Novinky v Certifikačních službách ve Windows Serveru

 

Publikováno: září 2016

Platí pro: Windows Server 2012 R2, Windows Server 2012

Toto téma popisuje funkce AD CS (Active Directory Certificate Services), které jsou v systémech Windows Server 2012 R2 a Windows Server 2012 nové nebo se změnily. AD CS nabízí přizpůsobitelné služby pro vydávání a správu certifikátů infrastruktury veřejných klíčů (PKI) používaných v systémech softwarového zabezpečení, které využívají technologie veřejných klíčů.

V tomto tématu:

V systému Windows Server 2012 R2 nabízí Certifikační služby rozšířenou podporu v těchto oblastech:

Vlastnost/funkceNové nebo vylepšenéPopis
Podpora modulu zásad pro Službu zápisu síťových zařízeníNovéPoužití modulu zásad se Službou zápisu síťových zařízení poskytuje vylepšené zabezpečení, se kterým můžou uživatelé a zařízení žádat o certifikáty z internetu.
Ověření identity klíčem TPMNovéOvěření identity klíčem TPM umožňuje certifikační autoritě (CA) ověřit, jestli je privátní klíč chráněný hardwarovým klíčem TPM.
Prostředí Windows PowerShell pro Certifikační službyNovéK dispozici jsou nové rutiny Windows PowerShellu pro zálohu a obnovení.

Podpora modulu zásad pro Službu zápisu síťových zařízení

Role služby AD CS Služba zápisu síťových zařízení je určená pro zabezpečené sítě a důvěryhodné správce. Vzhledem k tomuto chování se může pro zápis pro vyžádání více certifikátů použít jediné heslo, nebo dokonce žádné. Kromě toho neexistuje žádné ověřování pro zadanou hodnotu názvu subjektu.Windows Server 2012 R2 ale podporuje modul zásad pro Službu zápisu síťových zařízení poskytující dodatečné ověření, díky kterému se tato služba role dá prakticky použít v hraniční síti. Tato konfigurace podporuje scénář Přineste si vlastní zařízení (BYOD), kde teď mobilní zařízení, jako například ta, na kterých je spuštěný systém iOS nebo Android, a počítače, které nejsou členy domény, můžou používat Službu zápisu síťových zařízení k vyžádání uživatelských a počítačových certifikátu z internetu. Někdy se tomu taky říká vynucení registrace.

Windows Server 2012 R2 nemá modul zásad. Je nutné ho nainstalovat zvlášť od dodavatele softwaru, který poskytuje modul zásad, nebo si napsat vlastní modul zásad. Pokud provedete instalaci modulu zásad od dodavatele softwaru, obvykle bude od společnosti, která poskytuje správu pro mobilní zařízení.System Center 2012 R2 Configuration Manager například poskytuje modul zásad, který se vyžaduje při nasazení profilů certifikátů.

Další informace najdete v následujících materiálech:

Ověření identity klíčem TPM

Ověření identity klíčem TPM umožňuje certifikační autoritě (CA) ověřit, jestli je privátní klíč chráněný hardwarovým klíčem TPM a jestli ho CA považuje za důvěryhodný. Tato funkce zabraňuje tomu, aby bylo možné certifikát exportovat na neoprávněné zařízení a může svázat identitu uživatele se zařízením.

Všechny čipy TPM mají jedinečné ověřovací klíče. V některých případech můžou mít čipy TPM certifikát ověřovacího klíče, který je pevně spojený s CA výrobce. Ne všechny čipy TPM podporují ověřování, ale když ho podporují, můžete si volitelně vybrat možnost ověření identity klíčem pomocí ověřovacího klíče nebo pomocí certifikátu ověřovacího klíče.

