Главная » Linux

Центр сертификации windows 2003

Содержание
  1. Иллюстрированный самоучитель по Microsoft Windows 2003
  2. Установка центра сертификации
  3. Центр сертификации windows 2003

Иллюстрированный самоучитель по Microsoft Windows 2003

Установка центра сертификации

Центр сертификации (ЦС) – важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. В Windows Server 2003 центры сертификации могут быть двух классов: ЦС предприятия (Enterprise СА) и изолированный ЦС (Stand-alone CA). Внутри каждого класса могут быть два типа ЦС: корневой (root) и подчиненный (subordinate).

В большинстве случаев центры сертификации организованы в иерархическом порядке, где наиболее доверяемый, или корневой, центр находится на вершине иерархии. В корпоративной сети все остальные ЦС в иерархии являются подчиненными. В корпоративной сети ЦС предприятия имеет максимальное доверие. ЦС предприятия имеют специальный модуль политик, который определяет, как обрабатываются и выпускаются сертификаты. Информация политики из данного модуля хранится в Active Directory, поэтому для инсталляции ЦС предприятия сначала следует установить Active Directory. Изолированные ЦС имеют очень простой модуль политик и не хранят никакой информации на удаленном сервере, поэтому для инсталляции данного центра не требуется наличия Active Directory.

Для развертывания собственного ЦС:

  1. Выберите на панели управления значок Add or Remove Programs (Установка и удаление программ).
  2. В открывшемся окне нажмите кнопку Add/Remove Windows Components (Добавление и удаление компонентов Windows).
  3. В окне мастера Windows Components Wizard (Мастер компонентов Windows) установите флажок Certificate Services (Службы сертификации) (при этом система предупредит вас о последствиях установки этих служб) и нажмите кнопку Next (Далее).
  4. На следующей странице мастера необходимо выбрать тип ЦС. Существуют четыре типа ЦС:
    • Enterprise root СА (Корневой ЦС предприятия) – установите переключатель в это положение, если данный ЦС будет выпускать сертификаты для всех устройств, подключенных к сети в организации, и будет зарегистрирован в Active Directory. Данный ЦС является корнем в корпоративной иерархии ЦС и может устанавливаться только на контроллере домена. Обычно корневой ЦС предприятия выпускает сертификаты только для подчиненных ЦС;
    • Enterprise subordinate СА (Подчиненный ЦС предприятия) – если у вас уже установлен корневой ЦС предприятия, выберите это положение переключателя. Однако данный ЦС не имеет наивысшего доверия в организации, поскольку он подчиняется корневому ЦС. Может устанавливаться только на контроллере домена;
    • Stand-alone root CA (Изолированный корневой ЦС) – данный ЦС устанавливается для выпуска сертификатов за пределами корпоративной сети. Например, требуется установить изолированный корневой ЦС, если этот ЦС не будет участвовать в корпоративном домене и будет выпускать сертификаты для узлов во внешних сетях. Корневой ЦС обычно используется для выпуска сертификатов для подчиненных ЦС;
    • Stand-alone subordinate CA (Изолированный подчиненный ЦС) – подчиненный ЦС, который выпускает сертификаты для узлов за пределами корпоративной сети.
  5. Если вы собираетесь изменить параметры шифрования по умолчанию, установите флажок Use custom setting to generate the key pair and CA certificate (Использовать специальные параметры для генерации пары ключей и сертификата ЦС).
  6. Нажмите кнопку Next.
  7. Укажите имя ЦС и срок действия сертификатов. Введите необходимую информацию и нажмите кнопку Next.
  8. Укажите папку на локальном или общем диске для хранения сертификатов и нажмите кнопку Next.
  9. По окончании процедуры инсталляции нажмите кнопку Finish (Готово).

Центр сертификации windows 2003

Создание корневого Центра Сертификации

Кори Хайнс (Corey Hynes)

Эта статья строится на материале, изложенном в предыдущей статье, и обсуждает практическую реализацию центра сертификации (CA, certification authority).

Что представляет собой Центр Сертификации?

Центр Сертификации (ЦС) – это объект, которому доверено подтверждать и гарантировать подлинность других. В реальности ЦС является компанией, поддерживающей пакет программного обеспечения, которая может запрашивать, выпускать и отзывать файлы сертификатов. ЦС создается с помощью установки пакета программного обеспечения управления сертификатами в качестве службы Microsoft Certificate Services и реализации политик идентификации и выпуска сертификатов для инициаторов запросов.

