Раздел: Документация
0 ... 103 104 105 106 107 108 109 ... 136 юпсржшп запроса к корневому или к промежуточному ЦС. Данный запрос может маршрутизироваться к работающему ЦС автоматически средствами Active Directory или вручную в автономном сценарии. В любом случае перед началом работы ЦС необходимо установить полученный сертификат. Доверительная модель корпоративного ЦС может как соответстаовать, так и не соответствовать модели доверия домена Windows 2000. Полного совпадения этих моделей не требуется. Ничто не мешает автономному ЦС обслужишпь объекты в нескольких доменах или объекты за пределами домена. Аналогичным образом данный домен может иметь несколько корпоративных ЦС. Защита центра сертификации ЦС очень важны, и поэтому необходимо обеспечивать их защитой высокого уровня. Для этого используютметоды. •Физическая зашита. ЦС на предприятии являются объектами с высоким доверием, поэтому их необходимо защищать от вмешательства извне. Это требование зависит от значимости сертификатов, выдаваемых ЦС. Физическая изоляция сервера ЦС в месте, доступном только администраторам безопасности, может значительно уменьшить возможность таких физических атак. •Управление ключами. Закрытый ключ ЦС является основой для доверия в процессе сертификации. Его необходимо защищать от внешних вторжений. Криптографические аппаратные модули (доступ к службам сертификации при помощи CryptoAPI CSP) обеспечивают надежное хранение ключей и отделение выполнения криптографических операций от работы остального ПО сервера. Это существенно уменьшает вероятность компрометации ключа ЦС. Восстановление. Выход из строя ЦС (например, из-за отказа оборудования) создает ряд административных и оперативных проблем и предотвращает аннулирование существующих сертификатов. Службыподдерживают резервное копирование экземпляра IJC в целях его Босстагтадення. Это важная часть всего процесса управления ЦС. Регистрация сертификата Процесс получения цифрового сертификата называют его регистрацией. Инфраструктура открытых ключей (РК1) Windows 2000 поддерживает регистрацию сертификатов в корпоративных, автономных и сторонних ЦС. Регистрация не зависит от транспорта и основана на использовании промышленных стандартов шифрования с открытым ключом PKCS #10 .(Сообщения с запросом сертификата) и PKCS #7 (Ответы, содержащие выданный сертификат или последовательность сертификатов). На момент написания данной главы сертификаты поддерживали RSA- и !)$л ключи и подписи, а также ключи DitTie-Hellimn. Методы регистрации поддерживает множестворегистрации, в том числе сетевую мастер регистрации иполитикой авторегистрацию, которая происходит как часть процесса входа пользователя в систему. В будущем Microsoft планирует усовершенствоватьсертификатов, способом совместимым с синтаксисом запроса сертификата (Certificate Request Syntax, CRS), проект которого разрабатывается в. Internet Engineering Task Force (IETF) рабочей группой PKIX. Занятие 2 Установлэ и настройка ццитр-от сертификации 2Щ Сетевая регистрация Процесс сетевой pei не Гранин начинается с запроса сертификата клиентом и заканчивается установкой сертификата в клиентское приложение. Управление регистрацией и ее формами выполняется на Web-странице администрирования служб сертификации Ьпр://<имя си(Н(е{ш>/certstv/de/auit.as (рис. 13-3). Вы можете настроить Web-ctp; нипы служб сертификации, изменив параметры пользователей или дав ссылки на интерактивную службу или инструкции пользователям. Регистрация клиентских сертификатов Службы сертификации поддерживают регистрацию сертификатов клиентов, примеияошич обозреватель Internet Explorer версии 3.0 и выше. Для получения клиентских сертификатов при помоши данных обозревателей пользователю необходимо открыть страницу лу еппт фикации клиента и ввести идентификационную информацию. Созданный клиентский сертификат возвращается в обозреватель, который затем устанавливает его на клиент,
