Usługi certyfikatowe

Usługi certyfikatowe są integralnym składnikiem systemu operacyjnego, umożliwiającym firmom funkcjonowanie jako własny urząd certyfikacji (Certification Authority, CA), a więc wydawanie i zarządzanie certyfikatami cyfrowymi. System Windows XP Professional obsługuje różne poziomy hierarchii CA oraz wzajemnie certyfikowane zaufane sieci. Obejmuje to funkcje urzędów certyfikacji trybów offline i online.

Przechowywanie certyfikatów i klucza publicznego
W systemie Windows XP Professional certyfikaty klucza publicznego są przechowywane w magazynie certyfikatów osobistych. Certyfikaty są przechowywane jako zwykły tekst, ponieważ są informacjami publicznymi. Są one podpisywane cyfrowo przez urzędy certyfikacji, co zapobiega ich wykorzystaniu przez nieupoważnione osoby.

Certyfikaty użytkownika są przechowywane w folderze Documents and Settings\nazwa_uzytkownika\Dane aplikacji\ Microsoft\SystemCertificates\My\Certificates dla każdego profilu użytkownika. Certyfikaty są zapisywany w osobistym magazynie w rejestrze systemu przy każdym logowaniu użytkownika na komputerze. W przypadku profilów użytkowników mobilnych certyfikaty mogą być przechowywane w dowolnym folderze i będą przekazywane automatycznie do tego komputera w domenie, na którym zaloguje się użytkownik.

Przechowywanie klucza prywatnego
Klucze prywatne dla dostawców usług kryptograficznych (CPS) współpracujących z firmą Microsoft, takie jak Base CSP i Enhanced CSP, są przechowywane w profilu użytkownika w katalogu Katalog_główny\Documents and Settings\Nazwa_użytkonwika\Dane aplikacji\Microsoft\Crypto\RSA.

W przypadku profilu użytkownika mobilnego klucz prywatny jest przechowywany w folderze RSA w kontrolerze domeny i jest ładowany na komputer użytkownika, gdzie pozostaje aż do wylogowania się użytkownika lub ponownego uruchomienia komputera.

Ponieważ klucze prywatne muszą być chronione, wszystkie pliki w folderze RSA są automatycznie szyfrowane przy użyciu losowego, symetrycznego klucza zwanego kluczem głównym użytkownika. Klucz główny ma długość 64 bajtów i jest generowany przez zaawansowany generator liczb losowych. Klucze 3DES są generowane na podstawie klucza głównego i są używane do ochrony kluczy prywatnych. Klucz główny jest generowany automatycznie i jest okresowo odnawiany.

W przypadku przechowywania klucza głównego na dysku jest on chroniony potrójnym algorytmem DES przy użyciu klucza opartego częściowo na haśle użytkownika. Klucz automatycznie szyfruje każdy plik w folderze RSA podczas tworzenia danego pliku.

Automatyczna rejestracja certyfikatów użytkownika
W systemie Windows 2000 pojawiła się funkcja automatycznej rejestracji certyfikatów użytkownika. Funkcja automatycznej rejestracji certyfikatów komputerów lub kontrolerów domen jest realizowana za pośredni wtem mechanizmu zasad grup oraz usługi Microsoft Active Directory™. Automatyczna rejestracja certyfikatów komputerów jest szczególnie przydatna w obsłudze połączeń VPN IPSec lub L2TP/IPSec realizowanych za pośrednictwem serwerów routingu i zdalnego dostępu opartych na systemie Windows XP oraz za pośrednictwem podobnych urządzeń.

Automatyczna rejestracja certyfikatów wpływa na obniżenie łącznego kosztu posiadania oraz uproszczenie cyklu zarządzania certyfikatami z punktu widzenia użytkowników i administratorów. Funkcje automatycznej rejestracji kart chipowych oraz uprawnienia samodzielnej rejestracji zapewniają dodatkowy poziom zabezpieczeń dla użytkowników biznesowych, upraszczając jednocześnie procesy związane z zarządzaniem zabezpieczeniami w przypadku organizacji zwracających dużą uwagę na bezpieczeństwo.

Oczekujące wnioski o przyznanie certyfikatu oraz odnowienia certyfikatów
Automatyczne rejestrowanie użytkowników w systemie Windows XP Professional zapewnia obsługę funkcji oczekujących wniosków o przyznanie certyfikatu oraz odnowień certyfikatów. Użytkownik może ręcznie lub automatycznie złożyć wniosek o przyznanie certyfikatu do urzędu certyfikacji Windows .NET Server. Wniosek jest przechowywany do momentu uzyskania zatwierdzenia ze strony administratora lub zakończenia procesu weryfikacji. Po zatwierdzeniu lub wydaniu certyfikatu proces automatycznej rejestracji certyfikatu ulega zakończeniu i następuje automatyczna instalacja certyfikatu.

Proces odnawiania wygasłych certyfikatów użytkownika również wykorzystuje mechanizm automatycznej rejestracji. Certyfikaty są automatycznie odnawiane w imieniu użytkownika, zależnie od specyfikacji zawartych w szablonie certyfikatów w usłudze Active Directory.

Certyfikaty i klucze są chronione domyślnie. Można ponadto wdrożyć opcjonalne zabezpieczenia, zapewniające dodatkową ochronę. Aby zwiększyć poziom zabezpieczenia certyfikatów i kluczy, można wyeksportować klucze prywatne i przechowywać je w bezpiecznym miejscu.

Na rysunku pokazano niektóre opcje konfiguracji automatycznej rejestracji certyfikatów.