Aby bylo možné ověření identity klíčem TPM použít, musí klientský operační systém být Windows 8.1 nebo Windows Server 2012 R2. Pokud chcete nakonfigurovat ověření identity klíčem TPM, použijte šablonu certifikátu verze 4 s podnikovou CA a nakonfigurujte nastavení na kartě Ověření identity klíče. Na kartě Server vlastností šablony certifikátu nevybírejte možnost Neukládat certifikáty a žádosti do databáze certifikační autority, protože tato konfigurace se s ověřením identity klíčem TPM nepodporuje. Kromě toho samostatné CA a webový zápis nepodporují ověření identity klíčem TPM.

Při konfigurování ověření identity klíčem TPM můžete zvolit zvyšující se úroveň kontroly tak, že určíte, jak ověřit ověřovací klíč, který je zapsaný do čipu TPM výrobcem:

  • Uživatelské přihlašovací údaje. V CA není nutná žádná další konfigurace.

  • Ověřovací certifikát. Do nových úložišť certifikátů v CA je nutné kvůli čipům TPM přidat kořenový certifikát a certifikát vydávající CA. Nová úložiště certifikátů jsou EKCA, v případě meziúložiště, nebo EKRROT, v případě kořenového úložiště.

  • Ověřovací klíč. Každý ověřovací klíč pro čipy TPM musíte přidat do seznamu schválených (seznam EKPUB).

System_CAPS_ICON_tip.jpg Tip


Pokud nastavení na kartě Ověření identity klíče nejsou k dispozici, ověřte následující nastavení:

  • Na kartě Kompatibilita: Certifikační autorita je nastavená na Windows Server 2012 R2 a Příjemce certifikátu je nastavený na Windows 8.1 / Windows Server 2012 R2.
  • Na kartě Vyřízení žádosti: Zaškrtávací políčka Umožnit export privátního klíče a Archivovat privátní klíč šifrování subjektu nejsou zaškrtnutá.
  • Na kartě Kryptografie tab: Kategorie zprostředkovatele je nastavená na Zprostředkovatel úložiště klíčů a Název algoritmu je RSA. Kromě toho musí být možnost Požadavky musí používat jednoho z následujících zprostředkovatelů nastavená na Zprostředkovatel kryptografické platformy Microsoft.

Další informace najdete v následujících materiálech:

Prostředí Windows PowerShell pro Certifikační služby

V systému Windows Server 2012 R2 jsou k dispozici nové Windows PowerShellu. Tyto rutiny můžete použít k zálohování a obnovení databáze certifikační autority (CA).

Název rutinyNové nebo vylepšenéPopis
Backup-CARoleServiceNovéZálohování databáze CA
Restore-CARoleServiceNovéObnovení databáze CA

Další informace o těchto rutinách najdete v tématech Backup-CARoleService a Restore-CARoleService.

Pokud chcete tyto rutiny použít při migraci, podívejte se na následující oddíly tématu Průvodce migrací služby AD CS pro Windows Server 2012 R2:

V systému Windows Server 2012 nabízí Certifikační služby Active Directory rozšířenou podporu v těchto oblastech:

Integrace se Správcem serveru

Správce serveru poskytuje centralizované grafické uživatelské rozhraní pro instalaci a správu role serveru služby AD CS a jejích šesti rolí služeb.

Jakou přidanou hodnotu tato změna přináší?

Role serveru služby AD CS a její služby role se integrují do Správce serveru, který umožňuje nainstalovat službu role AD CS z nabídky Spravovat pomocí možnosti Přidat role a funkce. Po přidání role serveru se služba AD CS zobrazí v řídicím panelu Správce serveru jako jedna z rolí, které je možné spravovat. Tím získáte centrální místo, odkud můžete nasazovat a spravovat službu AD CS a její služby role. Navíc vám nový Správce serveru umožní spravovat více serverů z jednoho místa, kde uvidíte služby role AD CS nainstalované na každém serveru, můžete kontrolovat související události a provádět úkoly správy na každém serveru. Další informace o tom, jak Správce serveru funguje, najdete v tématu Správa více vzdálených serverů pomocí Správce serveru.

Co funguje jinak?

