*    Демонстрация прототипов устройств с USB 3.0 - 2008-11-21 11:49:49    *    Microsoft официально анонсировала Windows Azure - 2008-10-28 08:18:19    *    Тестеры получили первый билд Vista SP2 - 2008-10-28 08:14:07    *    NVIDIA Hybrid SLI: теперь и для платформы Intel - 2008-10-16 10:54:38    *    Быстрая DDR3-память опасна для процессоров Intel - 2008-10-05 08:01:03    *    Руководство по включению PhysX на ноутбуках с GPU NVIDIA - 2008-09-02 12:08:00    *    Ежедневно десять миллионов зомби распространяют спам и вредоносные коды - 2008-08-25 09:38:09    *    Поддельные инсталляторы Flash Player получили широкое распространение - 2008-08-07 11:40:35    **

             Обратная связь | Внести в избранное | Сделать домашней

Поиск по сайту



Вход
Имя

Пароль

Ещё не зарегистрировались?
Вы можете это сделать ЗДЕСЬ.

Содержание
 Главная

 Навигация
 Статьи
 Форум
 Файлы
 Ссылки
 Ваш Профайл
 Связь с автором
 Мировые новости
 Экзамены MCSE
 Обзор фильмов
 Самое популярное
 Фотогалерея
 Куплю-Продам
 Статьи
 Форум

 Профессиональное обслуживание компьютеров и сетей в России и в Израиле

 Учебники on-line
 Flash MX
 ISA Server
 Office XP
 PhotoShop 7
 Linux Red Hat
 Visual Basic. NET
 Visual Studio.NET
 Citrix Metaframe
 Citrix MetaFrame XP
 ВСЕ КНИГИ

Наполнение сайта
 Добавить файл
 Добавить статью
 Добавить ссылку

 Статьи по разделам
 MCSE 2000
 MCSE 2003
 Операционные Системы
 Новости Microsoft
 Безопасность
 Software
 Hardware
 Новости Интернета
 MCSE 2000 за 15 минут
 MCSE 2003 за 15 минут
 CISCO Systems


Реклама


Будьте с нами!
Кнопка на Ваш сайт

Скорая помощь для Ваших компьютеров и сетей!

Сделать стартовой
Связаться с автором


Реклама


  


MCSE 2003 за 15 минут...: Создание корневого Центра Сертификации





Опубликовал michaeldmitriev Friday, June 25


Раздел: MCSE 2003 за 15 минут в неделю
Центр Сертификации (ЦС) – это объект, которому доверено подтверждать и гарантировать подлинность других. В реальности ЦС является компанией, поддерживающей пакет программного обеспечения, которая может запрашивать, выпускать и отзывать файлы сертификатов.


Создание корневого Центра Сертификации

Автор: Кори Хайнс (Corey Hynes)

Введение

Эта статья строится на материале, изложенном в предыдущей статье, и обсуждает практическую реализацию центра сертификации (CA, certification authority).

Что представляет собой Центр Сертификации?

Центр Сертификации (ЦС) – это объект, которому доверено подтверждать и гарантировать подлинность других. В реальности ЦС является компанией, поддерживающей пакет программного обеспечения, которая может запрашивать, выпускать и отзывать файлы сертификатов. ЦС создается с помощью установки пакета программного обеспечения управления сертификатами в качестве службы Microsoft Certificate Services и реализации политик идентификации и выпуска сертификатов для инициаторов запросов.

Программные политики выпуска – эти политики используют определенную форму существующих полномочий для выпуска сертификата. В некоторых случаях для этого достаточно подтвердить, что ваш электронный адрес является действительно вашим, как в случае с компанией Thwarte (). В других - должны быть подтверждены ваши сетевые полномочия. Этот метод используется ЦС, интегрированными с Active Directory. Часто эти ЦС называются ЦС предприятия (enterprise CA). ЦС предприятия будут обсуждаться с большими подробностями в следующей статье.

Политики выпуска, реализуемые вручную – эти политики вовлекают нетехнический контроль подлинности и могут включать в себя такие методы, как нотариально заверенные письма, идентификация по фотографии или, в отдельных случаях, контроль по отпечаткам пальцев. В основном такой подход встречается в средах, нуждающихся в чрезвычайных мерах безопасности, таких как большие корпорации или правительственные учреждения.

