zmiana zawartości pola Usługodawca Usług Kryptograficznych (C[Author ID1: at Wed Oct 4 15:13:00 2000 ]Cryptographic S[Author ID1: at Wed Oct 4 15:13:00 2000 ]Service PP[Author ID1: at Wed Oct 4 15:13:00 2000 ]rovider) nie jest potrzebna,[Author ID1: at Wed Oct 4 15:14:00 2000 ] o ile nie jest potrzeb[Author ID1: at Wed Oct 4 15:14:00 2000 ]wymaga[Author ID1: at Wed Oct 4 15:14:00 2000 ]ny inny algorytm klucza publicznego (public key algorithm) lub nie stosuje się urządzeń specjalnych, na [Author ID1: at Wed Oct 4 15:14:00 2000 ]przykład[Author ID1: at Wed Oct 4 15:14:00 2000 ].[Author ID1: at Wed Oct 4 15:14:00 2000 ] kart elektronicznych (smart cards[Author ID1: at Wed Oct 4 15:14:00 2000 ]).

5. Podaj żądane informacje i naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 15:14:00 2000 ]Next) Powinno pojawić się okno podobne do przedstawionego na rysunku 7.9. W przypadku połączenia z jednostką certyfikującą przedsiębiorstwa (enterprise CA) okno to pojawi się od razu.

[Author ID1: at Wed Oct 4 15:16:00 2000 ]

Rysunek 7.9. Wybór [Author ID1: at Wed Oct 4 15:16:00 2000 ]opcji zaawansowanych[Author ID1: at Wed Oct 4 15:16:00 2000 ]

Okno Żądanie Certyfikatu Zaawansowanego (A[Author ID1: at Wed Oct 4 15:15:00 2000 ]Advanced CC[Author ID1: at Wed Oct 4 15:15:00 2000 ]ertificate RR[Author ID1: at Wed Oct 4 15:15:00 2000 ]equest) umożliwia wybranie wielu opcji zaawansowanych:

• Z[Author ID1: at Wed Oct 4 15:15:00 2000 ]Zastosowanie Klucza (KK[Author ID1: at Wed Oct 4 15:15:00 2000 ]ey U[Author ID1: at Wed Oct 4 15:15:00 2000 ]Usage) — o[Author ID1: at Wed Oct 4 15:15:00 2000 ]O[Author ID1: at Wed Oct 4 15:15:00 2000 ]kreśla czy certyfikat będzie używany przy szyfrowaniu, opatrywaniu podpisem cyfrowym lub w obu tych przypadkach,[Author ID1: at Wed Oct 4 15:17:00 2000 ].[Author ID1: at Wed Oct 4 15:17:00 2000 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 7.9 Wybór opcji zaawansowanych.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

• [Author ID0: at Thu Nov 30 00:00:00 1899 ]RR[Author ID1: at Wed Oct 4 15:17:00 2000 ]ozmiar Klucza (KK[Author ID1: at Wed Oct 4 15:17:00 2000 ]ey SS[Author ID1: at Wed Oct 4 15:17:00 2000 ]ize) — z[Author ID1: at Wed Oct 4 15:17:00 2000 ]Z[Author ID1: at Wed Oct 4 15:17:00 2000 ]ależy od używanych aplikacji i zainstalowanej wersji systemu Windows. Zazwyczaj dobrze jest wybrać klucz o długości 1024 bitów[Author ID1: at Wed Oct 4 15:17:00 2000 ]y[Author ID1: at Wed Oct 4 15:17:00 2000 ]. W chwili pisania niniejszej książki istniały w wersji eksportowej systemu Windows 2000 ograniczenia długości klucza do maksymalnie 512 bitów,[Author ID1: at Wed Oct 4 15:17:00 2000 ].[Author ID1: at Wed Oct 4 15:17:00 2000 ]

• [Author ID1: at Wed Oct 4 15:17:00 2000 ]A[Author ID1: at Wed Oct 4 15:17:00 2000 ]Algorytm Funkcji Skrótu (H[Author ID1: at Wed Oct 4 15:17:00 2000 ]Hash Algorithm) — n[Author ID1: at Wed Oct 4 15:17:00 2000 ]N[Author ID1: at Wed Oct 4 15:17:00 2000 ]ie należy zmieniać domyślnej zawartości tego pola bez wyraźnych przyczyn,[Author ID1: at Wed Oct 4 15:18:00 2000 ].[Author ID1: at Wed Oct 4 15:18:00 2000 ]

• [Author ID1: at Wed Oct 4 15:18:00 2000 ]U[Author ID1: at Wed Oct 4 15:18:00 2000 ]Użyj Magazynu w Komputerze Lokalnym (UU[Author ID1: at Wed Oct 4 15:18:00 2000 ]se Local Machine Store) — u[Author ID1: at Wed Oct 4 15:18:00 2000 ]U[Author ID1: at Wed Oct 4 15:18:00 2000 ]mieszcza klucze i certyfikaty w magazynie (store) komputera,[Author ID1: at Wed Oct 4 15:18:00 2000 ] aby procesy systemowe, jak na przykład [Author ID1: at Wed Oct 4 15:18:00 2000 ]p. [Author ID1: at Wed Oct 4 15:18:00 2000 ]protokół IPSec, mogły z nich korzystać,[Author ID1: at Wed Oct 4 15:19:00 2000 ].[Author ID1: at Wed Oct 4 15:19:00 2000 ]

Uwaga: Jeśli używany jest istniejący zestaw kluczy, można je [Author ID1: at Wed Oct 4 15:18:00 2000 ]oznaczyć te klucze [Author ID1: at Wed Oct 4 15:18:00 2000 ]jako możliwe do eksportowania (exportable). Można [Author ID1: at Wed Oct 4 15:19:00 2000 ]Także [Author ID1: at Wed Oct 4 15:19:00 2000 ]zaznaczyć opcję Włącz Mocną Ochronę Klucza Prywatnego (EE[Author ID1: at Wed Oct 4 15:19:00 2000 ]nable Strong Private Key Protection), ale jest to zwykle [Author ID1: at Wed Oct 4 15:19:00 2000 ]na ogół [Author ID1: at Wed Oct 4 15:19:00 2000 ]niewłaściwy wybór,[Author ID1: at Wed Oct 4 15:19:00 2000 ] w przypadku kluczy zapisanych w magazynie (store) na komputerze lokalnym. Jak zwykle [Author ID1: at Wed Oct 4 15:19:00 2000 ]zawsze [Author ID1: at Wed Oct 4 15:19:00 2000 ]należy zachować równowagę pomiędzy bezpieczeństwem a użytecznością.

• Z [Author ID1: at Wed Oct 4 15:19:00 2000 ]Z[Author ID1: at Wed Oct 4 15:19:00 2000 ]apisz Żądanie Do Pliku w Formacie PKCS #10 (SS[Author ID1: at Wed Oct 4 15:20:00 2000 ]ave Request To a PKCS #10 File) — t[Author ID1: at Wed Oct 4 15:20:00 2000 ]T[Author ID1: at Wed Oct 4 15:20:00 2000 ]worzy plik żądania, który można wysłać do innej jednostki certyfikującej (CA). Tę opcję [Author ID1: at Wed Oct 4 15:20:00 2000 ]Zwykle [Author ID1: at Wed Oct 4 15:20:00 2000 ]wybiera się tą opcję [Author ID1: at Wed Oct 4 15:20:00 2000 ]w przypadku wysyłania żądań do usług certyfikatów, innych niż usługi firmy Microsoft, na [Author ID1: at Wed Oct 4 15:20:00 2000 ]przykład[Author ID1: at Wed Oct 4 15:20:00 2000 ].[Author ID1: at Wed Oct 4 15:20:00 2000 ] VeriSign.

[Author ID1: at Wed Oct 4 15:20:00 2000 ]

6. Z[Author ID1: at Wed Oct 4 16:32:00 2000 ]Z[Author ID1: at Wed Oct 4 16:32:00 2000 ]aznacz potrzebne ci opcje i naciśnij przycisk Prześlij (SS[Author ID1: at Wed Oct 4 15:21:00 2000 ]ubmit). Program wygeneruje parę kluczy prywatnych (private keys[Author ID1: at Wed Oct 4 15:21:00 2000 ]) i żądanie certyfikatu,[Author ID1: at Wed Oct 4 15:22:00 2000 ] zawierające wprowadzone uprzednio informacje. Żądanie jest wysyłane do jednostki certyfikującej.

7. Nowy certyfikat zostanie wydany,[Author ID1: at Wed Oct 4 15:22:00 2000 ] jeśli jednostka certyfikująca (CA) jest skonfigurowana w ten sposób, aby żądania certyfikatów były zatwierdzane automatycznie. W tym przypadku naciśnij przycisk Zainstaluj Ten Certyfikat (II[Author ID1: at Wed Oct 4 15:22:00 2000 ]nstall This CC[Author ID1: at Wed Oct 4 15:22:00 2000 ]ertificate). W przeciwnym razie konieczne jest zakończenie obsługi żądań oczekujących w sposób opisany wcześniej w niniejszym rozdziale.

