Сурков Л.В. - Развёртывание служб сертификации корпоративной сети, страница 3

Однако для публикации сертификатов в других доменахустановленному центру сертификации потребуется делегировать соответствующие права.В больших сетях Инфраструктуры открытого ключа Корневой ЦС предприятияобычно используется для выпуска сертификатов только для подчиненных ЦСпредприятия, которые в свою очередь выпускают сертификаты для пользователей икомпьютеров.МГТУ им. БауманаКафедра ИУ67Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev.

09Подчиненный ЦС предприятия – это сервер сертификатов, который располагается виерархии под корневым ЦС предприятия. Часто подчиненный ЦС используется дляспецифической цели – для выдачи сертификатов или пользователям, или компьютерам,или некоторой части организации. Подчиненный ЦС требует всех тех же служб ипривилегий как корневой ЦС и не может быть создан до тех пор, пока не создан корневойЦС предприятия. Заметьте, что хотя корневым ЦС организации может быть любойвнутренний сервер сертификации Windows Server 2008/2003, это также может бытьвнешний ЦС, такой как Verisign.

Фактически, если вы хотите, чтобы окружающий мирдоверял подлинности ваших сертификатов, вам просто необходимо будет использоватьВнешний Корневой ЦС, такой как Verisign. В противном случае, внешним пользователямпотребуется копия сертификата вашего Корневого ЦС, которой у них, скорее всего, нет.Одним из главных преимуществ настройки Служб сертификации в качестве ЦСпредприятия является то, что в данном случае они могут не только интегрироваться сActive Directory, но также получают возможность управлять большим количествомчерновой работы через настройки Групповых политик, например, автоматическиобрабатывать запросы на сертификаты (этот процесс также известен как авторегистрация).

Групповые политики Windows Server 2008/2003 могут выполнятьследующие задачи:• Позволяют клиентским компьютерам домена автоматически запрашивать иустанавливать сертификаты компьютера. Этот сертификат идентифицирует компьютер иможет быть использован для целей IPSec шифрования/аутентификации и такжерекомендуется для основанных на L2TP соединений VPN (так как оба – пользователь икомпьютер должны быть идентифицированы для данного вида соединений). Эта опцияустанавливается в узле Computer Configuration/Windows Settings/Security Settings/PublicKey Policies/Automatic Certificate Request Settings в Групповой политике.

Любая система, ккоторой будет применяться данная политика, будет автоматически запрашивать,загружать и устанавливать данный сертификат.• Создают и распределяют список доверия сертификатов. Это позволяет снабдитьклиентские компьютеры списком доверенных Корневых ЦС и связанной с нимииерархией ЦС. Это опция устанавливается в папке Computer Configuration/WindowsSetting/Security Setting/Public Key Policies/Enterprise Trust в оснастке Групповая политика.Реальная настройка осуществляется при помощи специального мастера Certificate TrustList wizard.• Устанавливают доверительные отношения с другими внешними корневымицентрами, например, такими, которые не являются частью вашей организации.

Это можетбыть использовано для осуществления безопасных партнерских отношений междуорганизациями. Соответствующие настройки выполняются в папке ComputerConfiguration/Windows Setting/Security Setting/Public Key Policies/Trusted Root CertificationAuthorities в оснастке Групповая политика.• Добавлять Агентов восстановления для использования Encrypted File System (EFS).И хотя учетная запись администратора является агентом восстановления по умолчанию,могут быть добавлены и другие в папке Computer Configuration/Windows Setting/SecuritySetting/Public Key Policies/Encrypted Data Recovery Agents.Модель одиночных центров сертификации(Stand-Alone CA)Одиночные центры сертификации позволяют выдавать сертификаты для: создания цифровых подписей; защиты сообщений электронной почты; аутентификации на веб-сервереМГТУ им.

БауманаКафедра ИУ68Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09 туннеля IPSec проверки подлинности клиента.Одиночные центры сертификации могут не являться членом домена Windows Server2008/2003 и не требуют наличия Active Directory, хотя могут его использовать.Одиночные ЦС не могут выдавать сертификаты, предназначенные для входа в домен.Такие ЦС применяются при интеграции сети предприятия в Интернет или прииспользовании собственного модуля политик сертификации.Для получения сертификата у одиночного ЦС пользователю необходимопредоставить полную информацию о себе.