Создание иерархии ЦС

ЦС почти никогда не работают в одиночестве. С целью обеспечения безопасности и по управленческим причинам, выпуск сертификатов разбит на уровни. Каждый уровень обеспечивает разные степени безопасности. Самый высокий уровень обеспечивает корневой ЦС (root CA). Корневой ЦС является краеугольным камнем системы доверительных отношений для всей иерархии. Если корневой ЦС будет скомпрометирован, вся инфраструктура открытого ключа (PKI,Public Key Infrastructure) будет считаться ненадежной. Корневые ЦС являются наиболее охраняемыми компьютерами в мире. Не будет преувеличением сказать, что компьютеры, выступающие в роли корневых ЦС, должны пребывать под вооруженной охраной 24 часа в сутки, 7 дней в неделю, а также быть отключенными от сети и находиться в надежном безопасном помещении. Во многих компаниях запрещается кому-либо оставаться наедине с корневым ЦС. Все изменения и каждая попытка доступа должны фиксироваться и контролироваться. Эти ЦС часто используются для выдачи сертификатов второму уровню ЦС, известному как подчиненные ЦС (subordinate CA). Подчиненные ЦС во многих организациях напрямую присоединены к сети и используются для управления пользовательскими сертификатами. Эти компьютеры остаются под охраной, но не столь серьезной, как корневой ЦС, поскольку компрометация подчиненного ЦС повлияет только на часть PKI. В очень больших компаниях, подчиненные ЦС могут быть организованы по географическому или функциональному признаку, а также в соответствии с политиками, действующими в компании.

Создание корневого ЦС

Корневой ЦС создается с помощью настройки программного обеспечения для создания пары ключей - открытого и закрытого (см. мою статью в разделе «Безопасность за 15 минут» для получения вводной информации). Затем этот сервер создает само-подписанный сертификат, в котором сервер ручается за свою собственную подлинность. Это очень важная концепция, поскольку она отражает ту степень доверия, которую мы испытываем к корневому ЦС. Без какого бы то ни было внешнего подтверждения подлинности корневого ЦС, мы должны просто поверить ему на слово, что он является корневым. Доверие к корневому ЦС удостоверяется в Windows с помощью размещения копии сертификата корневого ЦС в хранилище доверенных корневых ЦС на локальном компьютере. Вы можете просмотреть содержание этого хранилища с помощью окна свойств в Internet Explorer.

Как видите, Windows уже включил множество корневых ЦС в этот список. Это сертификаты тех корневых ЦС, которым, по мнению Microsoft, вы можете доверять. Вы можете изменить этот список, удаляя из него ЦС, которым вы предпочитаете не доверять, импортируя сертификаты тех ЦС, которым вы доверяете, либо используя Certificate Trust List (CTL) в групповой политике для настройке списка доверенных ЦС для всех компьютеров, на которые оказывает влияние эта политика.

Создание ЦС

Создание нового ЦС является очень сложной задачей. И хотя технические шаги довольно просты (поскольку большинство пакетов программного обеспечения ЦС несложное), трудной частью является планирование и реализация. Планирование ЦС выходит за пределы тем, рассматриваемых в этой статье.

Windows Server 2003 включает в себя службу Microsoft Certificate Services (далее служба сертификации), являющуюся набором пакетов программного обеспечения, позволяющего вам устанавливать, настраивать и управлять ЦС. Начиная с верхнего уровня, ЦС могут конфигурироваться двумя способами, как ЦС предприятия (interprise CA) или изолированный ЦС (stand-alone CA). Разница заключается в используемой политике выпуска сертификатов. ЦС предприятия зависит главным образом от программных политик выпуска. Если у вас есть действительная учетная запись пользователя в Active Directory с соответствующими разрешениями, вы можете автоматически получить сертификат, если запросите его. Изолированный ЦС требует, чтобы администратор, часто называемый менеджером сертификатов, просматривал каждый запрос и вручную одобрял или запрещал выдачу сертификата. В любом из этих вариантов настройка не составляет труда, но является необратимой. Вы выбираете тип ЦС в ходе установки службы сертификатов и он не может быть изменен без удаления и повторной установки службы сертификатов. Вы должны также выбрать тип ЦС, который хотите установить. Это может быть либо корневой, либо подчиненный ЦС.

