Безопасность сообщений Exchange Server 2003
Создание расширенного запроса
Опция Advanced Request (Расширенный запрос) позволяет пользователю указывать дополнительные параметры при создании запроса на сертификат. На рис. 5.20 показаны три типа запросов. Первый вариант, Create And Submit A Certificate Request To This CA (Создать и представить запрос на сертификат данному ЦС), позволяет пользователю использовать расширенную форму. Вы можете применить эту форму для запроса любых типов сертификатов, поддерживаемых ЦС данного предприятия. Также данная форма позволяет выполнять настройку параметров ключа, формата и хеш-функции для запроса на сертификат. Как правило, с расширенной формой работают только администраторы, так как она достаточно сложна для обычного пользователя.
Второй вариант, Submit A Certificate Request Using A Base-64-Encoded CMC Or PKCS #10 File, Or Submit A Renewal Request By Using A Base-64-Encoded PKCS #7 File (Подать запрос на сертификат, используя файл в формате Base64 Encoded PKCS #10, или возобновить запрос, используя файл в формате Base64 Encoded PKCS #7), позволяет пользователю представлять запрос, используя файл, а не форму. Файл уже должен существовать в base64 с использованием формата шифрования #10 или #7 PKCS. Вам также понадобится выбрать тип запрашиваемого сертификата в области Certificate Template (Шаблон сертификата).
Последний вариант, Request A Certificate For A Smart Card On Behalf Of Another User Using The Smart Card Enrollment Station (Запрос сертификата для смарт-карты от имени другого пользователя с помощью станции регистрации смарт-карт), позволяет администратору создавать сертификат для пользователя смарт-карты, который можно затем установить на физической карте.
Просмотр информации о сертификатах
Для просмотра информации о сертификатах перейдите в папку Issued Certificates (Выданные сертификаты) в оснастке Certificate Authority и откройте нужный сертификат. Чтобы открыть сертификат, щелкните на нем правой кнопкой мыши и выберите команду Open (Открыть). На рис. 5.21 показана вкладка General (Общие) страницы свойств пользовательского сертификата. В этой вкладке приводится список целей, для которых предназначен сертификат, кем он выдан, кому, а также даты начала и окончания действия сертификата. Если сравнить информацию пользовательского сертификата с информацией сертификата для контроллера домена (см. рис. 5.22), то вы увидите, что они отличаются по своему назначению. Напомним, что назначение сертификата наследуется из его шаблона.
На рисунках 25.21 и 25.22 кнопка Issuer Statement (Комментарий ЦС) затенена (недоступна), поскольку в данном случае ЦС, выдавший сертификат, не предоставил никакого комментария. Но при наличии комментария ЦС для определенного сертификата можно щелкнуть на этой кнопке и прочитать дополнительную информацию о сертификате из веб-сайта ЦС, выдавшего сертификат.
В окне вкладки Details (Подробно) показана информация, которую содержит данный сертификат. Если выбрать элемент в колонке Field (Поле), то содержимое этого поля раскрывается в колонке Value (Значение). На рис. 5.23 выделено поле Public Key (Открытый ключ). В столбце Value указано, что это 1024-битный ключ.
В окне вкладки Certification Path (Путь сертификации) (см. рис. 5.24) показан статус доверия сертификата. При возникновении проблемы, касающейся сертификата или пути сертификации, в этой вкладке появится предупреждение с информацией, раскрывающей суть проблемы.
На стороне клиента можно использовать Outlook 2003 для редактирования определенных свойств сертификата. Открыв сертификат, нажмите кнопку Edit Properties (Редактировать свойства) внизу страницы свойств сертификата, чтобы увидеть страницу, показанную на рис. 5.25. Здесь можно изменить дружественное имя (Friendly name) и описание (Description) для данного сертификата, а также ограничить цели использования сертификата. По умолчанию активизированы все цели, но вы можете вручную отключить определенные цели или все цели (что сделает сертификат ненужным).
Вкладка Cross-Certificates (Перекрестные сертификаты) (см. рис. 5.26) позволяет указать для данного сертификата перекрестные сертификаты. Перекрестные сертификаты - это специальные сертификаты, используемые для установки полного или одностороннего доверия между ЦС, между которыми изначально нет какой-либо взаимосвязи. Если в организации есть несколько распределенных отделов информационных технологий, то у вас может отсутствовать возможность создания единой структуры с доверием. В данной ситуации реализовывается модель доверия с сетевой иерархией, в которой все ЦС являются самоподписывающимися, и доверительные отношения между центрами сертификации базируются на перекрестных сертификатах.
