Журнал
В журнале регистрируется информация обо всех выпу- щенных сервером сертификатах и CRL, так что администраторы могут отслеживать, проверять и архивировать сведения о дея- тельности сервера. Этот журнал также используется серверным ядром для хранения данных по планируемым отзывам до их опубликования в CRL. Кроме того, в журнале содержатся невы- полненные почему-либо запросы сертификатов.
Очередь запросов
Содержит сведения о ходе обработки сервером запроса сертификата: получении, анализе, авторизации, подписи и от- правке.
Модуль политики
Содержит набор правил, обусловливающих выпуск, об- новление и отзыв сертификатов. Все получаемые ядром запросы предаются модулю политики для проверки. Он также применя- ется для анализа дополнительной информации, содержащейся в запросе, и соответствующей настройки параметров сертификата.
Обработчики расширений
Работают в тандеме с модулем политики для настройки пользовательских расширений сертификата. Каждый такой об- работчик выступает как шаблон для расширения, которое долж- но быть отражено в сертификате. При необходимости модуль политики подгружает соответствующий обработчик.
Модули выхода
Публикуют готовый сертификат и CRL, используя любые транспорты и протоколы. По умолчанию при выпуске сертифи- ката или CRL информация выдается на каждый модуль выхода, установленный на сервере.
Службы сертификации поддерживают интерфейс СОМ для создания дополнительных модулей выхода, адаптированных под разные транспорты и протоколы или иные способы доставки. Например, модуль выхода LDAP может быть использован для опубликования в службе каталогов только сертификатов клиен- тов, но не сертификатов сервера. При этом модуль выхода мо- жет использовать СОМ-интерфейс для определения типа серти- фиката, выпускаемого сервером, и отфильтровывать все непод- ходящие (серверные) сертификаты.
Обработка запроса сертификата
Службы сертификации включают средства обработки за- просов сертификатов и выпуска цифровых сертификатов (рис. 8.4).
При обработке запроса службы сертификации выполняют следующие действия.
Клиент направляет запрос сертификата приложению- посреднику. Это приложение транслирует его в формат PKCS #10 и пересылает в ядро.
Ядро вызывает модуль политики, который определяет свойства запроса, авторизован он или нет, и настраивает необя- зательные свойства сертификата.
Если запрос утвержден, ядро обрабатывает запрос и ге- нерирует сертификат.
Ядро сохраняет сертификат в хранилище и передает сведения о состоянии запроса приложению-посреднику. Если
при этом требуется модуль выхода, ядро сообщает ему о выпус- ке сертификата. Это разрешает модулю выхода выполнить даль- нейшие операции, например, опубликовать сертификат в службе каталогов.
Приложение-посредник получает выпущенный сертификат из хранилища сертификатов и пересылает его клиенту.
Рис. 8.4. Обработка запроса сертификата
Do'stlaringiz bilan baham: |