Rejestrowanie za pomocą pliku żądania w formacie PKCS #10

Wiele urządzeń i usług tworzy pliki żądania certyfikatu w formacie PKCS #10. S[Author ID0: at Thu Nov 30 00:00:00 1899 ] (s[Author ID1: at Wed Oct 4 15:25:00 2000 ]ą to na [Author ID1: at Wed Oct 4 15:24:00 2000 ]przykład[Author ID1: at Wed Oct 4 15:24:00 2000 ].[Author ID1: at Wed Oct 4 15:24:00 2000 ] Internet II[Author ID0: at Thu Nov 30 00:00:00 1899 ]nformation SS[Author ID0: at Thu Nov 30 00:00:00 1899 ]erver, podrzędna jednostka certyfikująca (S[Author ID1: at Wed Oct 4 15:24:00 2000 ]s[Author ID1: at Wed Oct 4 15:24:00 2000 ]ubordinate CA) czy protokół IPSec)[Author ID1: at Wed Oct 4 15:25:00 2000 ]. Plik żądania certyfikatu w formacie PKCS #10 z[Author ID1: at Wed Oct 4 15:26:00 2000 ]Z[Author ID1: at Wed Oct 4 15:26:00 2000 ]awierają one[Author ID1: at Wed Oct 4 15:26:00 2000 ] wszystkie dane i wskazówki niezbędne do wydania certyfikatu. Na potrzeby procedury zamieszczonej poniżej przyjęto, że uzyskano certyfikat w formacie PKCS #10 i zapisano go w pliku.

Przetwarzanie pliku żądania certyfikatu w formacie PKCS #10 przebiega w następujący sposób:

1. Postępując zgodnie z opisem zamieszczonym wcześniej [Author ID1: at Wed Oct 4 15:26:00 2000 ]powyżej [Author ID1: at Wed Oct 4 15:26:00 2000 ]w niniejszym rozdziale,[Author ID1: at Wed Oct 4 15:26:00 2000 ] przejdź na stronę Żądanie Certyfikatu Zaawansowanego (A[Author ID1: at Wed Oct 4 15:26:00 2000 ]Advanced C[Author ID1: at Wed Oct 4 15:26:00 2000 ]Certificate RR[Author ID1: at Wed Oct 4 15:26:00 2000 ]equest), które przedstawiono na rysunku 7.8.

2. Zaznacz opcję Prześlij żądanie certyfikatu,[Author ID1: at Wed Oct 4 15:27:00 2000 ] korzystając z pliku w formacie PKCS #10 zakodowanego algorytmem base64 lub żądanie wznowienia,[Author ID1: at Wed Oct 4 15:28:00 2000 ] korzystając z pliku w formacie PKCS #7 zakodowanego algorytmem base64 (SS[Author ID1: at Wed Oct 4 15:28:00 2000 ]ubmit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file),[Author ID1: at Wed Oct 4 15:28:00 2000 ] a następnie naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 15:28:00 2000 ]Next).

3. Wstaw plik w formacie PKCS #10 zakodowany algorytmem base64 w pole tekstowe Żądanie Zapisane (S[Author ID1: at Wed Oct 4 15:28:00 2000 ]Saved RR[Author ID1: at Wed Oct 4 15:28:00 2000 ]equest), a następnie [Author ID1: at Wed Oct 4 15:28:00 2000 ]potem [Author ID1: at Wed Oct 4 15:28:00 2000 ]naciśnij przycisk Prześlij (SS[Author ID1: at Wed Oct 4 15:30:00 2000 ]ubmit). Przykład przedstawiono na rysunku 7.10.

4. Strony internetowe wygenerują parę kluczy prywatnych (private key pair) i żądanie certyfikatu zawierające podane informacje. Instalowanie certyfikatu odbywa się zgodnie z procedurą opisaną uprzednio.

Rysunek 7.10.[Author ID1: at Wed Oct 4 15:07:00 2000 ] Okno Przesyłanie Zapisanego Żądania (SS[Author ID0: at Thu Nov 30 00:00:00 1899 ]ubmit a SS[Author ID0: at Thu Nov 30 00:00:00 1899 ]aved RR[Author ID0: at Thu Nov 30 00:00:00 1899 ]equest).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Konfigurowanie relacji zaufania pomiędzy domeną a zewnętrzną jednostką certyfikującą

Poniżej zamieszczono procedurę ustanawiania relacji zaufania pomiędzy domeną systemu Windows 2000 a zewnętrzną jednostką certyfikującą (CA), taką jak VeriSign, Thawte lub jednostka certyfikująca (CA) firmy Microsoft w innej domenie. Przyjęto, że otrzymano certyfikat główny (root certificate) od jednostki zewnętrznej i zapisano go w pliku.

1. Uruchom okno dialogowe Zasady Grupowe Domeny Właściwości (DD[Author ID1: at Wed Oct 4 15:31:00 2000 ]omain Group Policy PP[Author ID1: at Wed Oct 4 15:31:00 2000 ]roperties) i edytuj obiekt zasad grupowych (GPO) Domyślne Zasady Domeny (DD[Author ID1: at Wed Oct 4 15:31:00 2000 ]efault DD[Author ID1: at Wed Oct 4 15:31:00 2000 ]omain PP[Author ID1: at Wed Oct 4 15:31:00 2000 ]olicy).

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 15:31:00 2000 ]: [Author ID1: at Wed Oct 4 15:31:00 2000 ]zobacz na stronie:

Edytowanie obiektu zasad grupowych

2. Rozwiń gałąź Konfiguracja komputera (c[Author ID1: at Wed Oct 4 15:31:00 2000 ]C[Author ID1: at Wed Oct 4 15:31:00 2000 ]omputer c[Author ID1: at Wed Oct 4 15:31:00 2000 ]C[Author ID1: at Wed Oct 4 15:31:00 2000 ]onfiguration), Ustawienia systemu Windows (Windows s[Author ID1: at Wed Oct 4 15:31:00 2000 ]S[Author ID1: at Wed Oct 4 15:31:00 2000 ]ettings), Ustawienia zabezpieczeń[Author ID1: at Wed Oct 4 15:31:00 2000 ] [Author ID1: at Wed Oct 4 15:31:00 2000 ]S[Author ID1: at Wed Oct 4 15:32:00 2000 ](s[Author ID1: at Wed Oct 4 15:31:00 2000 ]ecurity S[Author ID1: at Wed Oct 4 15:32:00 2000 ]s[Author ID1: at Wed Oct 4 15:32:00 2000 ]ettings ([Author ID1: at Wed Oct 4 15:32:00 2000 ]Ustawienia zabezpieczeń[Author ID1: at Wed Oct 4 15:31:00 2000 ]), Zasady kluczy publicznych (p[Author ID1: at Wed Oct 4 15:32:00 2000 ]P[Author ID1: at Wed Oct 4 15:32:00 2000 ]ublic K[Author ID1: at Wed Oct 4 15:32:00 2000 ]k[Author ID1: at Wed Oct 4 15:32:00 2000 ]ey p[Author ID1: at Wed Oct 4 15:32:00 2000 ]P[Author ID1: at Wed Oct 4 15:32:00 2000 ]olicies) i prawym klawiszem [Author ID1: at Wed Oct 4 15:32:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 15:32:00 2000 ]myszki kliknij [Author ID1: at Wed Oct 4 20:15:00 2000 ]włącz [Author ID1: at Wed Oct 4 20:15:00 2000 ]pozycję Zaufane główne jednostki certyfikujące (t[Author ID1: at Wed Oct 4 15:32:00 2000 ]T[Author ID1: at Wed Oct 4 15:32:00 2000 ]rusted r[Author ID1: at Wed Oct 4 15:32:00 2000 ]R[Author ID1: at Wed Oct 4 15:32:00 2000 ]oot Certification [Author ID1: at Wed Oct 4 15:32:00 2000 ]As[Author ID1: at Wed Oct 4 20:15:00 2000 ]uthorities[Author ID1: at Wed Oct 4 15:32:00 2000 ]).

3. Z menu wybierz opcję Wszystkie zadania (A[Author ID1: at Wed Oct 4 15:32:00 2000 ]All t[Author ID1: at Wed Oct 4 15:32:00 2000 ]T[Author ID1: at Wed Oct 4 15:32:00 2000 ]asks),[Author ID1: at Wed Oct 4 15:32:00 2000 ] a następnie kliknij Importuj (II[Author ID1: at Wed Oct 4 15:32:00 2000 ]mport) (rysunek 7.11). Uruchomiony zostanie Kreator [Author ID1: at Wed Oct 4 15:33:00 2000 ]Importu [Author ID1: at Wed Oct 4 15:33:00 2000 ]Certyfikatów[Author ID1: at Wed Oct 4 15:33:00 2000 ] [Author ID1: at Wed Oct 4 15:33:00 2000 ]-->C[Author ID1: at Wed Oct 4 15:33:00 2000 ][Author ID1: at Wed Oct 4 15:33:00 2000 ]([Author ID1: at Wed Oct 4 15:33:00 2000 ]C-->ertificate [Author ID1: at Wed Oct 4 15:33:00 2000 ]I-->I[Author ID1: at Wed Oct 4 15:33:00 2000 ][Author ID1: at Wed Oct 4 15:33:00 2000 ]-->mport[Author ID1: at Wed Oct 4 15:33:00 2000 ] -->W[Author ID1: at Wed Oct 4 15:33:00 2000 ][Author ID1: at Wed Oct 4 15:33:00 2000 ]W-->izard[Author ID1: at Wed Oct 4 15:33:00 2000 ])[Author ID1: at Wed Oct 4 15:33:00 2000 ]--> [Author ID1: at Wed Oct 4 15:33:00 2000 ][Author ID1: at Wed Oct 4 15:33:00 2000 ]-->([Author ID1: at Wed Oct 4 15:33:00 2000 ][Author ID1: at Wed Oct 4 15:33:00 2000 ]-->Kreator importu certyfikatów[Author ID1: at Wed Oct 4 15:32:00 2000 ][Author ID1: at Wed Oct 4 15:33:00 2000 ]-->)[Author ID1: at Wed Oct 4 15:33:00 2000 ][Author ID1: at Wed Oct 4 15:33:00 2000 ]-->.[Author ID1: at Wed Oct 4 15:33:00 2000 ]

4. Naciśnij przycisk Dalej (NN[Author ID1: at Wed Oct 4 15:33:00 2000 ]ext). W polu Nazwa Pliku (FF[Author ID1: at Wed Oct 4 15:33:00 2000 ]ile Name) wpisz nazwę pliku zawierającego certyfikat główny (root certificate), który ma zostać zaimportowany lub użyj przycisku Przeglądaj (B[Author ID1: at Wed Oct 4 15:33:00 2000 ]Browse) do znalezienia tego pliku. Naciśnij przycisk [Author ID1: at Wed Oct 4 15:33:00 2000 ]Dalej [Author ID1: at Wed Oct 4 15:33:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:33:00 2000 ].[Author ID1: at Wed Oct 4 15:34:00 2000 ], o[Author ID1: at Wed Oct 4 15:34:00 2000 ] O[Author ID1: at Wed Oct 4 15:34:00 2000 ]kreśl hasło i ponownie [Author ID1: at Wed Oct 4 15:34:00 2000 ]naciśnij Dalej [Author ID1: at Wed Oct 4 15:34:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:34:00 2000 ]. Powinno pojawić się okno podobne do przedstawionego na rysunku 7.12.

