Компоненты сетевого ответчика
Служба роли «Сетевой ответчик» в Windows Server 2008 R2 состоит из следующих компонентов.
Служба «Сетевой ответчик» расшифровывает запрос состояния отзыва определенного сертификата, оценивает состояние этого сертификата и возвращает подписанный ответ, содержащий запрошенные сведения о состоянии сертификата. Служба «Сетевой ответчик» — это отдельный от центра сертификации (ЦС) компонент.
Компьютер, на котором выполняются служба «Сетевой ответчик» и веб-прокси сетевого ответчика. Компьютер, на котором размещен ЦС, также может быть настроен в качестве сетевого ответчика, но рекомендуется использовать для ЦС и сетевых ответчиков разные компьютеры. Один сетевой ответчик может предоставлять сведения о состоянии отзыва для сертификатов, выданных одним или несколькими центрами сертификации. Информация отзыва ЦС может поддерживаться более чем одним сетевым ответчиком.
Сетевой ответчик может быть установлен на любой компьютер под управлением Windows Server 2008 R2 Enterprise или Windows Server 2008 R2 Datacenter. Данные отзыва сертификата извлекаются из списка отзыва сертификатов (CRL), который может быть взят из ЦС на компьютере под управлением Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000 Server или ЦС сторонних разработчиков.
Веб-прокси сетевого ответчика
Данный интерфейс службы для сетевого ответчика реализован как расширение интерфейса прикладного программирования Интернет-серверов (ISAPI), входящего в службы IIS. Веб-прокси получает и расшифровывает запросы, а также кэширует ответы на заданное время.
Конфигурация отзыва включает в себя все параметры, необходимые для ответа на запросы состояния сертификатов, выданных с использованием определенного ключа ЦС. В число этих параметров входит сертификат ЦС, сертификат подписи для сетевого ответчика и тип поставщика отзыва.
Поставщик отзыва — это программный модуль, который, в сочетании с другими параметрами конфигурации отзыва, позволяет сетевому ответчику проверять состояние сертификата. Поставщик отзыва в системе Windows Server 2008 R2 использует для предоставления сведений о состоянии сертификатов данные списка отзыва сертификатов.
Массив сетевых ответчиков
Массив сетевых ответчиков содержит один или несколько сетевых ответчиков-элементов. Дополнительные сетевые ответчики могут быть добавлены в массив сетевых ответчиков по ряду причин, включая географическое расположение, масштабируемость, особенности конструкции сети и отказоустойчивость при потере доступа к отдельному сетевому ответчику. Сетевые ответчики в массиве называются членами массива.
Контроллер массива сетевых ответчиков
Если несколько сетевых ответчиков объединены в массив, то один из них должен быть назначен контроллером массива. Хотя настройка и управление для каждого сетевого ответчика в массиве могут выполняться независимо, в случае конфликтов параметры конфигурации контроллера массива имеют преимущество перед параметрами остальных элементов массива.
Установка сетевого ответчика
Сетевой ответчик может быть установлен на любой компьютер под управлением Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise или Windows Server 2008 Datacenter. Данные отзыва сертификатов могут поступать из центра сертификации (ЦС), расположенного на компьютере под управлением Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или ЦС сторонних поставщиков.
Перед установкой сетевого ответчика на компьютер также необходимо установить службы IIS.
Если на компьютере не установлена ни одна из служб роли «Службы сертификации Active Directory» (AD CS), например «Центр сертификации», можно использовать следующую процедуру.
Минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или наличие эквивалентных прав. Дополнительные сведения об администрировании инфраструктуры открытого ключа (PKI) см. в разделе Реализация ролевого администрирования.
- В меню Пуск выберите Администрирование, а затем выберите Диспетчер сервера.
- Щелкните Управление ролями. В группе Службы сертификации Active Directory щелкните Добавить службы ролей. Если на данном компьютере уже установлена другая служба роли AD CS, установите флажок Службы сертификации Active Directory в области Сводка по ролям, а затем щелкните Добавить службы ролей.
- На странице Выбор служб ролей установите флажок Протокол OCSP . Появится сообщение о том, что для поддержки OCSP должны быть установлены службы IIS и служба активации Windows (WAS).
- Щелкните Добавить требуемые службы роли, а затем трижды нажмите кнопку Далее.
- На странице Подтверждение параметров установки нажмите кнопку Установить.
- После завершения установки просмотрите страницу состояния, чтобы убедиться в успешном завершении установки.
Дополнительная информация
- Перед началом использования сетевого ответчика необходимо создать конфигурацию отзыва. См. раздел Создание конфигурации отзыва.
Как работают сетевые ответчики
Большинству приложений, зависящих от сертификатов X.509, требуется проверка состояния сертификата, используемого при операциях проверки подлинности, подписывания или шифрования. Проверка подлинности и отзыва выполняется для всех сертификатов в цепочке, вплоть до корневого сертификата. Если корневой сертификат или любой сертификат в цепочке недействителен, то сертификаты более низких уровней также недействительны.
Для прохождения проверки должны выполняться следующие условия.
- Подпись каждого сертификата действительна.
Кроме того, каждый сертификат в цепочке проверяет свое состояние отзыва. Проверка отзыва может быть выполнена с помощью списка отзыва сертификатов (CRL) или ответа OCSP (Online Certificate Status Protocol).
Что такое OCSP?
Сетевой ответчик корпорации (Майкрософт) использует протокол OCSP, позволяющий получателю сертификата отправить запрос состояния сертификата ответчику OCSP, используя протокол HTTP. Ответчик OCSP возвращает определенный ответ с цифровой подписью, показывающий состояние сертификата. Каждый запрос возвращает постоянный объем данных независимо от числа отозванных сертификатов в ЦС.
Сетевой ответчик
- При попытке приложения проверить сертификат, указывающий расположения для ответчиков OCSP, клиентский компонент сначала выполняет поиск кэшированных ответов OCSP с текущими данными отзыва в памяти и дисковом кэше.