Раздел: Документация
0 ... 104 105 106 107 108 109 110 ... 136 2 Установка и настройка291 (3 Hertihcarion Anihmrf у ~ь-1 Гд RrvWtJOr.ta.*!*- J FaiiodReq-jci; ,L3 Revolt* OjW*l*.#: (м1Йпо1во ЕФЁфЙ If 1— Рис. 13-4. Оснастка Certification Authority (Центр сертификации) 8.В меню Tools {Сс-еж; выберите команду Internet Options (Свойства обозревателя), затем перейдите на вкладку Content (Содержание) и шелкните кнопку Certificates (Сертификаты). 9.В окне Certificates выберите ваш сертификат и щелкшгге кнопку View (Просмотр). Заметьте, что сертификат был выпущен вашим компьютером. Закройте все окна. Хранение криптографических ключей В Microsoft PKI криптографические ключи и связанные с ними сертификаты хранятся и управляются подсистемой CryptoAPI. Ключи обслуживаются при помощи CSP, а сертификаты — при помоши CryptoAPI хранилищ сертификатов. Хранилища являются архивами сертификатов вместе со связанными с ними свойствами. Обычно PKI определяет пять стандартных хранилищ сертификатов (табл. 13-1). Табл. 13-1. Стандартные хранилища сертификатов Чрани.шщ;)Описание fvnПрименяется для хранения сертификатов компьютеров иолыовазсдеи. ш •аэторыч имеются связанные с ними закрытые ключи Используется для хранения зызуаг-мг или промежуточных сертификатов 111, применяемых при построении цепочек проверок сертификатов TRUSTИспользуется для хранения списков доверия сертификатов. Это альтерна- iiiiHiMii механизм для ш.йипя администратором набора доверяемых Ц< Их преимущество состоит в том, что они подписаны электронной гаси немо ипередаваться по открытым каналам ROOTИспользуется для хранения только сертификатов доверяемых корневых ЦС, им же и подписанных UserDSИспользуется для логичного представления архива сертификатов, храп* ших- ся в Active Directory (например, в свойствах userCertificaie объекта User!. Он предназначен для облегчения доступа к лшч внешним архивам Они являются логическими хранилищами, предоставляющими полное представление доступных сертификатов в масштабе системы, которые могут находиться на различных физических носителях (жестком диски, смарт-карте и т. пл. Эти службы позволяют приложениям применять сертификатыи гарантируют правильность работы административной политики. Функции управления сертификатами поддерживают расшифровку сертификатов X.509 v3 и предоставляют функции нумерации для облегчения поиска конкретного сертификата. Для облегчения разработки приложений MY-хранилиша поддерживают свойства сертификатов, которые указаны CSP, иключевых имен для связывания с закрытыми ключами. После выбора приложением сертификата оно использует эту информацию при получении CSP-контекста для правильности закрытого ключа. Обновление сертификата Концепция обновленияпохожа на регистрацию и использует преимуще- ство доверительных отношений, которым отличаются существующие сертификаты. Обновление предполагает, что запрашивающему объекту нужен новый сертификате теми же атрибутами, что и у существующего, но с продленным сроком действия. При обновлении используется существующий или новый открытый ключ. Обновление идет в основном на ЦС. Запрос на обновление обрабатывается более эффективно, потому что нет необходимости проверять уже существующий сертификат. В настоящий момент обновление поддерживается в Windows 2000 Г КI для автоматически зарегистрированных сертификатов. В других системах обновление рассматривается как новый запрос на регистрацию. Промышленный стандарт протоколов сообщений на обновление сертификатов еще не определен, но уже включен в предварительный вариант IETF PKIXCRS. После принятия этих стандартов Microsoft планирует разработать связанные с сообщениями форматы. Восстановление сертификата и ключа Пары открытых ключей и сертификаты имеют большое значение. При утрате в результате сбоя системы их замена отнимает много времени и денег. Для решения данной проблемы в Windows 2000 встроена возможность архивирования и восстановления сертификатов и связанных с ними пар ключей, используя административныеуправления сертификатами. При экспорте сертификата средствами