Rysunek 7.11.[Author ID1: at Wed Oct 4 15:07:00 2000 ] Importowanie zaufanego certyfikatu głównego (root certificate).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 7.12.[Author ID1: at Wed Oct 4 15:07:00 2000 ] Podawanie magazynu (store) docelowego dla certyfikatu głównego (root certificate).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

5. Zaznacz opcję Umieść wszystkie certyfikaty w następującym magazynie (PP[Author ID1: at Wed Oct 4 15:34:00 2000 ]lace all certificates in the following store). Magazynem (store) [Author ID1: at Wed Oct 4 15:34:00 2000 ]docelowym jest [Author ID1: at Wed Oct 4 15:34:00 2000 ]są [Author ID1: at Wed Oct 4 15:34:00 2000 ]Zaufane Główne Jednostki Certyfikujące (Trusted Root Certification Authorities) [Author ID1: at Wed Oct 4 15:35:00 2000 ]w danym obiekcie zasad grupowych (GPO). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 15:35:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:35:00 2000 ].

6. Aby zaimportować certyfikat,[Author ID1: at Wed Oct 4 15:35:00 2000 ] naciśnij przycisk Zakończ (FF[Author ID1: at Wed Oct 4 15:35:00 2000 ]inish). Aby zamknąć okno komunikatów (message box),[Author ID1: at Wed Oct 4 15:35:00 2000 ] naciśnij przycisk OK. Aby [Author ID1: at Wed Oct 4 15:35:00 2000 ]W celu [Author ID1: at Wed Oct 4 15:35:00 2000 ]zastosowania[Author ID1: at Wed Oct 4 15:35:00 2000 ]ć[Author ID1: at Wed Oct 4 15:35:00 2000 ] te[Author ID1: at Wed Oct 4 15:35:00 2000 ]ych[Author ID1: at Wed Oct 4 15:35:00 2000 ] zasady[Author ID1: at Wed Oct 4 15:35:00 2000 ] do obiektu zasad grupowych (GPO),[Author ID1: at Wed Oct 4 15:36:00 2000 ] naciśnij przycisk [Author ID1: at Wed Oct 4 15:36:00 2000 ]potwierdź[Author ID1: at Wed Oct 4 20:16:00 2000 ] [Author ID1: at Wed Oct 4 15:36:00 2000 ]OK.[Author ID1: at Wed Oct 4 15:36:00 2000 ], a następnie zamknij konsolę[Author ID1: at Wed Oct 4 15:36:00 2000 ]e[Author ID1: at Wed Oct 4 15:36:00 2000 ] MMC. Można zweryfikować certyfikat,[Author ID1: at Wed Oct 4 15:36:00 2000 ] postępując zgodnie z procedurą opisaną wcześniej [Author ID1: at Wed Oct 4 15:36:00 2000 ]w powyższych akapitach[Author ID1: at Wed Oct 4 15:36:00 2000 ]w[Author ID1: at Wed Oct 4 15:36:00 2000 ] niniejszego [Author ID1: at Wed Oct 4 15:36:00 2000 ]ym [Author ID1: at Wed Oct 4 15:36:00 2000 ]rozdziale[Author ID1: at Wed Oct 4 15:36:00 2000 ]łu[Author ID1: at Wed Oct 4 15:36:00 2000 ].

Instalowanie automatycznego żądania certyfikatów dla komputerów

Automatyczne żądania certyfikatów dla komputerów umożliwiają administratorom na [Author ID1: at Wed Oct 4 15:37:00 2000 ]wysyłanie komunikatów [Author ID1: at Wed Oct 4 15:37:00 2000 ]z jednego miejsca komunikatów [Author ID1: at Wed Oct 4 15:37:00 2000 ]z żądaniem certyfikatów od jednostek certyfikujących (CAs) systemu Windows 2000, na których ustanowiono zasady przedsiębiorstwa (enterprise policy) dla wszystkich komputerów w domenie lub jednostce organizacyjnej (OU). Procedurę przeprowadza się na kontrolerze domeny i zakłada się, że na jednostce certyfikującej (CA) [Author ID1: at Wed Oct 4 15:37:00 2000 ]systemu Windows 2000 ustanowiono zasady przedsiębiorstwa (enterprise policy) w danej domenie.

1. Edytuj domyślne zasady domeny (d[Author ID1: at Wed Oct 4 15:37:00 2000 ]D[Author ID1: at Wed Oct 4 15:37:00 2000 ]efault D[Author ID1: at Wed Oct 4 15:37:00 2000 ]d[Author ID1: at Wed Oct 4 15:37:00 2000 ]omain p[Author ID1: at Wed Oct 4 15:37:00 2000 ]P[Author ID1: at Wed Oct 4 15:37:00 2000 ]olicy) obiektu zasad grupowych (GPO).

2. Rozwiń gałąź Konfiguracja Komputera (CC[Author ID1: at Wed Oct 4 15:37:00 2000 ]omputer C[Author ID1: at Wed Oct 4 15:37:00 2000 ]Configuration), Ustawienia Systemu Windows (Windows SS[Author ID1: at Wed Oct 4 15:37:00 2000 ]ettings), Ustawienia [Author ID1: at Wed Oct 4 15:38:00 2000 ]Zabezpieczeń[Author ID1: at Wed Oct 4 15:38:00 2000 ] [Author ID1: at Wed Oct 4 15:38:00 2000 ]S[Author ID1: at Wed Oct 4 15:38:00 2000 ]([Author ID1: at Wed Oct 4 15:38:00 2000 ]Security SS[Author ID1: at Wed Oct 4 15:38:00 2000 ]ettings (Ustawienia zabezpieczeń[Author ID1: at Wed Oct 4 15:38:00 2000 ]), Ustawienia Klucza Publicznego (PP[Author ID1: at Wed Oct 4 15:38:00 2000 ]ublic KK[Author ID1: at Wed Oct 4 15:38:00 2000 ]ey SS[Author ID1: at Wed Oct 4 15:38:00 2000 ]ettings) i prawym klawiszem [Author ID1: at Wed Oct 4 15:38:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 15:38:00 2000 ]myszki kliknij pozycję Ustawienia Automatycznego Żądania Certyfikatu (AA[Author ID1: at Wed Oct 4 15:38:00 2000 ]utomatic CC[Author ID1: at Wed Oct 4 15:38:00 2000 ]ertificate RR[Author ID1: at Wed Oct 4 15:38:00 2000 ]equest SS[Author ID1: at Wed Oct 4 15:38:00 2000 ]ettings).

3. Z menu kontekstowego wybierz pozycję Nowy (NN[Author ID1: at Wed Oct 4 15:38:00 2000 ]ew) i kliknij [Author ID1: at Wed Oct 4 15:39:00 2000 ]naciśnij [Author ID1: at Wed Oct 4 15:39:00 2000 ]opcję Automatyczne Żądanie Certyfikatu (A[Author ID1: at Wed Oct 4 15:39:00 2000 ]Automatic C[Author ID1: at Wed Oct 4 15:39:00 2000 ]Certificate R[Author ID1: at Wed Oct 4 15:39:00 2000 ]Request). Uruchomiony zostanie Kreator Instalatora Automatycznego Żądania Zertyfikatu (AA[Author ID1: at Wed Oct 4 15:39:00 2000 ]utomatic CC[Author ID1: at Wed Oct 4 15:39:00 2000 ]ertificate RR[Author ID1: at Wed Oct 4 15:39:00 2000 ]equest SS[Author ID1: at Wed Oct 4 15:39:00 2000 ]etup WW[Author ID1: at Wed Oct 4 15:39:00 2000 ]izard). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 15:39:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:39:00 2000 ].

4. Powinien pojawić się ekran podobny do [Author ID1: at Wed Oct 4 15:39:00 2000 ]tego, który przedstawiono na rysunku 7.13. Pozwoli to na wybranie szablonu certyfikatu, który będzie używany przy wysyłaniu żądań certyfikatów. Wybierz opcję Komputer (C[Author ID1: at Wed Oct 4 15:39:00 2000 ]Computer) i naciśnij przycisk [Author ID1: at Wed Oct 4 15:39:00 2000 ]Dalej [Author ID1: at Wed Oct 4 15:39:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:39:00 2000 ].

