Какова цель пользовательского Доверительного списка сертификатов?
Можно создать и развернуть доверительный список сертификатов, как детализировано здесь, но я пытаюсь понять преимущества этого просто развертывающего корневые и промежуточные сертификаты с групповой политикой нормальный путь. Почему был бы я want\need, чтобы сделать это?
Список доверенных сертификатов предприятия (CTL) дает вам большую детализацию и контроль над тем, какие именно типы сертификатов и для каких целей можно доверять. Простое распространение сертификатов с помощью групповой политики не дает вам особого контроля над тем, как и при каких обстоятельствах этим сертификатам доверяют ваши клиенты.
Список доверенных сертификатов (CTL) позволяет вам контролировать доверие в цель и срок действия сертификатов, выданных внешними центры сертификации (ЦС).
Обычно центр сертификации может выдавать сертификаты для широкого различные цели, такие как безопасная электронная почта или аутентификация клиента. Но могут возникнуть ситуации, когда вы захотите ограничить доверие сертификаты, выданные определенным центром сертификации, особенно, если ЦС находится за пределами вашей организации. В этих ситуаций, создание CTL и использование его через групповую политику может быть полезно.
Предположим, например, что центр сертификации с именем «Мой ЦС» возможность выдачи сертификатов для аутентификации сервера, клиента аутентификация, подпись кода и безопасная электронная почта. Однако только вы хотите доверять сертификатам, выпущенным My CA для целей клиента аутентификация. Вы можете создать CTL и ограничить цель, для которой вы доверяете сертификатам, выпущенным My CA, поэтому они действительны только для аутентификация клиента. Любые сертификаты, выданные для другой цели Мой ЦС не допускается к использованию любым компьютером или пользователем в рамках объект групповой политики (GPO), к которому применяется CTL.
В организации может быть несколько CTL. Поскольку использование и доверительные отношения сертификатов для определенных доменов или организационных единиц могут быть разными, вы можете создать отдельные CTL, чтобы отразить это использование и назначать определенные CTL определенным объектам групповой политики.
Благодаря использованию групповой политики в вашей организации вы получаете возможность обозначения доверия в центрах сертификации с использованием доверенного корня политика центра сертификации или политика доверия предприятия (CTL). Используйте следующие рекомендации при определении того, какую политику использовать: • Если ваша организация имеет собственные корневые центры сертификации и использует Active Directory, вы не нужно использовать механизм групповой политики для распространения этих корневых сертификаты.
• Если в вашей организации есть собственные корневые центры сертификации, которые не установлены на серверов, вы должны использовать доверенный корневой центр сертификации политика для распространения корневых сертификатов вашей организации. Для большего информацию см. в разделе Политика доверенного корневого центра сертификации.
• Если в вашей организации нет собственных центров сертификации, используйте корпоративную политика доверия для создания CTL, чтобы установить доверие вашей организации к внешние корневые центры сертификации. Дополнительные сведения см. В разделе Использование корпоративного доверия. policy.