Windows - Bizonyítvány hozzárendelése felhasználói fiókhoz az Active Directoryban

A Windows 2000 és .NET szerverek a nagyobb biztonság elősegítése érdekében hitelességi bizonyítványokat használnak a rendszer több pontján egy személy vagy szolgáltatás azonosítására a hagyományos jelszavak és felhasználói nevek helyett vagy mellett. Cikkünkből megtudható, mik azok a bizonyítványtárolók és hogy lehet a bennük lévő bizonyítványokat közzétenni, illetve hozzárendelni egy felhasználói fiókhoz.
Bizonyítványtárolók
A Windows 2000 és a .NET szerver is a bizonyítványt helyileg tárolja, a bizonyítványt igénylő számítógépen vagy eszközön, illetve felhasználó esetén a bizonyítványkérelem elküldéséhez használt számítógépen vagy eszközön. A tárolás helyének a neve: bizonyítványtároló (certificate store). A bizonyítványtárolóban általában több bizonyítvány található, amelyeket esetleg több különböző hitelesítő szervezet bocsátott ki. A Bizonyítványok (Certificates) beépülő modul segítségével kibocsátási cél vagy logikai tárolókategóriák szerint csoportosítva jeleníthető meg a felhasználó, számítógép vagy szolgáltatás bizonyítványtárolója. A bizonyítványok tárolókategóriák szerinti megjelenítésekor megjeleníthetők a fizikai tárolók is, így láthatóvá válik a bizonyítványtároló hierarchiája. Ha a megfelelő felhasználói engedélyekkel rendelkezik, akkor a bizonyítványtároló bármely mappájából exportálhat vagy importálhat bizonyítványokat. Ezenkívül, ha a bizonyítványhoz tartozó személyes kulcsot exportálhatóként jelölték meg, akkor mindkettő exportálható PKCS #12 fájlba. A Windows közzé is tudja tenni a bizonyítványokat az Active Directory címtárban. A bizonyítvány Active Directory címtárba történő közzététele esetén minden megfelelő engedéllyel rendelkező felhasználó és számítógép szükség esetén letöltheti a bizonyítványt.
Közzétett bizonyítványok
Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt. Kattintsunk egy felhasználói fiókra a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre.
Megjelenik a fiók beállításait tartalmazó ablak, lépjünk a "Közzétett bizonyítványok" ("Published certificates") oldalra.
Az oldal egyetlen listájában láthatjuk a felhasználói fiókhoz közzétett bizonyítványokat, kezdetben a lista üres. Bizonyítványok felvételéhez kattintsunk a "Felvétel tárolóból" ("Add from Store") gombra. Megjelenik egy újabb ablak, ahol a helyi tárolóban szereplő összes bizonyítvány látható, válasszuk ki azt, amelyiket hozzá akarjuk rendelni a felhasználóhoz. A "Bizonyítvány megtekintése" ("View Certificate") gombbal belepillanthatunk (erre még visszatérünk). A hozzáadást az "OK" gombbal tudjuk elvégezni, egyszerre csak egyet lehet így felvenni a listába.
Az ablak bezárása után visszatérünk az előző listához, immár látható benne egy bizonyítvány. Ha meg akarjuk tekinteni, kattintsunk a "Bizonyítvány megtekintése"("View Certificate") gombra (ugyanaz, mint fent).

Három oldalon keresztül kapunk különböző információkat az adott bizonyítványról:
"Általános" ("General"): magát a bizonyítványt láthatjuk, fő információ, hogy ki adta ki, kinek szól és milyen érvénységi dátummal van ellátva, előbbiről adatokat a "Kibocsátó levele" ("Issuer Statement") gombbal kapunk - amennyiben létezik.
"Részletek" ("Details"): ezen az oldalon található számos további információ: verziószám, sorozatszám, aláírási algoritmus, kiállító, érvényesség kezdete/vége, tulajdonos, felhasznált nyilvános kulcs tulajdonságai, kibővített kulcshasználat végül az alkalmazott ujjlenyomat adatai.
"Bizonyítványlánc" ("Certification Path"): a bizonyítványt hitelesítő szervezet struktúráját mutatja.
A legfontosabb információk (kiállítva a következőnek, kiállította, felhasználási cél, lejárati dátum) a listában is megtalálható.
Újabb bizonyítvány felvételéhez kattintsunk ismét a "Felvétel tárolóból" ("Add from Store") gombra. A lista szűkítéséhez jelöljük ki az egyik bizonyítványt és az "Eltávolítás" ("Remove") gombbal kivehetjük, ekkor csak innen távolítottuk el, maga bizonyítvány nem kerül törlésre.
Van egy további lehetőségünk: fájlba menthetünk, illetve fájlból betölthetünk bizonyítványokat. Előbbit a "Felvétel fájlból" ("Add from File"), utóbbit a "Másolás fájlba" ("Copy to File") gombbal tehetjük meg. A fájlban lévő bizonyítványok természetesen kódolva tárolódnak, céljuk, hogy mozgathatók legyenek, illetve ily módon lehessen róluk biztonsági mentést készíteni.
  • Megjegyzés: a felhasználói fiókhoz hozzárendelni kívánt bizonyítványnak DER vagy Base64 kódolású bináris formátumúnak kell lennie.
Bizonyítványok felhasználóhoz rendelése
Fájlban lévő bizonyítványokat a felhasználóhoz hozzá is párosíthatunk. Ehhez a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolon kapcsoljuk be a Nézet > Speciális lehetőségek (View > Advanced Features) menüt.
Válasszunk ki egy felhasználói fiókot, kattintsunk rá a jobboldali egérgombbal és lépjünk a "Névpárosítás" ("Name Mappings") menüre.
A megjelenő ablak "X 509 bizonyítványok" ("X 509 Certificates") oldalának, "Hozzáadás" ("Add") gombjával tudjuk felvenni a fájlban tárolt bizonyítványokat.