5. W domenie systemu Windows 2000 wybierz jednostkę certyfikującą, do której wysyłane będą żądania certyfikatów. Zwykle [Author ID1: at Wed Oct 4 15:40:00 2000 ]Zazwyczaj [Author ID1: at Wed Oct 4 15:40:00 2000 ]w domenie znajduje się tylko jedna jednostka certyfikująca (CA), ale w przedsiębiorstwie może być ich [Author ID1: at Wed Oct 4 15:40:00 2000 ]kilka jednostek certyfikujących (CA)[Author ID1: at Wed Oct 4 15:40:00 2000 ]. Zwróć uwagę, że na liście nie ma jednostek certyfikujących (CA)[Author ID1: at Wed Oct 4 15:40:00 2000 ], na których nie działają zasady przedsiębiorstwa (enterprise policy). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 15:40:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:40:00 2000 ].

6. Aby utworzyć automatyczne żądanie certyfikatów naciśnij przycisk Zakończ (F[Author ID1: at Wed Oct 4 15:40:00 2000 ]Finish). Aby [Author ID1: at Wed Oct 4 15:41:00 2000 ]Dla [Author ID1: at Wed Oct 4 15:41:00 2000 ]dokonać[Author ID1: at Wed Oct 4 15:41:00 2000 ]nia[Author ID1: at Wed Oct 4 15:41:00 2000 ] edycji domyślnych zasad domeny (default Domain Policy) obiektu zasad grupowych (GPO), ż[Author ID1: at Wed Oct 4 15:41:00 2000 ]. Ż[Author ID1: at Wed Oct 4 15:41:00 2000 ]ądanie certyfikatu zostanie wysłane po odświeżeniu obiektu zasad grupowych (GPO) [Author ID1: at Wed Oct 4 15:41:00 2000 ]po stronie klienta.

Rysunek 7.13.[Author ID1: at Wed Oct 4 15:08:00 2000 ] Wybieranie szablonu certyfikatu.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Uruchamianie i zatrzymywanie usług certyfikatów

Usługi Certyfikatów (CC[Author ID1: at Wed Oct 4 15:41:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 15:41:00 2000 ]Services) uruchamiane są automatycznie po zainstalowaniu i przy ponownym uruchamianiu systemu. Może zajść konieczność zatrzymania lub uruchomienia danych usług ręcznie aby [Author ID1: at Wed Oct 4 15:41:00 2000 ]w celu [Author ID1: at Wed Oct 4 15:41:00 2000 ]kontroli[Author ID1: at Wed Oct 4 15:41:00 2000 ]ować[Author ID1: at Wed Oct 4 15:41:00 2000 ] odbiór[Author ID1: at Wed Oct 4 15:42:00 2000 ]oru[Author ID1: at Wed Oct 4 15:42:00 2000 ] żądań lub wydawanie[Author ID1: at Wed Oct 4 15:42:00 2000 ]a[Author ID1: at Wed Oct 4 15:42:00 2000 ] certyfikatów.

Poniżej podano procedurę uruchamiania i zatrzymywania usług certyfikatów:

1. Uruchom narzędzie administracyjne Jednostka Certyfikująca [Author ID1: at Wed Oct 4 15:42:00 2000 ](Certificat[Author ID1: at Wed Oct 4 15:42:00 2000 ]ion Authority)[Author ID1: at Wed Oct 4 15:42:00 2000 ].

2. Prawym klawiszem [Author ID1: at Wed Oct 4 15:42:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 15:42:00 2000 ]myszki kliknij nazwę uniwersalną (C[Author ID1: at Wed Oct 4 16:22:00 2000 ]C[Author ID1: at Wed Oct 4 15:42:00 2000 ]ommon N[Author ID1: at Wed Oct 4 16:22:00 2000 ]N[Author ID1: at Wed Oct 4 15:42:00 2000 ]ame [Author ID1: at Wed Oct 4 15:42:00 2000 ]-[Author ID1: at Wed Oct 4 15:42:00 2000 ]— [Author ID1: at Wed Oct 4 15:42:00 2000 ]CN) jednostki certyfikującej (CA), o którą chodzi[Author ID1: at Wed Oct 4 15:43:00 2000 ]której jest mowa[Author ID1: at Wed Oct 4 15:43:00 2000 ] (rysunek 7.14). Wybierz opcję Wszystkie zadania (A[Author ID1: at Wed Oct 4 15:43:00 2000 ]All t[Author ID1: at Wed Oct 4 15:43:00 2000 ]T[Author ID1: at Wed Oct 4 15:43:00 2000 ]asks),[Author ID1: at Wed Oct 4 15:43:00 2000 ] a następnie kliknij[Author ID1: at Wed Oct 4 20:16:00 2000 ] pozycję [Author ID1: at Wed Oct 4 15:43:00 2000 ]opcję [Author ID1: at Wed Oct 4 15:43:00 2000 ]Uruchom Usługę (SS[Author ID1: at Wed Oct 4 15:43:00 2000 ]tart S[Author ID1: at Wed Oct 4 15:43:00 2000 ]Service) lub Zatrzymaj Usługę (S[Author ID1: at Wed Oct 4 15:43:00 2000 ]Stop SS[Author ID1: at Wed Oct 4 15:43:00 2000 ]ervice) — [Author ID1: at Wed Oct 4 15:43:00 2000 ]zależnie od bieżącego stanu usługi.

Uwaga: Usługi C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Certyfikatów (C[Author ID1: at Wed Oct 4 15:43:00 2000 ]Certificate SS[Author ID1: at Wed Oct 4 15:43:00 2000 ]ervices) można również uruchomić lub zatrzymać za pomocą przycisków Uruchom (SS[Author ID1: at Wed Oct 4 15:43:00 2000 ]tart) lub Zatrzymaj (S[Author ID1: at Wed Oct 4 15:44:00 2000 ]Stop).

Rysunek 7.14.[Author ID1: at Wed Oct 4 15:08:00 2000 ] Uruchamianie lub zatrzymywanie Usług Certyfikatów (C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Certificate S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Services).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Wykonywanie kopii zapasowych i odtwarzanie u[Author ID1: at Wed Oct 4 15:44:00 2000 ]U[Author ID1: at Wed Oct 4 15:44:00 2000 ]sług certyfikatów (C[Author ID1: at Wed Oct 4 15:44:00 2000 ]c[Author ID1: at Wed Oct 4 15:44:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 15:44:00 2000 ]S[Author ID1: at Wed Oct 4 15:44:00 2000 ]ervices)

Usługi Certyfikatów (Certificate Services) [Author ID1: at Wed Oct 4 15:44:00 2000 ]zapewniają narzędzia[Author ID1: at Wed Oct 4 15:44:00 2000 ]e[Author ID1: at Wed Oct 4 15:44:00 2000 ] do wykonywania kopii zapasowych, odtwarzania kluczy, certyfikatów i baz danych (dziennik wydanych certyfikatów i kolejka żądań oczekujących). Tak samo, jak w przypadku innych ważnych danych, administrator jest odpowiedzialny za planowanie i stworzenie harmonogramów[Author ID1: at Wed Oct 4 15:44:00 2000 ]u[Author ID1: at Wed Oct 4 15:44:00 2000 ] okresowego wykonywania kopii zapasowych. Uchybienia w tym zakresie mogą spowodować brak możliwości[Author ID1: at Wed Oct 4 15:45:00 2000 ]niemożność [Author ID1: at Wed Oct 4 15:45:00 2000 ] [Author ID1: at Wed Oct 4 15:45:00 2000 ]zachowania zapisu kontrolnego (audit trail) żądań certyfikatów i certyfikatów wydanych. Oprócz tego można utracić możliwość [Author ID1: at Wed Oct 4 15:46:00 2000 ]ewentualność [Author ID1: at Wed Oct 4 15:46:00 2000 ]unieważnienia wydanych certyfikatów oraz certyfikatów, którym wcześniej przywrócono ważność (unrevoked certificates). Nie ma innego wyjścia — kopie zapasowe są konieczne!

Wykonywanie kopii zapasowych usług certyfikatów

Poniżej opisano procedurę wykonywania kopii zapasowych, certyfikatów i baz danych związanych z Usługami Certyfikatów (C[Author ID1: at Wed Oct 4 15:46:00 2000 ]Certificate SS[Author ID1: at Wed Oct 4 15:46:00 2000 ]ervices).

1. Uruchom narzędzie Jednostka Certyfikująca (CC[Author ID1: at Wed Oct 4 15:46:00 2000 ]ertificate A[Author ID1: at Wed Oct 4 15:46:00 2000 ]Authority) i przejdź do okna przedstawionego na rysunku 7.14.

2. Wybierz opcję Kopia Zapasowa Jednostki Certyfikującej (BB[Author ID1: at Wed Oct 4 15:46:00 2000 ]ackup CA). Uruchomiony zostanie Kreator Wykonywania Kopii Zapasowej Jednostki Certyfikującej (CC[Author ID1: at Wed Oct 4 15:46:00 2000 ]ertification AA[Author ID1: at Wed Oct 4 15:46:00 2000 ]uthority B[Author ID1: at Wed Oct 4 15:46:00 2000 ]Backup WW[Author ID1: at Wed Oct 4 15:46:00 2000 ]izard).

3. Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 15:46:00 2000 ]Next). Sprawdź pola wyboru elementów, które mają być zawarte w kopii zapasowej. Zwykle wybrane są opcje Klucz prywatny i certyfikat Jednostki Certyfikującej (PP[Author ID1: at Wed Oct 4 15:47:00 2000 ]rivate Key and CA Certificate) oraz Dziennik wystawionych certyfikatów i kolejka oczekujących żądań certyfikatów (II[Author ID1: at Wed Oct 4 15:47:00 2000 ]ssued certificate log and pending certificate request queue), tak jak przedstawiono to na rysunku 7.15. Określ folder, w którym ma być zapisana kopia zapasowa,[Author ID1: at Wed Oct 4 15:47:00 2000 ] wpisując jego nazwę lub wybierając za pomocą przycisku Przeglądaj (BB[Author ID1: at Wed Oct 4 15:47:00 2000 ]rowse). Zwróć uwagę, że folder kopii zapasowej musi już istnieć.

4. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 15:47:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:47:00 2000 ]. Wprowadź hasło, które będzie używane do zabezpieczenia pliku kopii zapasowej przed dostępem osób nieuprawnionych. Ochrona ta jest konieczna, gdyż[Author ID1: at Wed Oct 4 15:48:00 2000 ] —[Author ID1: at Wed Oct 4 15:48:00 2000 ] plik kopii zapasowej zawiera klucz prywatny jednostki certyfikującej (CA). Naciśnij Dalej [Author ID1: at Wed Oct 4 15:48:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:48:00 2000 ].

5. Wyświetlone zostaną opcje wykonywania kopii zapasowej Klucz prywatny i certyfikat Jednostki Certyfikującej (Private Key and CA Certificate) [Author ID1: at Wed Oct 4 15:48:00 2000 ]i Dziennik wystawionych i żądania oczekujące (I[Author ID1: at Wed Oct 4 15:49:00 2000 ]Issued l[Author ID1: at Wed Oct 4 15:49:00 2000 ]L[Author ID1: at Wed Oct 4 15:49:00 2000 ]og and p[Author ID1: at Wed Oct 4 15:49:00 2000 ]P[Author ID1: at Wed Oct 4 15:49:00 2000 ]ending r[Author ID1: at Wed Oct 4 15:49:00 2000 ]R[Author ID1: at Wed Oct 4 15:49:00 2000 ]equest), jak przedstawiono to na rysunku 7.16. Naciśnij przycisk Zakończ (FF[Author ID1: at Wed Oct 4 15:49:00 2000 ]inish).

Rysunek 7.15.[Author ID1: at Wed Oct 4 15:08:00 2000 ] Wybór danych do zapisania w pliku kopii zapasowej i jego lokalizacji.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 7.16.[Author ID1: at Wed Oct 4 15:08:00 2000 ] Zakończenie działania Kreatora Wykonywania Kopii Zapasowej Usług Certyfikatów (CC[Author ID0: at Thu Nov 30 00:00:00 1899 ]ertificate SS[Author ID0: at Thu Nov 30 00:00:00 1899 ]ervices BB[Author ID0: at Thu Nov 30 00:00:00 1899 ]ackup W[Author ID0: at Thu Nov 30 00:00:00 1899 ]Wizard).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Zamknięcie okna przedstawionego na rysunku 7.16.[Author ID1: at Wed Oct 4 15:09:00 2000 ] oznacza potwierdzenie zakończenia wykonywania kopii zapasowej. W folderze pliku kopii zapasowej powinien znajdować się plik z rozszerzeniem .p12,[Author ID1: at Wed Oct 4 15:49:00 2000 ] oraz podfolder o nazwie DataBase, w którym powinny być zapisane cztery pliki z rozszerzeniami .dat, .log, .edb i .pat.

Odtwarzanie usług certyfikatów (c[Author ID1: at Wed Oct 4 15:50:00 2000 ]C[Author ID1: at Wed Oct 4 15:50:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 15:50:00 2000 ]S[Author ID1: at Wed Oct 4 15:50:00 2000 ]ervices) z pliku kopii zapasowej

Poniżej zamieszczono procedurę odtwarzania informacji z pliku kopii zapasowej, otrzymanego w sposób opisany w poprzedniej części:

1. Tak,[Author ID1: at Wed Oct 4 15:50:00 2000 ] jak w procedurze opisanej powyżej, najpierw przejdź do okna przedstawionego na rysunku 7.14. Z menu wybierz opcję[Author ID1: at Thu Oct 5 07:24:00 2000 ]e[Author ID2: at Thu Oct 5 07:24:00 2000 ] Odtwarzaj Jednostkę Certyfikującą (RR[Author ID1: at Wed Oct 4 15:50:00 2000 ]estore CA). Uruchomiony zostanie Kreator Odtwarzania Usług Certyfikatów (CC[Author ID1: at Wed Oct 4 15:50:00 2000 ]ertificate SS[Author ID1: at Wed Oct 4 15:50:00 2000 ]ervices R[Author ID1: at Wed Oct 4 15:50:00 2000 ]Restore WW[Author ID1: at Wed Oct 4 15:50:00 2000 ]izard).

2. Jeśli Usługi Certyfikatów (C[Author ID1: at Wed Oct 4 15:50:00 2000 ]Certificate S[Author ID1: at Wed Oct 4 15:50:00 2000 ]Services) działają,[Author ID1: at Wed Oct 4 15:50:00 2000 ] zostaniesz poproszony o ich zatrzymanie. W takim przypadku naciśnij Dalej [Author ID1: at Wed Oct 4 15:50:00 2000 ](Next)[Author ID1: at Wed Oct 4 15:50:00 2000 ].

3. Zaznacz,[Author ID1: at Wed Oct 4 15:50:00 2000 ] co ma zostać odtworzone. Jeśli kopia zapasowa była wykonana według procedury opisanej powyżej,[Author ID1: at Wed Oct 4 15:51:00 2000 ] wybierz pozycję[Author ID1: at Thu Oct 5 07:27:00 2000 ]e[Author ID2: at Thu Oct 5 07:27:00 2000 ] Klucz prywatny i certyfikat Jednostki Certyfikującej (Private Key and CA certificate) [Author ID1: at Wed Oct 4 15:51:00 2000 ]oraz Dziennik wystawionych certyfikatów i kolejka oczekujących żądań certyfikatów (Issued certificate [Author ID0: at Thu Nov 30 00:00:00 1899 ]log and pending certificate request queue)[Author ID0: at Thu Nov 30 00:00:00 1899 ]. Naciśnij przycisk Dalej (NN[Author ID1: at Wed Oct 4 15:51:00 2000 ]ext).

4. Podaj hasło zabezpieczające kopię[Author ID1: at Wed Oct 4 15:51:00 2000 ]e[Author ID1: at Wed Oct 4 15:51:00 2000 ] zapasową. Naciśnij przycisk [Author ID1: at Wed Oct 4 15:51:00 2000 ]Dalej [Author ID1: at Wed Oct 4 15:51:00 2000 ](Next) a[Author ID1: at Wed Oct 4 15:51:00 2000 ], a[Author ID1: at Wed Oct 4 15:51:00 2000 ] potem przycisk Zakończ (FF[Author ID1: at Wed Oct 4 15:51:00 2000 ]inish).

5. Po zakończeniu odtwarzania pojawi się monit ponowne uruchomienie usług certyfikatów (Certificate Services)[Author ID1: at Wed Oct 4 15:51:00 2000 ]. Naciśnij przycisk Tak (YY[Author ID1: at Wed Oct 4 15:51:00 2000 ]es).

Wyświetlanie dziennika (log) i bazy danych usług certyfikatów (c[Author ID1: at Wed Oct 4 15:52:00 2000 ]C[Author ID1: at Wed Oct 4 15:52:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 15:52:00 2000 ]S[Author ID1: at Wed Oct 4 15:52:00 2000 ]ervices)

Wyświetlenie dziennika (log) i bazy danych jest przydatne przy wykonywaniu inspekcji (audits) żądań oczekujących w kolejce i wydanych certyfikatów oraz do wybierania certyfikatów, które mają być unieważnione. Dziennik i bazę danych usług katalogowych (c[Author ID1: at Wed Oct 4 15:52:00 2000 ]C[Author ID1: at Wed Oct 4 15:52:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 15:52:00 2000 ]s[Author ID1: at Wed Oct 4 15:52:00 2000 ]ervices l[Author ID1: at Wed Oct 4 15:52:00 2000 ]L[Author ID1: at Wed Oct 4 15:52:00 2000 ]og and d[Author ID1: at Wed Oct 4 15:52:00 2000 ]D[Author ID1: at Wed Oct 4 15:52:00 2000 ]atabase) można obejrzeć za pomocą modułu dodatkowego (snap-in) Menedżer Usług Certyfikatów (CC[Author ID1: at Wed Oct 4 15:52:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 15:52:00 2000 ]Services MM[Author ID1: at Wed Oct 4 15:52:00 2000 ]anager) konsoli MMC. Narzędzie to umożliwia również dostosowanie sposobu wyświetlania danych do własnych potrzeb.

Uwaga: Przed podjęciem eksperymentów ze sposobem wyświetlania certyfikatów konieczne jest wpierw [Author ID1: at Wed Oct 4 15:53:00 2000 ]jako pierwsze [Author ID1: at Wed Oct 4 15:53:00 2000 ]dodanie kilku certyfikatów za pomocą sposobów opisanych powyżej, najlepiej w pewnym okresie czasu, aby miały różne daty i znaczniki czasu (timestamps). W ten sposób, podając graniczną (cut-off) datę i czas można dostosować wyświetlanie listy wydanych certyfikatów do własnych potrzeb. Później zostanie podana procedura unieważniania certyfikatów wydanych przed datą graniczną[Author ID1: at Wed Oct 4 15:53:00 2000 ]a[Author ID1: at Wed Oct 4 15:53:00 2000 ].

Oto procedura wyświetlana dziennika (log):

1. Uruchom program narzędziowy Jednostka Certyfikująca (CC[Author ID1: at Wed Oct 4 15:53:00 2000 ]ertification AA[Author ID1: at Wed Oct 4 15:53:00 2000 ]uthority) i jak poprzednio rozwiń gałąź z nazwą CN jednostki certyfikującej (Certification Authority)[Author ID1: at Wed Oct 4 15:54:00 2000 ].