Pokud chcete přidat Roli serveru služby AD CS, můžete použít odkaz Přidat role a funkce v nabídce Spravovat ve Správci serveru. Postup instalace služby AD CS je podobný tomu z předchozí verze, s výjimkou toho, že procesy binární instalace a konfigurace jsou oddělené. Dřív byla instalace a konfigurace v jednom průvodci. V novém prostředí instalace nejdřív nainstalujete binární soubory a potom můžete spustit Průvodce konfigurací služby AD CS, pomocí kterého nakonfigurujete služby role, které už mají nainstalované své binární soubory. Pokud chcete odebrat Roli serveru služby AD CS, můžete použít odkaz Odebrat role a funkce v nabídce Spravovat.

Možnosti nasazení a správy v prostředí Windows PowerShell

Všechny služby role služby AD CS je možné nakonfigurovat nebo je možné jejich konfiguraci odebrat pomocí rutin prostředí Windows PowerShell Nasazení služby AD CS. Tyto nové rutiny nasazení jsou popsané v tématu Přehled rutin Nasazení služby AD CS. Rutina Správy služby AD CS vám umožňuje spravovat službu role Certifikační autority. Tyto nové rutiny správy jsou popsané v tématu Přehled rutin Správy služby AD CS.

Jakou přidanou hodnotu tato změna přináší?

Ke skriptování nasazení jakékoli služby role služby AD CS i ke správě služby role služby CA můžete použít Windows PowerShell.

Co funguje jinak?

K nasazení služeb role služby AD CS můžete použít Správce serveru nebo rutiny prostředí Windows PowerShell.

Všechny služby role služby AD CS je možné spustit na libovolné verzi

Všechny verze systému Windows Server 2012 a Windows Server 2012 R2 vám umožňují nainstalovat všechny služby role služby AD CS.

Jakou přidanou hodnotu tato změna přináší?

Na rozdíl od předchozích verzí můžete nainstalovat role služby AD CS na jakoukoli verzi systému Windows Server 2012 nebo Windows Server 2012 R2.

Co funguje jinak?

V systému Windows Server 2008 R2 mají různé služby role (dřív nazývané jako komponenty) různé požadavky na verzi operačního systému, jak se popisuje v tématu Přehled certifikačních služeb služby Active Directory. V systému Windows Server 2012 nebo Windows Server 2012 R2 funguje všech šest služeb rolí stejně jako v jakékoli verzi systému Windows Server 2012 nebo Windows Server 2012 R2. Jediným rozdílem je, že u všech šesti služeb rolí dostupných k instalaci na libovolnou verzi systému Windows Server 2012 nebo Windows Server 2012 R2 je služba AD CS.

Všechny služby role služby AD CS je možné spustit v jádru serveru

Všech šest služeb role služby AD CS systému Windows Server 2012 a Windows Server 2012 R2 je možné nainstalovat a spustit v možnostech instalace Jádro serveru nebo Minimální serverové rozhraní.

Jakou přidanou hodnotu tato změna přináší?

Na rozdíl od předchozích verzí teď můžete všechny služby role služby AD CS v Windows Server 2012 nebo Windows Server 2012 R2 spustit v možnostech instalace Jádro serveru nebo Minimální serverové rozhraní.

Co funguje jinak?

Služby role služby AD CS teď můžete snadno nasadit pomocí Správce serveru nebo rutin prostředí Windows PowerShell lokálně na počítači nebo vzdáleně přes síť. Kromě toho Windows Server 2012 a Windows Server 2012 R2 poskytují víc možností instalace, které vám dokonce umožní nainstalovat grafické uživatelské rozhraní a později se přepnout na instalaci Jádro serveru nebo Minimální serverové rozhraní. Další informace o možnostech instalace najdete v tématu Možnosti instalace systému Windows Server.

Podpora pro obnovení na základě klíče

Webové služby Zápis certifikátů je funkce přidaná do systémů Windows 7 a Windows Server 2008 R2. Tato funkce umožňuje, aby online požadavky certifikátů mohly přicházet z nedůvěryhodných domén služby AD DS (Active Directory Domain Services) nebo dokonce počítačů, které nejsou připojené do domény. Služba AD CS v systému Windows Server 2012 a Windows Server 2012 R2 se zakládá na Webových službách Zápis certifikátů přidáním možnosti automatického obnovení certifikátů pro počítače, které jsou součástí nedůvěryhodných domén služby AD DS, nebo nejsou připojené do domény.

