Взаимная сертификация пользователя или сертификатора с сервером в другой организации
Предположим, что ваше имя Joe User/Sales/Company_A, и вы хотите связаться с сервером из другой компании, имя которого Server/Company_B. Поскольку вы и сервер не имеете общего предка, необходимы взаимные сертификаты.
Пусть в вашей компании уже имеется сервер Server/Sales/Company_A, который "умеет" связываться с сервером Server/Company_B. Тогда вы можете обнаружить в общей адресной книге вашей компании документ Cross Сertificate такого содержания
Issued By (Кто выпустил): /Sales/Company_A или /Company_A
Issued To (Для кого): Server/Company_B
Вы можете скопировать этот документ в вашу персональную адресную книгу. Когда вы затем попробуете связаться с сервером Server/Company_B, начнется процедура аутентификации. Ваша станция успешно выполнит свою часть процедуры: в локальной адресной книге имеется взаимный сертификат, который один из ваших предков (/Sales/Company_A или /Company_A) выпустил для сервера Server/Company_B. Успех части процедуры аутентификации, выполняемой сервером Server/Company_B, зависит от того, какой взаимный сертификат имеется в его локальной адресной книге. Если вид этого таков:
Issued By (Кто выпустил): Server/Company_B или /Company_B
Issued To (Для кого): /Sales/Company_A или /Company_A
вас ожидает успех - Server/Company_B или его предок /Company_B выпустил взаимный сертификат для вашего предка /Sales/Company_A или /Company_A.
Если вид этого документа в их адресной книге:
Issued By (Кто выпустил): Server/Company_B или /Company_B
Issued To (Для кого): Server/Sales/Company_A
часть процедуры аутентификации, выполняемой сервером Server/Company_B, кончается неуспехом, поскольку сервер Server/Sales/Company_A не ваш предок, а на одном уровне с вами (Joe User/Sales/Company_A).
Тогда вы имеете две возможности.
1) Можно послать безопасную копию вашего ID-файла (Joe User/Sales/Company_A) администратору другой компании и попросить его выпустить на нее взаимный сертификат. Администратор может выпустить этот взаимный сертификат как на имя Joe User/Sales/Company_A, так и на /Sales/Company_A или /Company_A. Процесс выпуска взаимного сертификата будет напоминать рассмотренный выше при взаимной сертификации двух серверов.
2) Можно попросить вашего сертификатора, чтобы он послал безопасную копию одного из ID-файлов сертификаторов вашей организации (или /Sales/Company_A или /Company_A) администратору другой компании с просьбой выпустить на нее взаимный сертификат. Администратор другой компании может выпустить этот взаимный сертификат на имя /Sales/Company_A или /Company_A, если ему прислана безопасная копия /Sales/Company_A, или только на /Company_A, если ему прислана безопасная копия /Company_A.
Если администратор другой компании не откажется это сделать, документ Cross Certificate в общей адресной книге компании Acme примет следующий вид
Issued By (Кто выпустил): /Server/Company_B или /Company_B
Issued To (Для кого): Joe User/Sales/Company_A или /Sales/Company_A или /Company_A
и вы получите доступ на Server/Company_B.
Таким образом, взаимный сертификат для пользователя или сервера позволяет только одному ID-файлу проходить процедуру аутентификации. Но если одна из сторон выпускает взаимный сертификат на имя сертификатора другой, эта сторона позволяет любому, кто имеет этого сертификатора своим предком, проходить процедуру аутентификации.
Получается очень мощная и гибкая система. Если администратор компании Company_B хочет предоставить доступ большому количеству пользователей из Company_A на сервер Server/Company_B, ему не имеет смысла индивидуально кросс-сертифицировать каждого из этих пользователей. Вместо этого администратор может выпустить взаимный сертификат сертификатору /Sales/Company_A. Любой пользователь, имеющий этого точного предка в компании Company_A, будет проходить процедуру аутентификации. Однако пользователь из Company_A с именем Sam User/Marketing/Company_A не будет аутентифицирован, поскольку Sam User/Marketing/Company_A не предок /Sales/Company_A.
Если же имеются некоторые пользователи из Company_A с именами, заканчивающимися на /Sales/Company_A, которых администратор Company_B ни при каких условиях не хочет "пускать" на сервер Server/Company_B, администратор будет должен использовать в документе Server поля-списки Access server:
("имеют доступ к серверу") или Not access server:
("не имеют доступа к серверу") для уточнения доступа.