Читайте также:  Создание своих диалоговых окон windows

Программные политики выпуска – эти политики используют определенную форму существующих полномочий для выпуска сертификата. В некоторых случаях для этого достаточно подтвердить, что ваш электронный адрес является действительно вашим, как в случае с компанией Thwarte (http://www.thwarte.com/). В других — должны быть подтверждены ваши сетевые полномочия. Этот метод используется ЦС, интегрированными с Active Directory. Часто эти ЦС называются ЦС предприятия (enterprise CA). ЦС предприятия будут обсуждаться с большими подробностями в следующей статье.

Политики выпуска, реализуемые вручную – эти политики вовлекают нетехнический контроль подлинности и могут включать в себя такие методы, как нотариально заверенные письма, идентификация по фотографии или, в отдельных случаях, контроль по отпечаткам пальцев. В основном такой подход встречается в средах, нуждающихся в чрезвычайных мерах безопасности, таких как большие корпорации или правительственные учреждения.

Создание иерархии ЦС

ЦС почти никогда не работают в одиночестве. С целью обеспечения безопасности и по управленческим причинам, выпуск сертификатов разбит на уровни. Каждый уровень обеспечивает разные степени безопасности. Самый высокий уровень обеспечивает корневой ЦС (root CA). Корневой ЦС является краеугольным камнем системы доверительных отношений для всей иерархии. Если корневой ЦС будет скомпрометирован, вся инфраструктура открытого ключа (PKI,Public Key Infrastructure) будет считаться ненадежной. Корневые ЦС являются наиболее охраняемыми компьютерами в мире. Не будет преувеличением сказать, что компьютеры, выступающие в роли корневых ЦС, должны пребывать под вооруженной охраной 24 часа в сутки, 7 дней в неделю, а также быть отключенными от сети и находиться в надежном безопасном помещении. Во многих компаниях запрещается кому-либо оставаться наедине с корневым ЦС. Все изменения и каждая попытка доступа должны фиксироваться и контролироваться. Эти ЦС часто используются для выдачи сертификатов второму уровню ЦС, известному как подчиненные ЦС (subordinate CA). Подчиненные ЦС во многих организациях напрямую присоединены к сети и используются для управления пользовательскими сертификатами. Эти компьютеры остаются под охраной, но не столь серьезной, как корневой ЦС, поскольку компрометация подчиненного ЦС повлияет только на часть PKI. В очень больших компаниях, подчиненные ЦС могут быть организованы по географическому или функциональному признаку, а также в соответствии с политиками, действующими в компании.

Создание корневого ЦС

Корневой ЦС создается с помощью настройки программного обеспечения для создания пары ключей — открытого и закрытого. Затем этот сервер создает самоподписанный сертификат, в котором сервер ручается за свою собственную подлинность. Это очень важная концепция, поскольку она отражает ту степень доверия, которую мы испытываем к корневому ЦС. Без какого бы то ни было внешнего подтверждения подлинности корневого ЦС, мы должны просто поверить ему на слово , что он является корневым . Доверие к корневому ЦС удостоверяется в Windows с помощью размещения копии сертификата корневого ЦС в хранилище доверенных корневых ЦС на локальном компьютере. Вы можете просмотреть содержание этого хранилища с помощью окна свойств в Internet Explorer.

Как видите, Windows уже включил множество корневых ЦС в этот список. Это сертификаты тех корневых ЦС, которым, по мнению Microsoft, вы можете доверять. Вы можете изменить этот список, удаляя из него ЦС, которым вы предпочитаете не доверять, импортируя сертификаты тех ЦС, которым вы доверяете, либо используя Certificate Trust List (CTL) в групповой политике для настройке списка доверенных ЦС для всех компьютеров, на которые оказывает влияние эта политика.

Создание нового ЦС является очень сложной задачей. И хотя технические шаги довольно просты (поскольку большинство пакетов программного обеспечения ЦС несложное), трудной частью является планирование и реализация. Планирование ЦС выходит за пределы тем, рассматриваемых в этой статье.