Jakou přidanou hodnotu tato změna přináší?

Správci už nemusí ručně obnovovat certifikáty pro počítače, které jsou členy pracovních skupin, nebo by mohly být připojené v jiné doméně nebo doménové struktuře služby AD DS.

Co funguje jinak?

Webové služby Zápis certifikátů dál fungují jako předtím, ale teď můžou počítače, které jsou mimo doménu, obnovovat svoje certifikáty pomocí svého existujícího certifikátu pro ověřování.

Další informace najdete v tématu Obnovení na základě klíčů. Taky jsou k dispozici dvě Příručky testovacího prostředí, které předvádějí použití obnovení na základě klíčů:

  1. Příručka testovacího prostředí: Ukázka obnovení certifikátu na základě klíčů

  2. Příručka testovacího prostředí: Registrace certifikátu mezi doménovými strukturami pomocí Webových služeb Zápis certifikátů

Kompatibilita šablon certifikátů

Služba AD CS v systému Windows Server 2012 a Windows Server 2012 R2 obsahuje šablony certifikátů verze 4. Tyto šablony se od předchozích verzí šablon liší v několika věcech. Šablony certifikátů verze 4:

  • Podporují poskytovatele CSP (Cryptographic Service Provider) a KSP (Key Service Provider).

  • Je možné je nastavit, aby vyžadovaly obnovení pomocí stejného klíče.

  • Je možné je použít jenom v systémech Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2.

  • Určují minimální verze operačních systémů certifikační autority a klientů certifikátů, které můžou šablonu využít.

Aby mohli správci snadněji oddělit to, které funkce se budou podporovat kterou verzí operačního systému, přidala se do karty vlastností šablony certifikátu karta Kompatibilita.

Jakou přidanou hodnotu tato změna přináší?

Nové šablony certifikátů verze 4 poskytují další možnosti, jako je například vynucování obnovení se stejným klíčem (k dispozici pouze pro klienty certifikátů Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2). Nová karta Kompatibilita umožňuje správcům nastavit různé kombinace verzí operačních systémů pro certifikační autoritu a klienty certifikátů a vidět jenom ta nastavení, která s těmito verzemi klientů budou fungovat.

Co funguje jinak?

Karta Kompatibilita se zobrazí v uživatelském rozhraní Vlastnosti šablony certifikátu. Tato karta umožňuje vybrat minimální verze operačních systémů certifikační autority a klientů certifikátů. Konfigurace karty Kompatibilita umí několik věcí:

  • Označuje jako nedostupné možnosti ve vlastnostech šablony certifikátu podle vybraných verzí operačních systémů klientů certifikátů a certifikační autority.

  • Pro šablony verze 4 určuje, které verze operačních systémů jsou schopné používat danou šablonu.

Klienti před Windows 8 a Windows Server 2012 nebudou moct využívat nové šablony verze 4.

System_CAPS_ICON_note.jpg Poznámka


Na kartě Kompatibilita je prohlášení Toto nastavení může znemožnit používání této šablony v dřívějších operačních systémech.. Toto prohlášení znamená, že nastavení kompatibility nemají omezující vliv na šablony verze 1, verze 2 ani verze 3 a registrace může pokračovat stejně jako dřív. Například pokud je na kartě Kompatibilita v šabloně verze 2 jako minimální verze klientského operačního systému nastavený systém Windows Vista, může se klient certifikátu se systémem Windows XP i tak zaregistrovat pro získání certifikátu pomocí šablony verze 2.