диспетчера пользователь вправе также экспортировать и связанную с ним пару ключей. При этом информация экспортируется в ванном (на основе пароля пользователя) сообщении PKCS #12, Затем его мйжно импортировать в свою или другую систему или восстановить сертификат и ключи. Пару ключей можно экспортировать средствами CSP, например, на базе Microsoft, если «о время генерации набора ключей пометить флажок экспорта. CSP сторонних фирм могут поддерживай, или не поддерживать экспорт закрытого ключа. Например, CSP смарт-карт вообще неданную операцию. Для программных CSP с неэкспортируемыми ключами альтернативой служит полное резервное копирование образа системы, всюреестра. Роуминг В контексте данного обсужденияозначает возможность использовать одни и те же приложения на основе открытых ключей на разных компьютерах в пределах Windows 2000 окружения предприятия.требованием является предоставление досту- па пользователям к криптографическим ключам и сертификатам независимо от места входа пользователя в систему. РК1 Windows 2000 выполняет данное требование двумя мюео-бами. Сначала, в случае применения CSP на базе Microsoft, ключи и сертификаты роуминга. поддерживаются механизмом профиля роуминга. Если профили роуминга разрешены, для пользователя данный механизм является прозрачным. Маловероятно, что данный метод будет поддерживаться CSP других фирм, которые чаше всего реализуют различные методы зашитыданных, основанные на аппаратных устройствах. Аппаратные эстафетные устройства, например смарт-карты, поддерживают роуминг, если они включают физическое хранилище сертификата. CSP смарт-карт, поставляемый с платформой Windows 2000, поддерживает эти функциональные возможности. Поадерж-ка роуминга выполняется перемещением аппаратного маркера вместе с Отзыв сертификатов Сертификаты являются долгосрочными верительными грамотами. В силу ряда прич ih они иногда становятся ненадежными до истечения их срока: •при компрометации или подозрении в компрометации по в>ез нос i и закрытого ключа; •при мошенничестве при получении сертификата; •при изменении статуса. Функциональные возможности на базе открытого ключа позволяют реалпаовгг ь распределеннуюпричем без прямого соединения с центральным доверенным центром, который ручается за их реквизиты. При этом требуется аннулировать информацию, которая может стать известной кто пытается проверить сертификаты. Потребность в аннулировании информации и ее своевременности зависит от приложения. PKI Windows 2000 включает поддержку промышленного стандарта егшеког аннулирования сертификатов (CRL). Корпоративные ЦС поддерживают аннулирование сертификата и публикацию CRL в Active Directory при административном управлении. Клиенты домена могут отбирать данную информацию, кэшировать локально и ее при проверке сертификатов. Этот же механизм поддерживает CRL, выпускаемые коммерческими ЦС или сертификационными серверами других фирм, обеспечивают! ч доступ клиентам сети к опубликованным CRL. Доверие Проверка сертификатов главными образом выполняется клиентами, использующими приложения на основе РК. Если выданный конечный сертификат может быть показан в «цепочке» к известному доверенному корневому ЦС и если предписанное использование сертификата совместимо с контекстом приложения, то это допустимо. Если хотя бы одно из условий не выполняется, то подобная степень доверия недопустима. В PKI пользователям можно создать доверительные решения, затрагивающиеих самих. Это делается путем установки или удаления доверенных корневых ЦС и настройки связанных ограничений использования с применением административных средств. Ожидается, что данные доверительные отношения будут устанавливаться как часть политики предприятия. Устанавливаемые политикой доверительные отношения автоматически распространяются на клиентские компьютеры с Windows 2000. Доверенные корни ЦС Для установления доверительных отношений, используемых клиентами домена при проверке РК сертификатов, доверие в корневых ЦС устанавливается при помощи политики. 0 ... 104 105 106 107 108 109 110 ... 136
|