Вы можете создать и развернуть список доверенных сертификатов, как описано ниже.здесь, но я пытаюсь понять преимущества этого по сравнению с обычным развертыванием корневых и промежуточных сертификатов с групповой политикой. Зачем мне это нужно?
решение1
Список доверия сертификатов предприятия (CTL) дает вам больше детализации и контроля над тем, каким именно типам сертификатов и для каких целей эти сертификаты могут быть доверенными. Простое распространение сертификатов через групповую политику не дает вам особого контроля над тем, как именно и при каких обстоятельствах эти сертификаты доверены на ваших клиентах.
Список доверия сертификатов (CTL) позволяет контролировать доверие к назначению и сроку действия сертификатов, выданных внешними центрами сертификации (CA).
Обычно центр сертификации может выдавать сертификаты для самых разных целей, например, для безопасной электронной почты или аутентификации клиентов. Но могут быть ситуации, в которых вы хотите ограничить доверие к сертификатам, выданным определенным центром сертификации, особенно если CA находится за пределами вашей организации. В таких ситуациях создание CTL и его использование через групповую политику может быть полезным.
Предположим, например, что центр сертификации с именем «My CA» способен выдавать сертификаты для аутентификации сервера, аутентификации клиента, подписи кода и защищенной электронной почты. Однако вы хотите доверять сертификатам, выданным My CA, только для целей аутентификации клиента. Вы можете создать CTL и ограничить цель, для которой вы доверяете сертификатам, выданным My CA, так, чтобы они были действительны только для аутентификации клиента. Любые сертификаты, выданные My CA для других целей, не принимаются для использования никаким компьютером или пользователем в области действия объекта групповой политики (GPO), к которому применяется CTL.
В организации может быть несколько CTL. Поскольку использование и доверие сертификатов для определенных доменов или организационных подразделений могут быть разными, вы можете создать отдельные CTL, чтобы отразить эти использования и назначить определенные CTL определенным GPO.
Используя групповую политику в вашей организации, вы можете назначать доверие в центрах сертификации, используя либо политику доверенных корневых центров сертификации, либо политику доверия предприятия (CTL). Используйте следующие рекомендации при определении того, какую политику использовать: • Если в вашей организации есть собственные корневые центры сертификации и используется Active Directory, вам не нужно использовать механизм групповой политики для распространения этих корневых сертификатов.
• Если в вашей организации есть собственные корневые центры сертификации, которые не установлены на серверах, вам следует использовать политику доверенного корневого центра сертификации для распространения корневых сертификатов вашей организации. Для получения дополнительной информации см. Политика доверенного корневого центра сертификации.
• Если в вашей организации нет собственных CA, используйте политику доверия предприятия для создания CTL, чтобы установить доверие вашей организации к внешним корневым CA. Для получения дополнительной информации см. раздел Использование политики доверия предприятия.