Windows Server 2003 включает в себя службу Microsoft Certificate Services (далее служба сертификации), являющуюся набором пакетов программного обеспечения, позволяющего вам устанавливать, настраивать и управлять ЦС. Начиная с верхнего уровня, ЦС могут конфигурироваться двумя способами, как ЦС предприятия (interprise CA) или изолированный ЦС (stand-alone CA). Разница заключается в используемой политике выпуска сертификатов. ЦС предприятия зависит главным образом от программных политик выпуска. Если у вас есть действительная учетная запись пользователя в Active Directory с соответствующими разрешениями, вы можете автоматически получить сертификат, если запросите его. Изолированный ЦС требует, чтобы администратор, часто называемый менеджером сертификатов, просматривал каждый запрос и вручную одобрял или запрещал выдачу сертификата. В любом из этих вариантов настройка не составляет труда, но является необратимой. Вы выбираете тип ЦС в ходе установки службы сертификатов и он не может быть изменен без удаления и повторной установки службы сертификатов. Вы должны также выбрать тип ЦС, который хотите установить. Это может быть либо корневой, либо подчиненный ЦС.

Читайте также:  Linux get current timezone

Создание изолированного корневого ЦС на Windows Server 2003

С практической точки зрения существует несколько причин, по которым вам нужно иметь корневой ЦС, настроенный как ЦС предприятия. ЦС предприятия представляет собой значимый риск, в основном потому, что они не могут быть отключены от сети (переведены в режим offline). Изолированный ЦС может быть настроен на сервере, не являющемся членом домена и отключен от сети на значительный период времени. Это обеспечивает высокий уровень безопасности для закрытого ключа корневого ЦС. Поэтому настраивая отключенный от сети корневой ЦС и подчиненный ЦС предприятия вы реализуете преимущества как безопасности, так и простоты управления.

Вы создаете отключенный от сети корневой ЦС, создавая службу сертификации, устанавливаемую с помощью утилиты Add/Remove programs панели управления. Прежде чем устанавливать какой-либо корневой ЦС, вы должны продумать следующее:

  • Физическую защищенность компьютера, на котором установлен ЦС
  • Хранение закрытого ключа ЦС
  • Кто будет иметь доступ к компьютеру ЦС
  • Как вы будете восстанавливать компьютер ЦС в случае его сбоя

Мастер установки служб сертификации предоставляет вам несколько точек для принятия решений. Эти точки для принятия решений представляют настроечные опции и перечислены в следующей таблице, вместе с некоторыми рекомендациями, какое решение следует принимать.

Точка для принятия решения

Что следует учесть

Период действия корневого сертификата

Как долго клиенты будут использовать этот ЦС

Каков период обновления выпущенного сертификата

Какой длины ключ в этом сертификате

Точка распространения сертификатов CDP (certificate distribution point), включаемая в сертификат

Корневой сертификат может никогда не отзываться, следовательно, CRL (certificate revocation list) никогда не проверяется

Точка публикации сведений о доступе AIA (authority information access), включаемый в сертификат

Корневой сертификат не может подтверждаться расположенным выше ЦС

Каков период действия корневого сертификата

Какая длина ключа может использоваться клиентами, получающими эти сертификаты

Насколько уязвим ЦС (степень риска)

CDP для выпускаемых сертификатов

ЦС удален из сети, поэтому должен быть определен внешний источник

Внутренний или внешний web-сервер или оба, в зависимости от клиентов

AIA для выпускаемых сертификатов

ЦС удален из сети, поэтому должен быть определен внешний источник

Внутренний или внешний web-сервер или оба, в зависимости от клиентов

Корневой сертификат создается в ходе установки служб сертификации, поэтому некоторые из этих параметров должны быть настроены до их установки. Это достигается с помощью настройки файла CAPolicy.inf и размещения его в папке \windows . Этот файл прочитывается в ходе установки служб сертификации и используется для их настройки. Из приведенной выше таблицы только период действия, длина ключа, точки AIA и CDP корневого сертификата могут быть настроены с помощью этого файла. Кроме того, если вы хотите изменить любое из этих значений, вы можете изменить сам файл CAPolicy.inf и обновить корневой сертификат. Пример файла CAPolicy.inf приведен ниже.