Все полученные запросы на выдачусертификатов ставятся в очередь, пока администратор не проверит предоставленную в нихинформацию и явно не разрешит или не запретит выдачу сертификата посоответствующему запросу, но данный процесс можно и автоматизировать.В случае, если одиночный ЦС использует Active Directory, то он получаетдополнительные возможности.Если ЦС имеет разрешение на запись в Active Directory, то при установке корневогоодиночного ЦС он автоматически добавляется в список доверенных корневых ЦС,поэтому надо быть осторожным при определении правил выдачи сертификатов.

Поумолчанию все запросы ставятся в очередь для проверки данных администратором.Также одиночный ЦС, имеющий право на запись в Active Directory, получаетвозможность публикации в каталоге выданных им сертификатов.Важным моментом при выборе типа ЦС, является характер вашей сети и то, длякаких целей вы собираетесь использовать сертификаты. Если это сугубо внутреннееиспользование, тогда ваш выбор будет строиться исходя из характеристик вашей сети(например, если в сети установлена AD, тогда вы можете использовать какИзолированные, так и ЦС предприятия). Если же вы будете использовать сертификатыдля обеспечения безопасности открытого web-сайта, тогда должен обязательнопривлекаться внешний ЦС, либо для предоставления сертификата самому сайту, либочерез создание структуры доверия.

Например, если вы получаете доступ к безопасномуweb-сайту и щелкаете мышкой на значок lock в нижнем левом углу вашего броузера, высможете увидеть путь сертификации для данного сайтаСервер сертификации Windows Server 2008/2003Microsoft Certificate Server выполнен в виде службы Windows Server 2008/2003,которая обрабатывает запросы сертификатов, ведет журнал операций и очереди запросов.Сервер можно разбить на следующие основные функциональные блоки: входной модуль; выходной модуль; исполнительный модуль; модуль политик сертификации; очередь запросов; журнал.МГТУ им. БауманаКафедра ИУ69Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev.

09Рис. 1Функциональная схема сервера сертификацииИсполнительный модуль, очередь запросов и журнал выполнены как единая службаWindows Server 2008/2003. Входной и выходной модули, модуль правил и утилитыадминистрирования исполняются в отдельных процессах. Рассмотрим каждый модульболее подробно.Входной модульВсе запросы клиентских приложений, таких как веб-сервер или почтовый клиент,принимаются входным модулем. Основная задача входного модуля – распознать запросклиентского приложения и передать его исполнительному модулю. Наличие входногомодуля позволяет реализовать специфические потребности клиентских приложений,отсутствующие в стандартном входном модуле.Выходной модульВходной модуль обеспечивает публикацию готовых сертификатов и списков отзыва,используя необходимые транспортные механизмы и поротоколы. К примеру, выходноймодуль может публиковать выданный сертификат в Active Directory или отправлятьсертификат запросившему его клиенту по электронной почте.

По умолчаниюисполнительный модуль передает информацию всем установленным модулям выхода.Как для входного, так и для выходного модулей разработаны специальные COMинтерфейсы, позволяющие создавать свои модули. Такие модули могут решать задачи,специфические для данного конкретного применения сервера сертификатов.Исполнительный модульИсполнительный модуль является ядром сервера сертификатов. Он обеспечиваетвзаимодействие всех составляющих сервера, обеспечивая его функционирование всоответствии с выполняемой в текущий момент задачей.МГТУ им. БауманаКафедра ИУ610Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Модуль политик сертификацииВыполняет проверку данных запросов выдачи сертификатов на соответствиеправилам политики сертификации.

Также модуль политики сертификации применяетсядля анализа дополнительной информации, содержащейся в запросе, и соответствующейнастройки дополнительных параметров сертификата.Очередь запросовВсе поступившие запросы к серверу сертификации на время ожидания обработкипомещаются в очередь запросов.ЖурналВ журнал заносятся все данные о выдаче, отказах в выдаче и отзыве сертификатов.Журнал позволяет администраторам отслеживать и анализировать сведения одеятельности сервера.