Раздел: Документация

0 ... 101 102 103 104 105 106 107 ... 136

£!недрение служб сертификации

1 Знакомство с сертификатами

На этом чинят ии вы узнаете о пифрпяычссргпфпкдпо и службах сершфцкашн: Windows 2000, .а также о центре сертификации (ЦС) — Certification Authority (CA), — поддерживаемом

Windows 2000.

Изучив материал этого занятия, вы сможете:

* определим, сертификаты;

объяснять назначение компонентов сертификата;

создать отказоустойчивый корень DFS; ✓ объяснить порядок использования сертификатов; J различать корпоративное и ог-сианяе центры сертфиющнн.

Продолжительность занятия — около 25 минут.

Общие сведения о сертификатах

Сертификат (цифровой сертификат, сертификат открытого ключа) представляет собой цифровой документ, подтверждающий соответствие открытого ключа объекту. Основное назначение сертификатов — гарантировать, что открытый ключ, содержащийся в сертификате, действительно принадлежитк сертифик;не. Сертификаты играют главную роль в инфраструктуре открытого ключа (рис. 13-1).

групповой политики безопасности

Политика групп распространения сертификатов, их

соответствия учетным записям пользователей и т. д.

Служба

сертификации

Регистрация,

обновление и

аннулирование

сертификатов

Администратор домена

Центр распространения ключей контроллера домена

Процесс входа в домен

тд в систему при помощи Г1 смарт-карт

Клиент домена

Рис. 13-1. Службаинтегрированная с Active Directory

и распределенной службой безопасности

Сертификат может состоять из открытого ключа, подписанного доверенным объектом. Наиболееструктура и синтаксисопределены в документе ITU-T Recommendation Х.509. На рис. 13-2 показан сертификат. iiciio.ibjycMbHi для проверки подлинности отправителя сообщения электронной почты.

-содержит

выпустившую сертификат, серийный номер сертификата, срок его действия, имя и подпись запрашивающей стороны и имя субъекта (или пользователя). В качестве субъекта могут выступать физическоешкола, коммерческая или другая организация, а той

числе ЦС.

Г

---

веки* jtotalfi e*tft.otft,P»*j

valid Imin :i4w »o ЙЧЙвИ

Рис. 13-2. Пример сертификата

Создание сертификата

Сертификаты и озавдиваклеа псином сертфиканип. который может быть любой ряемой службой или обч.екюм. жсзаюшпм проверить подлинность того, для кого сер мфм-кат выпушен, и его Связь с конкретным ключом. Компании вправе выпускать сертиф (каты для своих работников, школы - для своих учащихся, и д. п. Необходимо, чдобы достоверность открытого ключа центра сертификации была полностью определена, иначе не будет доверия к выпускаемым им сертификатам. Так как UC может создать кто угодно, с егтсда доверия к нему zw.wnr"z;: степенью доверия к орпшимшт, выдавшей ему ключ. Ниже описаны шесть этапов процесса win росл и выпуска сертификата.

1 Генерации пары ключей. Претендент генерирует пару из открытого и закрытого ключа или назначает автора пары ключей из своей opi ann sauna.

2.Сбор требуемой информации. Претендент собирает всю информацию, необходимую ЦС для выдачи сертификата. Она может включать адрес электронной почты претендента. с»ил?тс.чкт1н> о рождении, отпечатки пальнув или другие нотариально заверен и ае ю кументы, под I вержяаюшпс иом.шппость претендента. ЦС со строгими идентификационными требованиями выпускают сертификаты с высокой степенью доверия. О самих ЦС говорят, что они имеют высокую, среднюю или низкую степень доверия.

3.Запрос сертификата. Претендент посылает в ЦС запрос на сертификат, состоящий из своего открытого ключа и необходимо» дополнительной информации. Запрос на сертификат может быть зашифрован с использованием открытого ключа ЦС. Запросы разрешается посылать по электроннойпосредством обычной почты или курьерской службы, например при необходимости нотариального заверения самого запроса.

4.Проверка информации. Чтобы удостовериться в том. что претендент получит сертификат, ЦС применяет любые необходимые правила политик. В соответствии с идентификационнымиполитика и процедуры верификации ЦС влияют на степень доверия выпускаемых им сертификатов.

---

7и4 Внедрение служб сертификации

13

5.Создание сертификата. ЦС создает и подписывает цифровой документ, содержащие открытый ключ претендента и другую необходимую информацию. Подпись ЦС подтверждает привязку имени субъекта к его открытому :<лг":.у. Подписанный документ и является сертификатом.

6.Отправка или рассылка сергнфию та. ЦС отправляет претенденту сертификат или помещает его в каталог.

Использование сертификата

Сертификат гарантирует законность конкретного открытого ключа. Сертификат должен подписываться закрытым ключоминаче он не будет считаться сертифика-

том. Поэтому подпись изготовителя проверяется с использованием его открытого ключа. Если объект доверяет изготовителю, он также уверен и в том, что открытыйсодер-

жащийся в сертификате, принадлежит субъекту, упомянутому в нем.

Корпоративный и изолированный центр сертификации

Службы сертификации предусматривают два -варианта политик, разрешающих использование двух классов ЦС: корпоративного и изолированного. В каждый класс входят два типа ЦС: корневой и подчиненный. Модули политики определяют изменяемый при необходимости порядок действий, пред финнмаемын. ЦС при получении запроса на сертификат.

ЦС организованы иерархически: наиболее доверенный ЦС находится ближе к вершине. Windowsиерархическую модель ЦС. В ней может быть множество не связанных между собой иерархий. Совместное использование всеми ЦС общего

родителяуровня не требуется.

Корпоративный ЦС

На предприятии корневые ЦС обладают самой высокой степенью доверия. В домене Windows 2000 может быть несколькокорневых ЦС. но только одному из них

разрешено основать иерархию. Остальные являются корпоративными подчиненными ЦС.

Организация устанавливает корпоративный ЦС для выдачи сертификатов своим пользователям или компьютерам. необходимости устанавливать ЦС каждом домене орга-Например, пользователи дочернего домена могут обратиться к ЦС в родительском домене. Модуль политики корпоративного ЦС предписывает порядок обработки и выпуска сертификатов. Необходимая этим модулям информация о политике хранится централизованно в Windows 2000 Active Directory.

Перед установкой корпоративного ЦС необходимо запустить службы Active Directory и DNS-сервер.

Изолированный ЦС

Организация, которая предполагает выпускать сертификаты для пользователей или компью-

lefoa. расположенных за ее пределами, должна установить изолированный ЦС. Их может быть несколько, но в каждой иерархии допустимо существование только одного изолированного ЦС. Остальные ЦС в иерархии считаются изолированными или корпоративными подчиненными ЦС.

0 ... 101 102 103 104 105 106 107 ... 136