[Version]
Signature= «$Windows NT$»

[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod= Years
RenewalValidityPeriodUnits= 16

Используйте notepad для создания файла capolicy.inf и сохраните его в вашей папке \windows. Сделайте это до установки служб сертификации.

Установка службы сертификации

Из панели управления запустите Add/Remove Programs – Windows Components и выберите certificate services . Примите к сведению сообщение, что настройка компьютера не сможет быть изменена после установки служб сертификации. Выберите Stand Alone Root CA и щелкните кнопку Next . Далее вы должны ввести имя для вашего ЦС. Обоснованным обычно является имя cn = yourcompanyRootCA . Вам также требуется выбрать место хранения для базы данных сертификатов и файлов журнала. Поскольку требования по хранению отключенного от сети корневого ЦС являются минимальными, то одна отказоустойчивая дисковая система, такая как RAID 5 или зеркальные тома будет достаточно. Вы можете просмотреть корневой сертификат, щелкнув правой кнопкой мыши ваш ЦС в консоли служб сертификации, а затем кнопку View certificate на вкладке General .

Настройка CDP and AIA для выпускаемых сертификатов

Цепочка проверки сертификация и контроль их отзыва являются очень важными частями иерархии сертификатов. Чтобы объект убедился, что сертификат не был подделан и остается правомочным, этот объект должен выполнить одну обязательную проверку и одну необязательную. Требуется, чтобы объект использовал информацию, содержащуюся в корневом сертификате, для подтверждения проверяемого сертификата. Для этого требуется, чтобы был доступен корневой сертификат ЦС, подписавшего проверяемый сертификат. Далее, некоторые приложения могут быть настроены на проверку того, что этот сертификат остается «действующим». У ЦС есть возможность отзыва сертификатов, если вы почувствовали, что доверие или безопасность этого сертификата нарушены. Возможно, этот сертификат был выпущен для работника, который впоследствии уволился. Проверка отзыва требует наличия списка отозванных сертификатов (CRL, Certificate Revocation List). На ЦС администратор отзывает сертификат, добавляя его серийный номер в список отозванных сертификатов. Этот список затем хранится в расположении, доступном для клиентов. Клиенты, которым требуется проверка отзыва, должны иметь возможность определять местоположение текущего CRL перед тем, как признать сертификат.

Цепочка проверки сертификатов выполняется с помощью использования двух полей, хранящихся в сертификате. Это поля Authority Information Access и CRL Distribution Points . Эти поля говорят операционной системе, где находится копия корневого сертификата, используемого для подписи проверяемого сертификата, а также где найти текущий CRL. В службах сертификации этим расположением может быть любой разрешенный URL, включая такие как расположения HTTP, FTP и UNC. Если ЦС или клиенты участвуют в Active Directory, тогда эта информация может также храниться в Active Directory с использованием адресации LDAP. По умолчанию, Windows XP и более поздние версии проверяют все местоположения в CDP и AIA, а также локальные сертификаты, хранящиеся в Active Directory, если компьютер является членом домена Active Directory.

Приведенный ниже рисунок показывает, как выглядят эти поля, включенные в выпускаемый сертификат.

Чтобы сконфигурировать эту информацию для включения в сертификаты, выпускаемые нашим корневым ЦС, мы должны перечислить расположения, где может быть найдена информация AIA и CDP. Это может быть сделано на вкладке Extensions окна свойств ЦС. В то время как существует множество настроечных опций для расширения как AIA так и CDP, они могут быть упрощены при настройке корневого ЦС. Для обеспечения избыточности, главным образом, могут использоваться относительные пути и оба они будут указывать на некий Web-сервер. Этот web-сервер может быть любым web-сервером, который может обслуживать файлы. Пример пути CDP показан ниже.

Когда настройка вашего корневого ЦС завершена, вы выпускаете сертификаты только для подчиненных ЦС. Важно запомнить, что если вы выполните настройку вашего корневого ЦС некорректно, то подчиненные ЦС не смогут запуститься и единственным решением может быть повторный запуск всей настройки. В следующей статье этой серии мы рассмотрим настройку изолированного ЦС политик (policy CA). ЦС политик используется во многих реализациях инфраструктуры открытого ключа для обеспечения правил и ограничений для подчиненных ЦС.

Читайте также:  Нет звука демонстрации экрана дискорд windows 10
Оцените статью
© 2024 Советы по настройке компьютера