Создание изолированного корневого ЦС на Windows Server 2003

С практической точки зрения существует несколько причин, по которым вам нужно иметь корневой ЦС, настроенный как ЦС предприятия. ЦС предприятия представляет собой значимый риск, в основном потому, что они не могут быть отключены от сети (переведены в режим offline). Изолированный ЦС может быть настроен на сервере, не являющемся членом домена и отключен от сети на значительный период времени. Это обеспечивает высокий уровень безопасности для закрытого ключа корневого ЦС. Поэтому настраивая отключенный от сети корневой ЦС и подчиненный ЦС предприятия вы реализуете преимущества как безопасности, так и простоты управления.

Вы создаете отключенный от сети корневой ЦС, создавая службу сертификации, устанавливаемую с помощью утилиты Add/Remove programs панели управления. Прежде чем устанавливать какой-либо корневой ЦС, вы должны продумать следующее:

  • Физическую защищенность компьютера, на котором установлен ЦС
  • Хранение закрытого ключа ЦС
  • Кто будет иметь доступ к компьютеру ЦС
  • Как вы будете восстанавливать компьютер ЦС в случае его сбоя

Мастер установки служб сертификации предоставляет вам несколько точек для принятия решений. Эти точки для принятия решений представляют настроечные опции и перечислены в следующей таблице, вместе с некоторыми рекомендациями, какое решение следует принимать.

Точка для принятия решения Что следует учесть Рекомендации
Период действия корневого сертификата Как долго клиенты будут использовать этот ЦСКаков период обновления выпущенного сертификатаКакой длины ключ в этом сертификате 10-20 лет
Точка распространения сертификатов CDP (certificate distribution point), включаемая в сертификат Корневой сертификат может никогда не отзываться, следовательно,  CRL (certificate revocation list) никогда не проверяется Не нужна
Точка публикации сведений о доступе AIA (authority information access), включаемый в сертификат Корневой сертификат не может подтверждаться расположенным выше ЦС Не нужна
Длина ключа Каков период действия корневого сертификатаКакая длина ключа может использоваться клиентами, получающими эти сертификатыНасколько уязвим ЦС (степень риска) 2048 или более
CDP для выпускаемых сертификатов ЦС удален из сети, поэтому должен быть определен внешний источник Внутренний или внешний web-сервер или оба, в зависимости от клиентов
AIA для выпускаемых сертификатов ЦС удален из сети, поэтому должен быть определен внешний источник Внутренний или внешний web-сервер или оба, в зависимости от клиентов

Корневой сертификат создается в ходе установки служб сертификации, поэтому некоторые из этих параметров должны быть настроены до их установки. Это достигается с помощью настройки файла CAPolicy.inf и размещения его в папке windows. Этот файл прочитывается в ходе установки служб сертификации и используется для их настройки. Из приведенной выше таблицы только период действия, длина ключа, точки AIA и CDP корневого сертификата могут быть настроены с помощью этого файла. Кроме того, если вы хотите изменить любое из этих значений, вы можете изменить сам файл CAPolicy.inf и обновить корневой сертификат. Пример файла CAPolicy.inf приведен ниже.

[Version]
Signature= "$Windows NT$"

[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=16

[CRLDistributionPoint]
Empty=true

[AuthorityInformationAccess]
Empty=true

Используйте notepad для создания файла capolicy.inf и сохраните его в вашей папке windows. Сделайте это до установки служб сертификации.

Установка службы сертификации

Из панели управления запустите Add/Remove ProgramsWindows Components и выберите certificate services. Примите к сведению сообщение, что настройка компьютера не сможет быть изменена после установки служб сертификации. Выберите Stand Alone Root CA и щелкните кнопку Next. Далее вы должны ввести имя для вашего ЦС. Обоснованным обычно является имя cn=yourcompanyRootCA. Вам также требуется выбрать место хранения для базы данных сертификатов и файлов журнала. Поскольку требования по хранению отключенного от сети корневого ЦС являются минимальными, то одна отказоустойчивая дисковая система, такая как RAID 5 или зеркальные тома будет достаточно. Вы можете просмотреть корневой сертификат, щелкнув правой кнопкой мыши ваш ЦС в консоли служб сертификации, а затем кнопку View certificate на вкладке General.