Další informace o těchto změnách můžete najít v tématu Verze a možnosti šablony certifikátu

Podpora pro obnovení certifikátu se stejným klíčem

Služba AD CS v systému Windows Server 2012 a Windows Server 2012 umožňuje nakonfigurovat certifikát tak, aby se obnovil se stejným klíčem. To umožňuje udržet stejnou úroveň kontroly původního klíče v průběhu životního cyklu.Windows Server 2012 a Windows Server 2012 podporuje generování chráněných klíčů TPM pomocí poskytovatelů KSP založených na TPM. Výhodou použití poskytovatelů KSP založených na TPM je nemožnost exportovat klíče podporované antihammeringovým mechanizmem klíčů TPM. Správci můžou nakonfigurovat šablony certifikátů tak, aby systémy Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2 poskytovatelům KSP založených na TPM poskytovaly vyšší prioritu pro generování klíčů. Navíc díky použití obnovení se stejným klíčem můžou mít správci jistotu, že po obnovení zůstane klíč stále na TPM.

System_CAPS_ICON_note.jpg Poznámka


Překročení počtu nesprávných zadání kódu PIN aktivuje antihammeringovou logiku TPM. Antihammeringová logika je softwarová nebo hardwarová metoda, která zvyšuje složitost a cenu útoku hrubou silou na kód PIN tím, že po určitou dobu neakceptuje jeho zadávání.

Jakou přidanou hodnotu tato změna přináší?

Tato funkce umožňuje správci vynutit obnovení se stejným klíčem, což může snížit náklady na správu (pokud se klíče obnovují automaticky) a zvýšit zabezpečení klíčů (pokud jsou klíče uložené prostřednictvím poskytovatelů KSP založených na TPM).

Co funguje jinak?

Klienti, kteří obdrželi certifikáty ze šablon nakonfigurovaných pro obnovení se stejným klíčem, musí obnovit své certifikáty pomocí stejného klíče, jinak obnovení selže. Tato možnost je k dispozici jenom pro klienty certifikátů v systémech Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2.

System_CAPS_ICON_note.jpg Poznámka

Pokud je v šabloně certifikátu povolené Obnovení se stejným klíčem a je povolená i pozdější archivace klíče (Archivovat privátní klíč šifrování subjektu), pak se obnovené certifikáty nebudou archivovat. Další informace o této situaci a o tom, jak ji zmírnit, najdete v tématu Archivace klíčů a obnovení se stejným klíčem.

Podpora mezinárodních názvů domén

Mezinárodní názvy jsou názvy obsahující znaky, které není možné vyjádřit v ASCII. Služba AD CS v systému Windows Server 2012 a Windows Server 2012 R2 podporuje mezinárodní názvy domén (IDN) v několika případech.

Jakou přidanou hodnotu tato změna přináší?

Mezi nepodporované scénáře IDN teď patří

  • Zápis certifikátu pro počítače s IDN

  • Generování a odesílání žádosti o certifikát s IDN pomocí nástroje příkazového řádku certreq.exe

  • Publikování seznamů CRL a protokolu OCSP na servery, které používají IDN

  • Uživatelské rozhraní Certifikát podporuje IDN

  • Modul snap-in konzoly MMC Certifikát umožňuje IDN ve Vlastnostech certifikátu

Co funguje jinak?

Jak se popisuje výš, je k dispozici omezená podpora IDN.

Zvýšená bezpečnost povolená ve výchozím nastavení pro službu role CA

Když certifikační autorita (CA) příjme žádost o certifikát, je možné pro něj vynutit certifikační autoritou šifrování prostřednictvím RPC_C_AUTHN_LEVEL_PKT, jak se popisuje v článku na webu MSDN Konstanty na úrovni ověřování. V systému Windows Server 2008 R2 a starších verzích není toto nastavení v CA ve výchozím nastavení povolené. V CA v systému Windows Server 2012 nebo Windows Server 2012 R2 je toto bezpečnostní nastavení ve výchozím nastavení povolené.

Jakou přidanou hodnotu tato změna přináší?

