Сурков Л.В. - Развёртывание служб сертификации корпоративной сети, страница 2

Цифровые сертификаты выдаютсяспециальными доверенными центрами сертификации.Цифровой сертификат содержит следующую информацию: сведения о субъекте. Содержит описание владельца сертификата. В качестве такойинформации может выступать имя, адрес электронной почты и т.п. открытый ключ владельца сертификата. Содержит собственно открытый ключ,принадлежность которого субъекту требуется подтвердить. срок действия сертификата. Указывает срок, в течение которого сертификатостается действительным. Хотя задача вычисления секретного ключа ичрезвычайно сложна и ее решение требует большого количество времени, однакоона не является невыполнимой.

Кроме того, существует вероятность получениясекретного ключа каким-либо другим способом. Ограничение срока действиясертификата позволяет, например, сменить ключ прежде, чем тот будет взломан.Срок действия сертификата определяется политикой сертификации выдавшего егоцентра сертификации. сведения об издателе сертификата. Содержит информацию об издателесертификата, позволяющую его определить. Эта информация используется припроверке подлинности сертификата. Если система считает, что издатель данногосертификата заслуживает доверия, то может быть произведен запрос к нему длявыяснения действительности данного сертификата.МГТУ им.

БауманаКафедра ИУ64Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09 цифровая подпись издателя сертификата. Подпись создается издателемсертификата при его создании. Данная цифровая подпись гарантирует целостностьданных сертификата и позволяет аутентифицировать издателя сертификата.Кроме описанных данных, которые необходимы для функционирования сертификатав принципе, в сертификате содержатся и другие данные, такие, как сведения об областивозможного применения сертификата (например, для создания цифровых подписей илидля аутентификации пользователя в системе), использованных алгоритмах шифрования ит.д.Цифровые сертификаты применяются как клиентами, так и серверами. При этомкаждый сертификат идентифицирует одну из сторон устанавливаемого соединения.Сертификат сервера позволяет клиенту удостоверится в подлинности сервера, с которымон собирается работать.

Сертификат клиента позволяет серверу аутентифицироватьклиента, желающего получить доступ к его ресурсам.Центр сертификации (Certification Authority, CA). В случае использованиясертификатов каждый участник соединения, проверив цифровую подпись полученногосертификата, сможет проверить его подлинность, а значит и подлинность указанного внем открытого ключа. Цифровая подпись сертификата выполняется некой третьейстороной, которой доверяют все участники соединения.

Центр сертификации выполняетроль той самой третьей стороны, которой доверяют все участники соединения, котораяудостоверяет, хранит и предоставляет информацию о сертификатах.Центры сертификации предназначены для выдачи, отзыва и предоставленииинформации о выданных ими сертификатах.Считается, что открытый ключ ЦС общеизвестен и поэтому не может бытьподменен. В качестве примера общеизвестных в Интернет центров сертификации можнопривести VerySign, Thawte, KeyWitness и др. Сертификаты с открытыми ключамикрупнейших из таких CA включены в поставку ОС Windows Server 2008/2003.Чтобы получить сертификат, пользователь посылает запрос центру сертификации.Запрос содержит данные, необходимые для аутентификации пользователя. Получивзаявку, центр сертификации проверяет данные, указанные в ней пользователем. Еслиданные верны и однозначно идентифицируют пользователя, которому разрешеновыдавать сертификат запрошенного типа, то центр сертификации генерирует парусекретный/открытый ключ и передает их клиенту либо клиент генерирует парусекретный/открытый ключ и передает открытый ключ центру.

Для формированияцифровой подписи в созданных сертификатах центр сертификации использует свойсекретный ключ. Таким образом фактически, выдавая сертификаты, центр сертификацииберет на себя ответственность за аутентификацию пользователя.При проверке сертификата клиент анализирует, кем был выдан данный сертификат,его подлинность и целостность. Сертификат считается недействительным, если нарушенаего целостность, подлинность или если он был выдан центром сертификации, которогонет в списке доверенных центров сертификации (CTL - Certificate Trust List).В процессе работы может потребоваться отозвать уже выданный сертификат прежде,чем истечет срок его действия.

Для этого отозванный сертификат заносится вспециальный список отзыва. По истечению срока действия отозванного сертификатацентр сертификации удаляет его из списка отозванных сертификатов.При проверке действительности сертификата клиент проверяет, нет ли этогосертификата в списке отзыва соответствующего центра сертификации. Если сертификатобнаружен в списке отзыва, то он считается недействительным, даже если срок егодействия еще не истек.МГТУ им. БауманаКафедра ИУ65Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Иерархия центров сертификации Центры сертификации могут объединяться виерархические структуры.

