8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 103 104 105 106 107 108 109 ... 136

юпсржшп запроса к корневому или к промежуточному ЦС. Данный запрос может маршрутизироваться к работающему ЦС автоматически средствами Active Directory или вручную в автономном сценарии. В любом случае перед началом работы ЦС необходимо установить полученный сертификат.

Доверительная модель корпоративного ЦС может как соответстаовать, так и не соответствовать модели доверия домена Windows 2000. Полного совпадения этих моделей не требуется. Ничто не мешает автономному ЦС обслужишпь объекты в нескольких доменах или объекты за пределами домена. Аналогичным образом данный домен может иметь несколько корпоративных ЦС.

Защита центра сертификации

ЦС очень важны, и поэтому необходимо обеспечивать их защитой высокого уровня. Для этого используютметоды.

•Физическая зашита. ЦС на предприятии являются объектами с высоким доверием, поэтому их необходимо защищать от вмешательства извне. Это требование зависит от значимости сертификатов, выдаваемых ЦС. Физическая изоляция сервера ЦС в месте, доступном только администраторам безопасности, может значительно уменьшить возможность таких физических атак.

•Управление ключами. Закрытый ключ ЦС является основой для доверия в процессе сертификации. Его необходимо защищать от внешних вторжений. Криптографические аппаратные модули (доступ к службам сертификации при помощи CryptoAPI CSP) обеспечивают надежное хранение ключей и отделение выполнения криптографических операций от работы остального ПО сервера. Это существенно уменьшает вероятность компрометации ключа ЦС.

Восстановление. Выход из строя ЦС (например, из-за отказа оборудования) создает ряд административных и оперативных проблем и предотвращает аннулирование существующих сертификатов. Службыподдерживают резервное копирование экземпляра IJC в целях его Босстагтадення. Это важная часть всего процесса управления ЦС.

Регистрация сертификата

Процесс получения цифрового сертификата называют его регистрацией. Инфраструктура открытых ключей (РК1) Windows 2000 поддерживает регистрацию сертификатов в корпоративных, автономных и сторонних ЦС. Регистрация не зависит от транспорта и основана на использовании промышленных стандартов шифрования с открытым ключом PKCS #10 .(Сообщения с запросом сертификата) и PKCS #7 (Ответы, содержащие выданный сертификат или последовательность сертификатов). На момент написания данной главы сертификаты поддерживали RSA- и !)$л ключи и подписи, а также ключи DitTie-Hellimn.

Методы регистрации

поддерживает множестворегистрации, в том числе сетевую

мастер регистрации иполитикой авторегистрацию, которая происходит как

часть процесса входа пользователя в систему. В будущем Microsoft планирует усовершенствоватьсертификатов, способом совместимым с синтаксисом запроса сертификата (Certificate Request Syntax, CRS), проект которого разрабатывается в. Internet Engineering Task Force (IETF) рабочей группой PKIX.


Занятие 2

Установлэ и настройка ццитр-от сертификации 2Щ

Сетевая регистрация

Процесс сетевой pei не Гранин начинается с запроса сертификата клиентом и заканчивается установкой сертификата в клиентское приложение. Управление регистрацией и ее формами выполняется на Web-странице администрирования служб сертификации Ьпр://<имя си(Н(е{ш>/certstv/de/auit.as (рис. 13-3). Вы можете настроить Web-ctp; нипы служб сертификации, изменив параметры пользователей или дав ссылки на интерактивную службу или инструкции пользователям.

Регистрация клиентских сертификатов

Службы сертификации поддерживают регистрацию сертификатов клиентов, примеияошич обозреватель Internet Explorer версии 3.0 и выше. Для получения клиентских сертификатов при помоши данных обозревателей пользователю необходимо открыть страницу лу еппт

фикации клиента и ввести идентификационную информацию. Созданный клиентский сертификат возвращается в обозреватель, который затем устанавливает его на клиент,

, > -. *i> -з} • -а • •$.>«•*• .•••«?» • > j« j <* >

5* ,

J

Welcome

Vtju им tfps w?b to i&iubn а -еикзел for" ywi w?t« tv-jwser e-mail dtent ст. utter suru- uP.srarn

Select a taste

г Rsmsrve №fe CA t«4f«aie w tsmli-a* isrecaur/n № fi" Request a ceruticae rCh«k ana pending tf№№

1

Рис. 13-3. Запрос сертификатов

Автоматическая регистрация

Процесс автоматической регистрации управляется двумя ключевыми элементами: типами сертификата и объектами авторегистрации. Они интегрированы в объекты Group olicy (Групповой . .....1кп) и определяются на основе узла, домена, организационной единицы, компьютера или пользователя.