Настройка CDP and AIA для выпускаемых сертификатов

Цепочка проверки сертификация и контроль их отзыва являются очень важными частями иерархии сертификатов. Чтобы объект убедился, что сертификат не был подделан и остается правомочным, этот объект должен выполнить одну обязательную проверку и одну необязательную. Требуется, чтобы объект использовал информацию, содержащуюся в корневом сертификате, для подтверждения проверяемого сертификата. Для этого требуется, чтобы был доступен корневой сертификат ЦС, подписавшего проверяемый сертификат. Далее, некоторые приложения могут быть настроены на проверку того, что этот сертификат остается «действующим». У ЦС есть возможность отзыва сертификатов, если вы почувствовали, что доверие или безопасность этого сертификата нарушены. Возможно, этот сертификат был выпущен для работника, который впоследствии уволился. Проверка отзыва требует наличия списка отозванных сертификатов (CRL, Certificate Revocation List). На ЦС администратор отзывает сертификат, добавляя его серийный номер в список отозванных сертификатов. Этот список затем хранится в расположении, доступном для клиентов. Клиенты, которым требуется проверка отзыва, должны иметь возможность определять местоположение текущего CRL перед тем, как признать сертификат.

Цепочка проверки сертификатов выполняется с помощью использования двух полей, хранящихся в сертификате. Это поля Authority Information Access и CRL Distribution Points. Эти поля говорят операционной системе, где находится копия корневого сертификата, используемого для подписи проверяемого сертификата, а также где найти текущий CRL. В службах сертификации этим расположением может быть любой разрешенный URL, включая такие как расположения HTTP, FTP и UNC. Если ЦС или клиенты участвуют в Active Directory, тогда эта информация может также храниться в Active Directory с использованием адресации LDAP. По умолчанию, Windows XP и более поздние версии проверяют все местоположения в CDP и AIA, а также локальные сертификаты, хранящиеся в Active Directory, если компьютер является членом домена Active Directory.

Приведенный ниже рисунок показывает, как выглядят эти поля, включенные в выпускаемый сертификат.

Чтобы сконфигурировать эту информацию для включения в сертификаты, выпускаемые нашим корневым ЦС, мы должны перечислить расположения, где может быть найдена информация AIA и CDP. Это может быть сделано на вкладке Extensions окна свойств ЦС. В то время как существует множество настроечных опций для расширения как AIA так и CDP, они могут быть упрощены при настройке корневого ЦС. Для обеспечения избыточности, главным образом, могут использоваться относительные пути и оба они будут указывать на некий Web-сервер. Этот web-сервер может быть любым web-сервером, который может обслуживать файлы. Пример пути CDP показан ниже.

Заключение

Когда настройка вашего корневого ЦС завершена, вы выпускаете сертификаты только для подчиненных ЦС. Важно запомнить, что если вы выполните настройку вашего корневого ЦС некорректно, то подчиненные ЦС не смогут запуститься и единственным решением может быть повторный запуск всей настройки. В следующей статье этой серии мы рассмотрим настройку изолированного ЦС политик (policy CA). ЦС политик используется во многих реализациях инфраструктуры открытого ключа для обеспечения правил и ограничений для подчиненных ЦС.

Кори Хайнс

 


Связанные темы

MCSE 2003 за 15 минут в неделю


Комментарии к статье
Ваше имя: Неизвестный [ Новый пользователь ]

Тема:

Комментарий:




Идея и воплощение: Михаил Дмитриев
Страница оптимирована под разрешение от 1024х768 для IE 5.0+
Copyright © 2001-2008 by Michael Dmitriev - Создание и поддержка сайтов

Сайт работает на домашнем компьютере. OS Windows Server 2003. Находится в Израиле.


Web site engine's code is Copyright © 2003 by . Время создания страницы - 4.636 сек. и 46 запрос (а,ов) к базе данных