Certifikační autorita vynucuje vylepšené zabezpečení v žádostech, které jsou do ní poslané. Tato vyšší úroveň zabezpečení vyžaduje, aby pakety vyžadující certifikát byly šifrované a nebylo je tak možné zachytit a přečíst. Pokud by toto nastavení nebylo povolené, mohl by každý, kdo má přístup k síti, číst pakety posílané do a z certifikační autority pomocí analyzátoru sítě. To znamená, že může dojít k vystavení informací (jako například jmen požadujících uživatelů nebo počítačů, typy certifikátů, ke kterým se zapisují, související veřejné klíče a tak dále), což se může považovat za narušení ochrany. V rámci doménové struktury nebo domény nemusí být únik těchto dat pro většinu organizací významný. Pokud však útočníci získají přístup k síťovému přenosu, mohli by shromažďovat informace o interní struktuře a aktivitách společnosti, což by mohli použít k cílenějšímu sociálnímu inženýrství nebo phishingovým útokům.

Příkazy, které zapnou vyšší úroveň zabezpečení RPC_C_AUTHN_LEVEL_PKT na certifikačních autoritách systémů Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 nebo Windows Server 2008 R2 jsou:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Restartování certifikační autority:
net stop certsvc
net start certsvc

Pokud máte klientské počítače s Windows XP, které potřebují vyžadovat certifikáty od CA, která má toto nastavení povolené, máte dvě možnosti:

  1. Upgradovat počítače s Windows XP na novější operační systém

  2. Snížit zabezpečení CA spuštěním následujících příkazů:

    Snížení zabezpečení CA kvůli kompatibilitě s klienty s Windows XP
    1. certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

    2. net stop certsvc

    3. net start certsvc

Co funguje jinak?

Klienti s Windows XP nebudou kompatibilní s nastavením vyšší bezpečnosti povoleném v CA v systému Windows Server 2012 nebo Windows Server 2012 R2. V případě potřeby můžete nastavení zabezpečení snížit, jak se popisuje výš.

Sledování serverů služby AD DS pro klienty AD CS a PKI

Certifikační služby v systémech Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2 je možné nakonfigurovat tak, aby využívaly servery služby AD DS (Active Directory Domain Services) za účelem optimalizace klientských žádostí na certifikační služby. Tato funkce není na klientských počítačích Certifikační autority (CA) ani Infrastruktury veřejných klíčů (PKI) ve výchozím nastavení povolená.

System_CAPS_ICON_note.jpg Poznámka


Informace o povolení sledování serverů služby AD DS najdete v článku na TechNet Wiki Sledování serverů služby AD DS pro klienty AD CS a PKI.

Jakou přidanou hodnotu tato změna přináší?

Tato změna umožňuje klientům certifikátů v systémech Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2 vyhledat CA ve svém místním serveru služby AD DS.

Co funguje jinak?

Při zápisu pro certifikát založený na šabloně se klient dotáže služby AD DS na šablonu a objekty CA. Klient potom použije volání funkce DsGetSiteName k získání svého vlastního názvu serveru. V případě Certifikačních autorit, které mají už nastavený atribut msPKI-Site-Name, určí klient certifikačních služeb cenu připojení k serveru služby AD DS ze strany klienta na každý cílový server CA. K určení toho se volá funkce DsQuerySitesByCost. Klient certifikačních služeb používá vrácené ceny serverů k nastavení priorit Certifikačních autorit, které umožňují klientovi Oprávnění k registraci a podporu příslušné šablony certifikátu. Certifikační autority s vyšší cenou se zkoušejí kontaktovat jako poslední (jenom v případě, že původní Certifikační autority nejsou k dispozici).

System_CAPS_ICON_note.jpg Poznámka


Certifikační autorita nemusí vrátit žádnou cenu serveru, pokud atribut msPKI-Site-Name není nastavený na CA. Pokud Certifikační autorita nemá nastavenou cenu serveru, pak se jí přiřadí nejvyšší možná cena.

