3.4 .1Qui trình đăng ký và cấp chứng chỉ
4.5 Cấp phát và quản lý chứng chỉ số
4.5.1 Cấp phát tự động (Auto-Enrollment)
Tự động nhận yêu cầu và cấp phát chứng chỉ số từ client mà không cần sự can thiệp của người quản trị. Để dùng Auto-Enrollment phải có domain chạy Window Server 2003, một enterprise CA chạy trên Window Server 2003 và client chạy window XP Professional. Điểu khiển tiến trình sử dụng sự kết hợp của Group Policy và mẫu chứng chỉ.
Group Policy Objects cho phép Auto-Enrollment cho tất cả các người dùng và máy tính nằm trong domain. Để cài đặt, mở chính sách Auto-Enrollment trong thư mục WindowsSettings\ Security Settings \Public key Policies trong cả hai nod Computer configuration và User configuration của Group Policy Object Editor. Hộp thoại Autoenrollment Settings Properties xuất hiện, bạn có thể cấm hồn tồn chế độ
auto-enrollment cho các đối tượng trong group này. Ban cũng có thể thay đổi cho phép các đối tượng thay đổi , cập nhật tự động chứng chỉ số một cách tự động.
Hình 4.17
Một kĩ thuật khác bạn có thể sử dụng để điều khiển autoenrollment là xây dựng mẫu chứng chỉ số có xác định đặc tính của kiểu chứng chỉ số rõ ràng. Để quản lý mẫu chứng chỉ số, bạn dùng mẫu chứng chỉ số có sẵn (như hình bên dưới). Sử dụng cơng cụ này bạn có thể quản lý từng chi tiết như thời gian có hiệu lực, thời gian gia hạn của loại chứng chỉ số đã chọn, chọn kiểu mã hóa cho chúng. Bạn cũng có thể chỉ rõ những user, group nào được yêu cầu cấp phát loại chứng chỉ này.
Hình 4.18
Khi client yêu cầu cấp phát chứng chỉ, CA sẻ kiểm tra thông tin trạng thái của đối tượng Active Directory của client để quyết định xem nó có quyền được cấp phát hay khơng. Nếu có quyền thì CA sẻ tự động cấp chứng chỉ cho client đó.
4.5.2 Cấp phát bằng tay
Stand-alone CA khơng thể dùng auto-enrollment, vì vậy khi một stand-alone CA nhận yêu cầu về chứng chỉ số từ client, nó sẽ lưu trữ nó vào trong một hàng đợi cho tới khi người quản trị quyết định liệu có cấp phát chứng chỉ cho client đó hay khơng. Để giám sát và xử lý các yêu cầu vào, người quản trị dùng Certificate Authority console.
Hình 4.19
Tất cả các yêu cầu cấp phát chứng chỉ nằm trong thư mục Pending Requests. Sau khi người quản trị xem xét đánh giá thông tin của mỗi request sẻ quyết định chấp nhận hoặc từ chối cấp phát cho client đó.Ngồi ra người quản trị có thể xem các thơng tin cấp phát, thu hồi chứng chỉ nếu cần.