Вы можете создать и развернуть список доверенных сертификатов, как подробно описано Вот, но я пытаюсь понять преимущества этого по сравнению с обычным развертыванием корневых и промежуточных сертификатов с групповой политикой. Зачем мне это нужно?
Список доверенных сертификатов предприятия (CTL) дает вам большую детализацию и контроль над тем, какие именно типы сертификатов и для каких целей можно доверять. Простое распространение сертификатов через групповую политику не дает вам полного контроля над тем, как и при каких обстоятельствах эти сертификаты доверяют вашим клиентам.
Список доверенных сертификатов (CTL) позволяет вам контролировать доверие к цели и сроку действия сертификатов, выпущенных внешними центрами сертификации (CA).
Обычно центр сертификации может выдавать сертификаты для самых разных целей, таких как безопасная электронная почта или проверка подлинности клиента. Но могут возникнуть ситуации, когда вы захотите ограничить доверие к сертификатам, выданным определенным центром сертификации, особенно если центр сертификации находится за пределами вашей организации. В этих ситуациях может оказаться полезным создание CTL и его использование через групповую политику.
Предположим, например, что центр сертификации с именем «Мой ЦС» может выдавать сертификаты для аутентификации сервера, аутентификации клиента, подписи кода и защищенной электронной почты. Однако вы хотите доверять сертификатам, выпущенным My CA только для аутентификации клиента. Вы можете создать CTL и ограничить цель, для которой вы доверяете сертификатам, выпущенным My CA, чтобы они действовали только для аутентификации клиента. Любые сертификаты, выпущенные для других целей My CA, не принимаются для использования каким-либо компьютером или пользователем в области действия объекта групповой политики (GPO), к которому применяется CTL.
В организации может быть несколько CTL. Поскольку использование и доверие сертификатов для определенных доменов или организационных единиц могут быть разными, вы можете создать отдельные CTL для отражения этих видов использования и назначить определенные CTL конкретным объектам групповой политики.
Благодаря использованию групповой политики в вашей организации у вас есть возможность назначить доверие в центрах сертификации, используя политику доверенного корневого центра сертификации или корпоративную политику доверия (CTL). При выборе политики используйте следующие рекомендации: • Если ваша организация имеет свои собственные корневые центры сертификации и использует Active Directory, вам не нужно использовать механизм групповой политики для распространения этих корневых сертификатов.
• Если в вашей организации есть собственные корневые центры сертификации, которые не установлены на серверах, вы должны использовать политику доверенного корневого центра сертификации для распространения корневых сертификатов вашей организации. Дополнительные сведения см. В разделе Политика доверенного корневого центра сертификации.
• Если в вашей организации нет собственных центров сертификации, используйте корпоративную политику доверия для создания списков CTL, чтобы установить доверие вашей организации к внешним корневым центрам сертификации. Дополнительные сведения см. В разделе Использование корпоративной политики доверия.