2. Wybierz pozycję Wydane Certyfikaty (II[Author ID1: at Wed Oct 4 15:54:00 2000 ]ssued CC[Author ID1: at Wed Oct 4 15:54:00 2000 ]ertificates), co przedstawiono na rysunku 7.17.

3. Prawym klawiszem [Author ID1: at Wed Oct 4 15:54:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 15:54:00 2000 ]myszki kliknij pozycję Wydane Certyfikaty [Author ID1: at Wed Oct 4 15:54:00 2000 ](Issued Certificates)[Author ID1: at Wed Oct 4 15:54:00 2000 ], kliknij [Author ID1: at Wed Oct 4 15:54:00 2000 ]wybierz [Author ID1: at Wed Oct 4 15:54:00 2000 ]pozycję [Author ID1: at Wed Oct 4 20:17:00 2000 ]Widok (VV[Author ID1: at Wed Oct 4 15:54:00 2000 ]iew),[Author ID1: at Wed Oct 4 15:54:00 2000 ] a następnie wybierz [Author ID1: at Wed Oct 4 15:54:00 2000 ]opcję Wybierz Kolumnę[Author ID1: at Wed Oct 4 15:56:00 2000 ]y[Author ID1: at Wed Oct 4 15:56:00 2000 ] (CC[Author ID1: at Wed Oct 4 15:54:00 2000 ]hoose CC[Author ID1: at Wed Oct 4 15:54:00 2000 ]olumns[Author ID1: at Wed Oct 4 15:56:00 2000 ]s[Author ID1: at Wed Oct 4 15:54:00 2000 ]).

4. Wybierz pola, które mają być wyświetlone, na przykład [Author ID1: at Wed Oct 4 15:54:00 2000 ]np. [Author ID1: at Wed Oct 4 15:54:00 2000 ]pole obowiązkowe Identyfikator Żądania (RR[Author ID1: at Wed Oct 4 15:54:00 2000 ]equest ID), Numer Kolejny (SS[Author ID1: at Wed Oct 4 15:55:00 2000 ]erial NN[Author ID1: at Wed Oct 4 15:55:00 2000 ]umber), Data Wprowadzenia Certyfikatu (CC[Author ID1: at Wed Oct 4 15:55:00 2000 ]ertificate EE[Author ID1: at Wed Oct 4 15:55:00 2000 ]ffective DD[Author ID1: at Wed Oct 4 15:55:00 2000 ]ate), Data Wygaśnięcia Certyfikatu (CC[Author ID1: at Wed Oct 4 15:55:00 2000 ]ertificate EE[Author ID1: at Wed Oct 4 15:55:00 2000 ]xpiration DD[Author ID1: at Wed Oct 4 15:55:00 2000 ]ate) oraz Nazwa Pospolita Wystawienia (II[Author ID1: at Wed Oct 4 15:55:00 2000 ]ssued CC[Author ID1: at Wed Oct 4 15:55:00 2000 ]ommon NN[Author ID1: at Wed Oct 4 15:55:00 2000 ]ame), jak przedstawiono to na rysunku 7.18. Naciśnij przycisk OK.

5. Dopasuj szerokości kolumn do rozmiarów ekranu umieszczając wskaźnik myszki na granicy kolumny i przeciągając ją (tak,[Author ID1: at Wed Oct 4 15:55:00 2000 ] jak można to zrobić w arkuszach kalkulacyjnych).

6. Aby zmienić kolejność wyświetlanych kolumn, prawym klawiszem [Author ID1: at Wed Oct 4 15:56:00 2000 ]przyciskie[Author ID1: at Wed Oct 4 15:56:00 2000 ]m [Author ID1: at Wed Oct 4 15:56:00 2000 ]myszki kliknij kontener Wydane Certyfikaty [Author ID1: at Wed Oct 4 15:56:00 2000 ](Issued Certificates)[Author ID1: at Wed Oct 4 15:56:00 2000 ], z menu wybierz pozycję Widok [Author ID1: at Wed Oct 4 15:56:00 2000 ]([Author ID1: at Wed Oct 4 15:56:00 2000 ], [Author ID1: at Wed Oct 4 15:56:00 2000 ]View) [Author ID1: at Wed Oct 4 15:56:00 2000 ]a następnie pozycję [Author ID1: at Wed Oct 4 15:56:00 2000 ]opcję [Author ID1: at Wed Oct 4 15:56:00 2000 ]Wybierz Kolumny [Author ID1: at Wed Oct 4 15:56:00 2000 ](Choose Columns)[Author ID1: at Wed Oct 4 15:56:00 2000 ] [Author ID1: at Wed Oct 4 15:56:00 2000 ], [Author ID1: at Wed Oct 4 15:56:00 2000 ]tak,[Author ID1: at Wed Oct 4 15:57:00 2000 ] jak opisano w kroku [Author ID1: at Wed Oct 4 15:57:00 2000 ]punkcie [Author ID1: at Wed Oct 4 15:57:00 2000 ]3. Można,[Author ID1: at Wed Oct 4 17:14:00 2000 ] wybrać na przykład [Author ID1: at Wed Oct 4 15:57:00 2000 ]np. [Author ID1: at Wed Oct 4 15:57:00 2000 ]zaznaczyć nazwę kolumny Nazwa Pospolita Wystawienia (Issued Common Name) [Author ID1: at Wed Oct 4 15:57:00 2000 ]i nacisnąć przycisk Przenieś w górę (MM[Author ID1: at Wed Oct 4 15:57:00 2000 ]ove u[Author ID1: at Wed Oct 4 15:57:00 2000 ]U[Author ID1: at Wed Oct 4 15:57:00 2000 ]p). Zauważ, że pierwszą wyświetlaną kolumną jest zawsze Identyfikator Żądania (R[Author ID1: at Wed Oct 4 15:57:00 2000 ]Request ID).

7. Naciśnij przycisk OK., a następnie przycisk [Author ID1: at Wed Oct 4 15:57:00 2000 ]Odśwież (R[Author ID1: at Wed Oct 4 15:57:00 2000 ]Refresh). Może zajść konieczność ponownego dostosowywania szerokości kolumn.

8. Kliknięcie [Author ID1: at Wed Oct 4 15:57:00 2000 ]Włączenie [Author ID1: at Wed Oct 4 15:57:00 2000 ]nagłówka kolumny Nazwa Pospolita Wystawienia (Issued Common Name) [Author ID1: at Wed Oct 4 15:58:00 2000 ]umożliwia posortowanie według niej [Author ID1: at Wed Oct 4 15:58:00 2000 ]rekordów, ale[Author ID1: at Wed Oct 4 15:59:00 2000 ] według kolumny [Author ID1: at Wed Oct 4 15:58:00 2000 ]Issued Common Name[Author ID1: at Wed Oct 4 15:58:00 2000 ] [Author ID1: at Wed Oct 4 15:58:00 2000 ]w odwrotnej kolejności.

Rysunek 7.17.[Author ID1: at Wed Oct 4 15:09:00 2000 ] Okno przedstawiające wydane certyfikaty.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 7.18.[Author ID1: at Wed Oct 4 15:09:00 2000 ] Wybieranie kolumn, które mają być wyświetlane.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

9. Aby pokazać tylko wiersze spełniające określone kryteria, prawym klawiszem [Author ID1: at Wed Oct 4 15:59:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 15:59:00 2000 ]myszki kliknij pozycję Wystawione Certyfikaty (II[Author ID1: at Wed Oct 4 15:59:00 2000 ]ssued CC[Author ID1: at Wed Oct 4 15:59:00 2000 ]ertificates), wybierz pozycję Widok [Author ID1: at Wed Oct 4 15:59:00 2000 ](View) [Author ID1: at Wed Oct 4 15:59:00 2000 ], [Author ID1: at Wed Oct 4 15:59:00 2000 ]a następnie pozycję [Author ID1: at Wed Oct 4 15:59:00 2000 ]opcję [Author ID1: at Wed Oct 4 15:59:00 2000 ]Filtr (FF[Author ID1: at Wed Oct 4 15:59:00 2000 ]ilter).

10. Naciśnij przycisk Dodaj (AA[Author ID1: at Wed Oct 4 16:00:00 2000 ]dd). Ustaw odpowiednie wartości. W przykładzie przedstawionym na rysunku 7.19 wybrano usunięcie z listy certyfikatów wydanych później niż określa to podana data.

11. Naciśnij dwukrotnie [Author ID1: at Wed Oct 4 16:00:00 2000 ]przycisk OK., a następnie kolejny raz [Author ID1: at Wed Oct 4 16:00:00 2000 ]OK[Author ID1: at Wed Oct 4 16:00:00 2000 ].[Author ID1: at Wed Oct 4 16:00:00 2000 ].[Author ID1: at Wed Oct 4 16:00:00 2000 ]

Rysunek 7.19. Ustawianie wartości filtru wyświetlania.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Odwoływanie (revoking) wydanych certyfikatów i publikowanie Listy Odwołań [Author ID1: at Wed Oct 4 16:01:00 2000 ]Certyfikatów ([Author ID1: at Wed Oct 4 16:01:00 2000 ]CRL)[Author ID1: at Wed Oct 4 16:01:00 2000 ]

Funkcja odwoływanie[Author ID1: at Wed Oct 4 16:02:00 2000 ]a[Author ID1: at Wed Oct 4 16:02:00 2000 ] certyfikatów jest sposobem oznaczenia certyfikatu jako nieważny,[Author ID1: at Wed Oct 4 16:02:00 2000 ] zanim upłynie okres ważności (expiration). Status certyfikatu jest sprawdzany przed użyciem przez aplikacje, ale zwykłe odwołanie (revoking) certyfikatu nie wystarczy. Aby status ten był dostępny dla aplikacji, konieczne jest utworzenie i opublikowanie Listy odwoływanych [Author ID0: at Thu Nov 30 00:00:00 1899 ]Odwołań [Author ID1: at Wed Oct 4 16:03:00 2000 ]Certyfikatów (c[Author ID1: at Wed Oct 4 16:02:00 2000 ]C[Author ID1: at Wed Oct 4 16:02:00 2000 ]ertificate Revocation List [Author ID1: at Wed Oct 4 16:02:00 2000 ]-[Author ID1: at Wed Oct 4 16:03:00 2000 ]— [Author ID1: at Wed Oct 4 16:03:00 2000 ]CRL).

Odwoływanie certyfikatów

Poniższa procedura służy do odwoływania certyfikatów. Należy pamiętać o tym, że odwołanie nie daje żadnych efektów,[Author ID1: at Wed Oct 4 16:03:00 2000 ] jeśli nie zostanie także [Author ID1: at Wed Oct 4 16:03:00 2000 ]wykonana[Author ID1: at Wed Oct 4 16:03:00 2000 ] się również[Author ID1: at Wed Oct 4 16:03:00 2000 ] procedura[Author ID1: at Wed Oct 4 16:03:00 2000 ]y[Author ID1: at Wed Oct 4 16:03:00 2000 ] utworzenia i opublikowania Listy odwoływanych [Author ID0: at Thu Nov 30 00:00:00 1899 ]Odwołań [Author ID1: at Wed Oct 4 16:03:00 2000 ]Certyfikatów (CRL).

1. Wybierz certyfikat lub certyfikaty, które mają być odwołane. W niniejszym przykładzie odwołane zostaną wszystkie certyfikaty nie [Author ID1: at Wed Oct 4 16:05:00 2000 ]usunięte z listy w przykładzie poprzednim, ale można to zrobić [Author ID1: at Wed Oct 4 16:05:00 2000 ]wykonać [Author ID1: at Wed Oct 4 16:05:00 2000 ]dla dowolnego certyfikatu. Prawym klawiszem [Author ID1: at Wed Oct 4 16:05:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 16:05:00 2000 ]myszki kliknij wybrane certyfikaty, wybierz opcję Wszystkie zadania (A[Author ID1: at Wed Oct 4 16:05:00 2000 ]All t[Author ID1: at Wed Oct 4 16:05:00 2000 ]T[Author ID1: at Wed Oct 4 16:05:00 2000 ]asks),[Author ID1: at Wed Oct 4 16:05:00 2000 ] a następnie wybierz pozycję [Author ID1: at Wed Oct 4 16:05:00 2000 ]Odwołaj Certyfikat (RR[Author ID1: at Wed Oct 4 16:06:00 2000 ]evoke CC[Author ID1: at Wed Oct 4 16:06:00 2000 ]ertificate), jak przedstawiono to na rysunku 7.20.

2. Z[Author ID1: at Wed Oct 4 16:06:00 2000 ]Na[Author ID1: at Wed Oct 4 16:06:00 2000 ] listy[Author ID1: at Wed Oct 4 16:06:00 2000 ]ście[Author ID1: at Wed Oct 4 16:06:00 2000 ] rozwijalnej wybierz [Author ID1: at Wed Oct 4 16:06:00 2000 ]zaznacz [Author ID1: at Wed Oct 4 16:06:00 2000 ]przyczynę odwołania, na [Author ID1: at Wed Oct 4 16:06:00 2000 ]p.[Author ID1: at Wed Oct 4 16:06:00 2000 ]rzykład[Author ID1: at Wed Oct 4 16:06:00 2000 ] Złamanie Klucza (KK[Author ID1: at Wed Oct 4 16:06:00 2000 ]ey CC[Author ID1: at Wed Oct 4 16:06:00 2000 ]ompromise). Naciśnij przycisk Tak (Y[Author ID1: at Wed Oct 4 16:06:00 2000 ]Yes).

3. Sprawdź, czy odwołane certyfikaty są prawidłowo zaznaczone w bazie danych, o[Author ID1: at Wed Oct 4 16:07:00 2000 ]O[Author ID1: at Wed Oct 4 16:07:00 2000 ]glądając zawartość foldera Wydane Certyfikaty (II[Author ID1: at Wed Oct 4 16:07:00 2000 ]ssued CC[Author ID1: at Wed Oct 4 16:07:00 2000 ]ertificates) i foldera Odwołane Certyfikaty (RR[Author ID1: at Wed Oct 4 16:07:00 2000 ]evoked CC[Author ID1: at Wed Oct 4 16:07:00 2000 ]ertificates), sprawdź, czy odwołane certyfikaty są prawidłowo zaznaczone w bazie danych; odwołany [Author ID1: at Wed Oct 4 16:07:00 2000 ]. C[Author ID1: at Wed Oct 4 16:07:00 2000 ]c[Author ID1: at Wed Oct 4 16:07:00 2000 ]ertyfikat odwołany [Author ID1: at Wed Oct 4 16:07:00 2000 ]zaznaczony jest czerwonym znakiem z białym krzyżem.

Tworzenie Listy Odwoływania Certyfikatów (CRL)[Author ID1: at Wed Oct 4 16:12:00 2000 ]

Po odwołaniu certyfikatu konieczne jest utworzenie i opublikowanie Listy Odwoływanych Certyfikatów (CRL),[Author ID1: at Wed Oct 4 16:08:00 2000 ] aby aplikacje mogły sprawdzać odwołanie.

1. Prawym klawiszem [Author ID1: at Wed Oct 4 16:11:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 16:11:00 2000 ]myszki kliknij pozycję Certyfikaty Odwołane (RR[Author ID1: at Wed Oct 4 16:11:00 2000 ]evoked CC[Author ID1: at Wed Oct 4 16:11:00 2000 ]ertificates). Z menu wybierz pozycję [Author ID1: at Wed Oct 4 16:11:00 2000 ]opcję [Author ID1: at Wed Oct 4 16:11:00 2000 ]Wszystkie zadania (A[Author ID1: at Wed Oct 4 16:11:00 2000 ]All t[Author ID1: at Wed Oct 4 16:11:00 2000 ]T[Author ID1: at Wed Oct 4 16:11:00 2000 ]asks),[Author ID1: at Wed Oct 4 16:11:00 2000 ] a następnie wybierz opcję [Author ID1: at Wed Oct 4 16:11:00 2000 ]Publikuj (PP[Author ID1: at Wed Oct 4 16:11:00 2000 ]ublish), jak przedstawiono to na [Author ID1: at Wed Oct 4 16:11:00 2000 ]rysunku 7.21.

2. Może pojawić się ostrzeżenie, że ostatnio opublikowana lista odwołań ([Author ID1: at Wed Oct 4 16:12:00 2000 ]CRL)[Author ID1: at Wed Oct 4 16:12:00 2000 ] jest nadal ważna. Jeśli tak jest, naciśnij przycisk Tak (Y[Author ID1: at Wed Oct 4 16:12:00 2000 ]Yes).

Oglądanie Listy Odwoływanych Certyfikatów (Certificate [Author ID1: at Wed Oct 4 16:13:00 2000 ]Revocation [Author ID1: at Wed Oct 4 16:13:00 2000 ]List[Author ID1: at Wed Oct 4 16:13:00 2000 ])

Lista CRL [Author ID1: at Wed Oct 4 16:13:00 2000 ](Certificate Revocation List) została opublikowana. To[Author ID1: at Wed Oct 4 16:13:00 2000 ]Sprawdzić[Author ID1: at Wed Oct 4 16:13:00 2000 ], czy jest prawidłowa, sprawdź[Author ID1: at Wed Oct 4 16:13:00 2000 ] w następujący sposób:

1. Prawym klawiszem [Author ID1: at Wed Oct 4 16:14:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 16:14:00 2000 ]myszki kliknij pozycję Certyfikaty Odwołane (R[Author ID1: at Wed Oct 4 16:14:00 2000 ]Revoked CC[Author ID1: at Wed Oct 4 16:14:00 2000 ]ertificates) i z menu wybierz opcję Właściwości (PP[Author ID1: at Wed Oct 4 16:14:00 2000 ]roperties).

2. Wybierz opcję Wyświetl Bieżącą Listę CRL (V[Author ID1: at Wed Oct 4 16:15:00 2000 ]View CC[Author ID1: at Wed Oct 4 16:15:00 2000 ]urrent CRL).

3. Zakładka Ogólne (G[Author ID1: at Wed Oct 4 16:15:00 2000 ]General) w oknie Lista Odwołań Certyfikatów (Certificate Revocation List) zawiera wszystkie informacje dotyczące danej listy ([Author ID1: at Wed Oct 4 16:15:00 2000 ]CRL (Certificate Revocation List[Author ID1: at Wed Oct 4 16:15:00 2000 ]). Zakładka [Author ID1: at Wed Oct 4 16:15:00 2000 ]Lista odwołań [Author ID1: at Wed Oct 4 16:15:00 2000 ](Revocation List) p[Author ID1: at Wed Oct 4 16:15:00 2000 ]P[Author ID1: at Wed Oct 4 16:15:00 2000 ]rzedstawia ona [Author ID1: at Wed Oct 4 16:15:00 2000 ]zawartość listy odwoływania certyfikatów (CRL).

4. Zaznacz konkretny,[Author ID1: at Wed Oct 4 16:16:00 2000 ] odwołany (revoked) [Author ID1: at Wed Oct 4 16:16:00 2000 ]certyfikat,[Author ID1: at Wed Oct 4 16:16:00 2000 ] odwołany (revoked) [Author ID1: at Wed Oct 4 16:15:00 2000 ]a jego zawartość pojawi się w polu Wpis Odwołania (RR[Author ID1: at Wed Oct 4 16:16:00 2000 ]evocation EE[Author ID1: at Wed Oct 4 16:16:00 2000 ]ntry), jak przedstawiono to na rysunku 7.22. Pole Wartość (VV[Author ID1: at Wed Oct 4 16:16:00 2000 ]alue) jest używane w przypadku, gdy wartości zapisane w polach Pole (F[Author ID1: at Wed Oct 4 16:16:00 2000 ]Field)/Wartość (Value) [Author ID1: at Wed Oct 4 16:16:00 2000 ]nie mieszczą się w danym wierszu. Wybranie wiersza w kolumnie Pole [Author ID1: at Wed Oct 4 16:16:00 2000 ](Field)[Author ID1: at Wed Oct 4 16:16:00 2000 ] powoduje wyświetlenie jego pełnej zwartości.

Rysunek 7.20.[Author ID1: at Wed Oct 4 15:10:00 2000 ] Wybór certyfikatu do odwołania.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 7.21.[Author ID1: at Wed Oct 4 15:10:00 2000 ] Publikowanie Listy Odwoływania Certyfikatów (CRL).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Konfigurowanie modułów zasad i modułów zakończenia (exit modules) dla usług certyfikatów (C[Author ID1: at Wed Oct 4 16:17:00 2000 ]c[Author ID1: at Wed Oct 4 16:17:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 16:17:00 2000 ]S[Author ID1: at Wed Oct 4 16:17:00 2000 ]ervices)

Architektura Usług Certyfikatów (CC[Author ID1: at Wed Oct 4 16:17:00 2000 ]ertificate SS[Author ID1: at Wed Oct 4 16:17:00 2000 ]ervices) umożliwia stosowanie wymiennych modułów zasad i modułów wyjścia (policy and exit modules). Moduły zasad (policy modules) [Author ID1: at Wed Oct 4 16:17:00 2000 ]zawierają zasady podejmowania decyzji (decision logic) o tym, czy dane żądanie certyfikatu powinno zostać przyjęte, odrzucone czy pozostać w stanie oczekiwania na decyzję, która zostanie podjęta później. Moduły wyjścia (exit modules) dają możliwość wykonania przetwarzania końcowego (post [Author ID1: at Wed Oct 4 16:18:00 2000 ]-[Author ID1: at Wed Oct 4 16:18:00 2000 ]processing), na [Author ID1: at Wed Oct 4 16:18:00 2000 ]przykład[Author ID1: at Wed Oct 4 16:18:00 2000 ].[Author ID1: at Wed Oct 4 16:18:00 2000 ] opublikowania wydanego certyfikatu. Jest to [Author ID1: at Wed Oct 4 16:18:00 2000 ]ważne dla użytkowników, którzy chcą wprowadzić własne moduły zasad (policy modules) [Author ID1: at Wed Oct 4 16:18:00 2000 ]za pomocą P[Author ID1: at Wed Oct 4 16:20:00 2000 ]p[Author ID1: at Wed Oct 4 16:20:00 2000 ]latformy[Author ID1: at Wed Oct 4 16:19:00 2000 ] Software Development Kit (SDK) lub uzyskać dane [Author ID1: at Wed Oct 4 16:19:00 2000 ]moduły zasad (policy modules) [Author ID1: at Wed Oct 4 16:19:00 2000 ]od dostawców niezależnych.

Rysunek 7.22.[Author ID1: at Wed Oct 4 15:10:00 2000 ] Zawartość Listy Odwołań Certyfikatów (CRL) i szczegóły certyfikatu.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Zamieszczona poniżej procedura zamienia domyślny moduł zasad (policy module) na moduł przykładowy. Zarządzanie modułami wyjścia (exit module) odbywa się w ten sam sposób. W procedurze tej wykorzystano przykładowy moduł zasad Visual Basic (policyvb.dll), zamieszczony w P[Author ID1: at Wed Oct 4 16:20:00 2000 ]p[Author ID1: at Wed Oct 4 16:20:00 2000 ]latformie[Author ID1: at Wed Oct 4 16:20:00 2000 ] SDK. Można napisać własne moduły zasad (policy modules)[Author ID1: at Wed Oct 4 16:20:00 2000 ] i moduły wyjścia (exit modules), ale to zagadnienie wykracza poza zakres niniejszej książki.

Uwaga: Moduł policyvb.dll nie znajdzie się na dysku w [Author ID1: at Wed Oct 4 16:20:00 2000 ]twardym po przeprowadzeniu zwykłej instalacji systemu Windows 2000. SDK musi zostać ściągnięty z witryny Microsoftu lub zainstalowany z dysku CD-ROM.

Konfigurowanie modułu[Author ID1: at Wed Oct 4 16:21:00 2000 ]y[Author ID1: at Wed Oct 4 16:21:00 2000 ] zasad,[Author ID1: at Wed Oct 4 16:21:00 2000 ] (policy module) [Author ID1: at Wed Oct 4 16:20:00 2000 ]aby mógł być używany przez usługę przebiega w następujący sposób:

1. Skopiuj nowy moduł zasad (policy module) policyvb.dll do foldera %systemroot%system32.

2. Zarejestruj nowy moduł zasad,[Author ID1: at Wed Oct 4 16:21:00 2000 ] (policy module) [Author ID1: at Wed Oct 4 16:21:00 2000 ]wpisując w oknie dialogowym regsvr32 policyvb.dll.

3. Uruchom program narzędziowy Jednostka Certyfikująca (C[Author ID1: at Wed Oct 4 16:21:00 2000 ]CA[Author ID1: at Wed Oct 4 16:22:00 2000 ]ertification [Author ID1: at Wed Oct 4 16:22:00 2000 ]A[Author ID1: at Wed Oct 4 16:21:00 2000 ]uthority[Author ID1: at Wed Oct 4 16:22:00 2000 ]), prawym klawiszem [Author ID1: at Wed Oct 4 16:21:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 16:21:00 2000 ]myszki kliknij nazwę uniwersalną (C[Author ID1: at Wed Oct 4 16:21:00 2000 ]C[Author ID1: at Wed Oct 4 16:21:00 2000 ]ommon [Author ID1: at Wed Oct 4 16:22:00 2000 ]Name[Author ID1: at Wed Oct 4 16:22:00 2000 ]) jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 16:22:00 2000 ], którą chcesz skonfigurować i z menu wybierz pozycję Właściwości (PP[Author ID1: at Wed Oct 4 16:22:00 2000 ]roperties).

4. Wybierz zakładkę Moduł Zasad (PP[Author ID1: at Wed Oct 4 16:23:00 2000 ]olicy MM[Author ID1: at Wed Oct 4 16:23:00 2000 ]odule). Powinno pojawić się okno podobne do przedstawionego na rysunku 7.23.

5. Naciśnij przycisk Wybierz (SS[Author ID1: at Wed Oct 4 16:23:00 2000 ]elect) i [Author ID1: at Wed Oct 4 16:23:00 2000 ]. W[Author ID1: at Wed Oct 4 16:23:00 2000 ]w[Author ID1: at Wed Oct 4 16:23:00 2000 ]ybierz nowy moduł zasad (policy), który zostanie zainstalowany, na [Author ID1: at Wed Oct 4 16:23:00 2000 ]przykład[Author ID1: at Wed Oct 4 16:23:00 2000 ].[Author ID1: at Wed Oct 4 16:23:00 2000 ] Certificate Services VB Policy. Naciśnij przycisk OK.

6. Powinien nastąpić powrót do okna z zakładką Moduł Zasad [Author ID1: at Wed Oct 4 16:23:00 2000 ](Policy Module)[Author ID1: at Wed Oct 4 16:23:00 2000 ]. Zwróć uwagę, że zawartość pola Informacje o Module Zasad (PP[Author ID1: at Wed Oct 4 16:23:00 2000 ]olicy M[Author ID1: at Wed Oct 4 16:23:00 2000 ]Module II[Author ID1: at Wed Oct 4 16:23:00 2000 ]nformation) zmieniła się odpowiednio do wprowadzonych zmian. Naciśnij przycisk Zastosuj (A[Author ID1: at Wed Oct 4 16:23:00 2000 ]Apply).

7. Aby ponownie uruchomić usługę,[Author ID1: at Wed Oct 4 16:23:00 2000 ] naciśnij przycisk Tak (Y[Author ID1: at Wed Oct 4 16:23:00 2000 ]Yes). Pasek postępu (progress bar) będzie pokazywał zatrzymywanie i ponowne uruchamianie usługi. Naciśnij przycisk [Author ID1: at Wed Oct 4 16:24:00 2000 ]OK.

Obecnie po wysłaniu żądania certyfikatu pojawią się inne wartości domyślne. Sprawdź to sam. Osoby znające Visual Basic lub inne osoby programujące w Visual Basicu,[Author ID0: at Thu Nov 30 00:00:00 1899 ] mogą podjąć próby z własnymi modułami zasad (policy modules) i modułami wyjścia (exit modules).

Rysunek 7.23.[Author ID1: at Wed Oct 4 15:11:00 2000 ] Zakładka Moduły Zasad (PP[Author ID0: at Thu Nov 30 00:00:00 1899 ]olicy MM[Author ID0: at Thu Nov 30 00:00:00 1899 ]odule) okna Właściwości (PP[Author ID0: at Thu Nov 30 00:00:00 1899 ]roperties).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)

28 T:\Paweł\5 po wstawieniu rysunków\r-07.05.doc

---