Рис. 13-3. Запрос сертификатов Автоматическая регистрация Процесс автоматической регистрации управляется двумя ключевыми элементами: типами сертификата и объектами авторегистрации. Они интегрированы в объекты Group olicy (Групповой . .....1кп) и определяются на основе узла, домена, организационной единицы, компьютера или пользователя. Типы сертификатов предоставляют шаблон для сертификата и связывают его с обычным именем для простоты администрирования. В шаблоне определяются такие элементы, как требования к именам, срок действия, допустимые CSP для генерации закрытых ключей, алгоритмы и добавления, которые необходимо включить в сертификат. Типы сертификатов логически разделяются типы компьютеров и пользователей и применяются соответственно к объектам политики. Определенные однажды, типы сертификатов используют в объектах авторегистрации и мастере получения сертификатов. Данный механизм интегрирован в политику выпуска корпоративного ЦС, а не подменяет се. Служба ЦС получает набор типов сертификатов в качестве части их объектов по- .•1нтикн. Для определения типов сершюикличк выпускаемых ЦС. они используй: s моту.ть Enterprise Policy (Корпоративной политики). UC отвергает запросы сертификатов, не со-отвпсть-уюии- х этим критериям. Объект авторегистрации определяет политику сертификатов, которые представляют собой объекты в домене. Их применяют на основе компьютеров или пользователей. Типы сертификатов соответствуют типам сертифицируемых объектов, разрешается применять любой определенный тип. Объект авторегистрации предоставляет достаточную информацию для определения необходимого объекту сертификата и регистрирует на корпоративном ЦС oaeyieinwoiiine сертификаты. Объекты авторегистрации также определяют политику обновления сертификатов, так что администратор может самостоятельно задать срок службы сертификата, без вмешательства пользователя. Обработка объектов авторегистрации и вступление в силу сделанных изменений происходит после любого обновления политики (вход в систему, обновление объектов групповой политики и т. д.). >Задание 1: установите изолированный подчиненный ЦС 1.В панели управления щелкните значок Add/Remove Programs (Установка/Удаление программ). 2.Перейдите на вкладку Add/Remove Windows Components (Установка/Удаление компонентов 3.Пометьте флажок напротив Certificate Services (Службы сертификации), затем щелкните Next. 4.Щелкните переключатель Stand-Alone Root ЦС (Изолированный корневой ЦС), затем — Next. Заполните идентификационную информацию ЦС. В поле ЦС name (Имя ЦС) наберите Имя компьютера ЦС и щелкните Next. 6.Используйте хранилище данных по умолчанию и щелкните Next. 7.Во время процесса установки ЦС иногда требуется остановить службу IIS. Для этого щелкните кнопку ОК и задайте местоположение установочных файлов Windows 2000 (конкретно eertsra*). 8.Щелкните кнопку Finish (Готово). 9.Закройте окно Add/Remove Programs. ►Задание 2: запросите и установите сертификат с локального ЦС 1.Запустите оснастку Certification Authority (Центр сертификации). Удостоверьтесь, что служба работал (рис. 13-4). 2.Запустите Internet Explorer и подключитесь к hitp://<ecuu cepeep>/certsrv/default.asp. 3.Запросите сертификат обозревателя Web. Запрос будет поставлен в очередь. 4.Закройте Internet Explorer. 5.Откройте оснастку Certificate Authority (Авторизация сертификата) и выберите папку Pending Requests (Запросы в ожидании). Щелкните правой кнопкой мыши ваш запрос. выберите All Tasks (Все задания) и щелкните команду Issue (Выдать). 6.В дереве консоли щелкните папку Issued Certificates (Выданные сертификаты) и удостоверьтесь, что ваш запрос был 7.Откройте Internet Explorer, подключитесь к http://<eam eepeep>/certsrv/defaulta<spj\[)o-верьте папку Pending Certificate Request, затем установите сертификат. Практикум: установка изолированного подчиненного центра сертификации 0 ... 103 104 105 106 107 108 109 ... 136
|