Центры сертификации

Существуют не только публичные, но и частные центры сертификации.

Некоторые из сертификатов, которые выдаются доверенными публичными центрами сертификации, включаются по умолчанию во все имеющиеся установки ОС Windows. Они могут присутствовать на установочном диске или на компьютерах владельцев созданных сайтов или других пользователей, которые настроены под операционную систему Windows. В таком виде они продаются изготовителями самого оборудования.

Например, в отношении компьютеров под управлением ОС Windows XP можно сказать, что в хранилище сертификатов, в папке «Доверенные центра сертификации» присутствуют сертификаты от корневых центров сертификации Microsoft Root Certification Authority, Thawte Premium Server, Verisign Trust Network. Компьютер под управлением ОС Windows XP обязан предоставить доверие сертификату, если он выдан одним из центров из этого списка и предъявлен к проверке. При этом, конечно, он должен быть соответствующим образом настроен и являться допустимым, тогда и отзыв на него будет положительным.

Если пользователь намерен использовать в инфраструктуре проверки достоверности дополнительные сертификаты, он может их приобрести не только в перечисленных, но и в других компаниях. Например, в Thawte или в Verisign. Если, например, применяется метод проверки РЕАР и тип проверки достоверности MS-CHAP v2 и при этом на компьютере клиента параметр проверки сертификата сервера активен, то данный клиентский компьютер осуществляет проверку достоверности сервера политики сети с применением сертификата сервера сетевой политики.

Если потребность в развертывании своего центра сертификации с выдачей серверам сетевой политики своих сертификатов сервера отсутствует, то достаточно приобрести сертификат сервера той компании, центр сертификации которой фактически пользуется доверием компьютеров клиентов.

Если на предприятии присутствует своя инфраструктура открытого ключа, а также имеется частный корневой доверенный центр сертификации, то всем членам зарегистрированного домена в этой организации центр сертификации рассылает свой сертификат автоматически. На всех компьютерах клиентов, которые числятся включенными в этот домен, данный сертификат должен быть сохранен в хранилище сертификатов, которое называется «Доверенные центры сертификации». На этом основании все компьютеры, включенные в домен, будут оказывать доверие тем сертификатам, которые выданы корневым доверенным центром сертификации данной организации.

Если, например, установлены Active Directory (службы сертификации), то действующий центр сертификации направляет собственный сертификат на те компьютеры организации, которые включены в домен. При этом сертификат должен сохраниться в хранилище сертификатов на локальном компьютере «Доверенные центры сертификации». В дополнение может быть настроен сертификат сервера, включена автоматическая отправка заявок на получение его для серверов сетевой политики, а затем применён метод РЕАР с типом MS-CHAP v2 при беспроводных подключениях. Тогда все компьютеры клиентов, имеющие беспроводной доступ, получат возможность проверять достоверность серверов сетевой политики с применением сертификата сервера политики, так как они будут доверять тому центру сертификации, который выдал сертификат сервера сетевой политики.

Доверять таким сертификатам, как сервер политики сети, который выдан частным центром сертификации, могут и те компьютеры, которые не включены в домен. Для этого нужно зайти в «Доверенные центры сертификации», находящийся в хранилище сертификатов и вручную установить на этих компьютерах сертификат указанного частного центра сертификации.