Formát PFX chráněný skupinou

Formát standardu PKCS#12 (známý taky jako PFX) byl chráněn jenom heslem, což mělo následující omezení:

  • Obtížnou automatizaci

  • Nebyl příliš bezpečný, protože správce obvykle používal slabé heslo

  • Obtížně se sdílel mezi více uživateli

Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2 můžou chránit certifikáty a asociované privátní klíče kombinací existujícího formátu PFX pomocí nové funkce ochrany dat. To umožňuje šifrovat obsah souboru PFX pomocí klíče, který patří skupině nebo jednotlivci, namísto ochrany heslem.

System_CAPS_ICON_note.jpg Poznámka

Jakou přidanou hodnotu tato změna přináší?

Pomocí této funkce můžou správci provádět toto:

  • Nasazovat, spravovat a řešit potíže s certifikáty vzdáleně a napříč serverovými farmami pomocí prostředí Windows PowerShell.

  • Bezpečně sdílet certifikáty a klíče napříč serverovými farmami se systémem Windows Server 2012 nebo Windows Server 2012 R2 pomocí rozhraní API systému Windows.

Starší verze Windows můžou tento PFX zpracovat, protože operační systém vnitřně přiřadí silné náhodné heslo. Heslo se vloží do PFX a chrání se sadou identifikátorů SID s rozhraními API ochrany dat. Každý uživatel, který má přístup k PFX, může toto heslo vidět a sdílet ho s předchozími verzemi Windows.

Co funguje jinak?

Soubor PFX je teď možné chránit objektem zabezpečení namísto pouhým heslem. Aktualizace uživatelského rozhraní pro export certifikátu umožňuje výběr objektu zabezpečení během exportu.

Oznámení životního cyklu certifikátu

V systémech Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2 poskytují certifikáty oznámení životního cyklu do úložiště MY z úrovně rozhraní API zápisu certifikátu a prostředí Windows PowerShell. Oznámení zahrnují vypršení platnosti, odstranění, nové vytvoření, obnovení, blízké vypršení platnosti, archivování a export. Správci a vývojáři můžou spravovat (zobrazovat, instalovat, kopírovat, požadovat a odstraňovat) certifikáty a jejich přidružené soukromé klíče vzdáleně pomocí prostředí Windows PowerShell. Tato funkce umožňuje spuštění skriptu nebo spustitelného souboru v reakci na oznámení životního cyklu certifikátu.

System_CAPS_ICON_note.jpg Poznámka

Jakou přidanou hodnotu tato změna přináší?

Pro vývojáře aplikací a serverových úloh, kteří ve svých produktech používají certifikáty, je integrace s životním cyklem certifikátů v systémech Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2 jednoduchá a spolehlivá a je možné ji provést vzdáleně. Vývojáři můžou vyvíjet aplikace, které se překonfigurují samy, kdykoli se certifikát obnoví nebo se nahradí jiným certifikátem, a to pomocí automatického zápisu nebo ruční nebo skriptované akce správce. Investice potřebné k integraci s rozhraními správy certifikátů jsou velmi malé.

Pro správce, který spravuje aplikace používající certifikáty, použijí tyto aplikace automaticky certifikáty systémů Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2. K tomu dojde, protože se aplikace integrují s oznámeními certifikátů systémů Windows 8, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2, nebo když je skript správce aktivovaný událostí certifikátu.

Co funguje jinak?

Je teď možné povolit oznámení, která upozorní správce, že dojde k vypršení certifikátu.

Privátní klíče CA jsou obsažené v imagi Zálohování stavu systému.

Funkci Zálohování serveru je možné nainstalovat na certifikační autoritu (CA) a vytvořit tak Zálohování stavu systému, které bude obsahovat privátní klíče CA.

Co funguje jinak?

V systému Windows Server 2012 a Windows Server 2012 R2 funkce Zálohování stavu systému automaticky vytvoří zálohu privátního klíče CA, když správce nebo operátor zálohování použije funkci Zálohování serveru k provedení Zálohování stavu systému.

Co funguje jinak?

Funkce Zálohování serveru nyní zahrnuje privátní klíče CA.

System_CAPS_ICON_tip.jpg Tip

Zobrazit: