Проверка подлинности с помощью смарт-карт и других сертификатов
Если имеется сертификат, установленный в хранилище сертификатов на компьютере или расположенный на смарт-карте, и включен протокол EAP (Extensible Authentication Protocol), то при входе в сеть можно использовать проверку подлинности с помощью сертификатов.
Сертификат представляет собой набор зашифрованных данных, предназначенных для проверки. Сертификат содержит цифровую подпись центра сертификации, который его выдал. В процессе проверки подлинности с помощью сертификата компьютер предоставляет свой сертификат серверу, а сервер предоставляет свой сертификат компьютеру, т.е. осуществляется взаимная проверка. Проверка подлинности сертификата заключается в проверке цифровой подписи с помощью открытого ключа, который содержится в корневом сертификате доверенного центра сертификации, хранящемся на локальном компьютере. Корневые сертификаты служат основой проверки сертификатов и должны предоставляться только системным администратором. Существует несколько доверенных корневых сертификатов. Добавлять и удалять доверенные корневые сертификаты следует только по согласованию с системным администратором.
Сертификаты могут находиться либо в хранилище сертификатов на локальном компьютере, либо на смарт-картах. Смарт-карта — это устройство размером с кредитную карточку, вставляемое в считыватель смарт-карт, который устанавливается внутри компьютера или подключается к нему снаружи.
Настраивая параметры безопасности подключения, можно выбрать режим использование смарт-карты или другого сертификата и указать необходимые требования к их обработке. Например, можно задать проверку сертификата сервера и выбрать для сервера доверенный корневой центр сертификации.
Если создавать подключение с помощью мастера нового подключения на компьютере, на котором установлено устройство для чтения смарт-карт, операционная система обнаружит устройство и предложит использовать на данном подключении проверку подлинности с помощью смарт-карт. Можно отказаться от этого предложения во время установки подключения и включить проверку подлинности с помощью смарт-карт позднее. Дополнительные сведения см. в разделе Чтобы включить проверку подлинности с помощью смарт-карт или других сертификатов.
Сведения о том, как член домена Active Directory должен запрашивать сертификат, см. в разделе Запрос сертификата. Сведения о запросе сертификата пользователем, не являющимся членом домена Active Directory, и о запросе сертификата через Интернет см. в разделе Отправка запроса на сертификат пользователя через Интернет. Сведения о мобильных пользователях и сертификатах см. в разделе Мобильные пользователи и сертификаты.