Типы сертификатов предоставляют шаблон для сертификата и связывают его с обычным именем для простоты администрирования. В шаблоне определяются такие элементы, как требования к именам, срок действия, допустимые CSP для генерации закрытых

ключей, алгоритмы и добавления, которые необходимо включить в сертификат. Типы сертификатов логически разделяются типы компьютеров и пользователей и применяются соответственно к объектам политики. Определенные однажды, типы сертификатов используют в объектах авторегистрации и мастере получения сертификатов.

Данный механизм интегрирован в политику выпуска корпоративного ЦС, а не подменяет се. Служба ЦС получает набор типов сертификатов в качестве части их объектов по-


.•1нтикн. Для определения типов сершюикличк выпускаемых ЦС. они используй: s моту.ть Enterprise Policy (Корпоративной политики). UC отвергает запросы сертификатов, не со-отвпсть-уюии- х этим критериям.

Объект авторегистрации определяет политику сертификатов, которые представляют собой объекты в домене. Их применяют на основе компьютеров или пользователей. Типы сертификатов соответствуют типам сертифицируемых объектов, разрешается применять любой определенный тип. Объект авторегистрации предоставляет достаточную информацию для определения необходимого объекту сертификата и регистрирует на корпоративном ЦС oaeyieinwoiiine сертификаты. Объекты авторегистрации также определяют политику обновления сертификатов, так что администратор может самостоятельно задать срок службы сертификата, без вмешательства пользователя. Обработка объектов авторегистрации и вступление в силу сделанных изменений происходит после любого обновления политики (вход в систему, обновление объектов групповой политики и т. д.).

>Задание 1: установите изолированный подчиненный ЦС

1.В панели управления щелкните значок Add/Remove Programs (Установка/Удаление

программ).

2.Перейдите на вкладку Add/Remove Windows Components (Установка/Удаление компонентов

3.Пометьте флажок напротив Certificate Services (Службы сертификации), затем щелкните Next.

4.Щелкните переключатель Stand-Alone Root ЦС (Изолированный корневой ЦС), затем —

Next.

Заполните идентификационную информацию ЦС.

В поле ЦС name (Имя ЦС) наберите Имя компьютера ЦС и щелкните Next.

6.Используйте хранилище данных по умолчанию и щелкните Next.

7.Во время процесса установки ЦС иногда требуется остановить службу IIS. Для этого щелкните кнопку ОК и задайте местоположение установочных файлов Windows 2000 (конкретно eertsra*).

8.Щелкните кнопку Finish (Готово).

9.Закройте окно Add/Remove Programs.

►Задание 2: запросите и установите сертификат с локального ЦС

1.Запустите оснастку Certification Authority (Центр сертификации). Удостоверьтесь, что служба работал (рис. 13-4).

2.Запустите Internet Explorer и подключитесь к hitp://<ecuu cepeep>/certsrv/default.asp.

3.Запросите сертификат обозревателя Web. Запрос будет поставлен в очередь.

4.Закройте Internet Explorer.

5.Откройте оснастку Certificate Authority (Авторизация сертификата) и выберите папку Pending Requests (Запросы в ожидании). Щелкните правой кнопкой мыши ваш запрос. выберите All Tasks (Все задания) и щелкните команду Issue (Выдать).

6.В дереве консоли щелкните папку Issued Certificates (Выданные сертификаты) и удостоверьтесь, что ваш запрос был

7.Откройте Internet Explorer, подключитесь к http://<eam eepeep>/certsrv/defaulta<spj\[)o-верьте папку Pending Certificate Request, затем установите сертификат.

Практикум: установка изолированного подчиненного центра сертификации



0 ... 103 104 105 106 107 108 109 ... 136