Центр сертификации, находящийся на вершине иерархическойцепочки, называется корневым, нижележащие - промежуточными, подчиненными илииздающими. Связь между вышестоящими и подчиненными центрами сертификациидостигается за счет того, что первые удостоверяют подлинность вторых, выдавая имспециальный сертификат центра сертификации.Иерархическая модель построения системы центров сертификации делает даннуюслужбу более гибкой и эффективной.Использование иерархии ЦС позволяет учесть требования различных служб кполитике выдачи сертификатов. Возможно создать несколько ЦС, каждый из которыхбудет специализироваться на работе с сертификатами, предназначенными для какой-либоконкретной цели. К примеру, один центр сертификации может выдавать сертификатыклиентам веб-магазина, а другой - сертификаты для аутентификации сотрудниковпредприятия.При использовании иерархии ЦС возможно учесть различные требования кбезопасности каждого конкретного сервера сертификации, передать управлениенекоторыми из них системным администраторам соответствующих подразделений.Установка в каждом узле собственного сервера сертификации позволит сократитьсетевой трафик между сайтами.

Клиенты будут обращаться к ЦС своего сайта, не создаваядополнительного межсайтового трафикаПользователи, доверяющие корневому или промежуточному центру сертификации,автоматически доверяют и всем подчиненным центрам сертификации. Поэтому корневыеи промежуточные центры сертификации должны обладать наиболее высокой степеньюдоверия и иметь наиболее жесткую политику выдачи сертификатов. Обычно нерекомендуется, чтобы промежуточные и тем более корневые ЦС выдавали сертификатыконечным пользователям.Если планируется использовать систему сертификации не только внутриорганизации, но и в Интернет, то в качестве корневого центра сертификации потребуетсяприбегнуть к услугам общественного центра сертификации, такого, как, например,VerySign.

В этом случае любой пользователь Интернет, доверяющий соответствующемуобщественному центру сертификации, будет доверять и подчиненным ему центрамсертификации вашего предприятия. Такие пользователи смогут проверить подлинностьсертификата и использовать его для защиты информации.Реализация службы цифровых сертификатов в ОС Windows Server 2008/2003.Windows Server 2008/2003 включает все компоненты, необходимые дляразвертывания системы цифровых сертификатов, при этом сервер сертификациипоставляется как часть операционной системы. Интеграция служб сертификации с ОСпозволяет получить дополнительные преимущества в их эксплуатации иадминистрировании.Windows Server 2008/2003 позволяет использовать цифровые сертификаты для: обеспечения безопасности Web-коммуникаций.

Веб-сервер может использоватьсертификаты для аутентификации клиентов при доступе к конфиденциальнойинформации. Также возможно шифрование передаваемых веб-серверомдокументов.МГТУ им. БауманаКафедра ИУ66Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09 обеспечения целостности и конфиденциальности сообщений электроннойпочты. Цифровые сертификаты могут использоваться как для создания подписисообщения, так и для его шифрования. цифровой подписи программного кода. Программный код, распространяемый воткрытых сетях, представляет особую угрозу как безопасности отдельныхкомпьютеров, так и корпоративной сети в целом. Цифровая подписьпрограммного кода позволяет удостовериться в неизменности кода и определитьего автора. В зависимости от результатов проверки пользователь можетопределить степень доверия к полученным данным и принять решение овозможности их использования.. аутентификации клиентов при входе в сеть.

Windows Server 2008/2003предоставляетвозможностьиспользованиясертификатов,выданныхкорпоративным ЦС, для входа в систему. аутентификации клиента при использовании IPSec; шифрования ключей в EFS. Для обеспечения защиты секретного ключа,используемого при шфровании файловой системы, применяется шифрование соткрытым ключом. Ключ шифруется с использованием открытых ключей изсертификатов пользователей, имеющих доступ к защищенным данным.Аналогичным образом создается список ключей восстановления.Windows Server 2008/2003 предоставляет две базовые модели развертывания службысертификатов: модель корпоративных ЦС. модель одиночных ЦС;Модель корпоративных центров сертификации (Enterprise CA)Корпоративные центры сертификации позволяют выдавать сертификаты для: создания цифровых подписей; защиты сообщений электронной почты; аутентификации на веб сервере; входа в домен с помощью смарт-карты.Корпоративные центры сертификации требуют, чтобы сервер был членом доменаActive Directory.

Active Directory используется для автоматической аутентификациипользователей, публикации сертификатов и списка отзыва сертификатов и другойинформации службы цифровых сертификатов. Для того, чтобы сервер сертификации могпубликовать данные в Active Directory, необходимо, чтобы он входил в группу “CertificatePublishers”.Корпоративные центры сертификации могут автоматически принимать решение овыдаче сертификата определенного типа или отклонении запроса, а могут делать это порешению администратора. Решение принимается на основании текущей политикибезопасности и прав доступа, установленных для сертификатов данного типа.При установке корневого корпоративного центра сертификации он автоматическидобавляется в список доверенных корневых центров сертификации своего домена игруппу “Certificate Publishers”.