Корневой центр сертификации (ЦС) — это наиболее доверенный центр сертификации, находящийся наверху иерархии сертификации инфраструктуры открытого ключа (PKI). Для успешного осуществления связи в основном режиме в пределах сайта Configuration Manager 2007 сертификаты PKI, используемые для проверки подлинности, шифрования и подписывания, должны быть выданы корневым центром сертификации, которому доверяют остальные компьютеры и устройства в сайте.
Каждый их компьютеров и устройств, обменивающихся данными с использованием сертификатов, должны иметь общий корневой сертификат. Если все компьютеры в иерархии Configuration Manager 2007 используют сертификаты от одного и того же центра сертификации, достаточно развертывания только одного доверенного корневого центра сертификации. Тем не менее, использование одного и того же центра сертификации не является обязательным требованием, поэтому может понадобиться установить несколько корневых ЦС.
Компьютеры под управлением Windows и некоторые устройств автоматически настроены на использование некоторых известных сторонних корневых сертификатов. Однако, если используется собственный PKI, необходимо установить корневой сертификат. Существуют множество способов это сделать; некоторые из них перечислены ниже.
- При использовании корневого центра
сертификации предприятия Microsoft корневой сертификат
автоматически устанавливается на компьютерах леса с помощью
доменных служб Active Directory.
- Если корневой центр сертификации предприятия
Microsoft не используется, однако требуется, чтобы все компьютеры в
лесу автоматически доверяли корневому центру сертификации, корневой
сертификат можно опубликовать в хранилище доверия предприятия с
помощью групповой политики или команды certutil.
- Если корневой центр сертификации предприятия
Microsoft не используется и требуется, чтобы только определенные
группы компьютеров в лесу автоматически доверяли корневому центру
сертификации, можно опубликовать корневой сертификат в доменах или
в подразделениях с помощью групповой политики. Только компьютеры, к
которым применена групповая политика, будут автоматически доверять
корневому центру сертификации. Корневой сертификат следует
добавлять в объект групповой политики "Доверенные корневые центры
сертификации" в папке "Политики открытых ключей" контейнера
"Конфигурация компьютера".
- При использовании служб сертификации
Microsoft в сочетании со службами IIS можно запросить и установить
корневой сертификат с помощью службы подачи заявок через
Интернет.
- Сертификат можно запросить и получить с
помощью программы командной строки Microsoft Certreq.
- Если в сертификате разрешен экспорт открытого
ключа, сертификат можно экспортировать в файл и импортировать.
Если используется средство развертывания операционной системы, корневой ЦС должен быть указан в Configuration Manager 2007 в качестве свойства сайта. Дополнительные сведения см. в разделе Задание сертификатов корневого центра сертификации для клиентов развертывания операционной системы.