Раздел: Документация
0 ... 105 106 107 108 109 110 111 ... 136 Набор доверенных настраивается средствами редактора политики групп. Он настраивается на основе каждого компьютера может быть распространен на всех пользователей компьютера. Кроме доверяемого корневого ЦС администратор задает применение связанных с ЦС свойств. Они ограничивают допустимые пели, для которых ЦС выпускает сертификаты. В приложении к предварительной редакции IETF PKIX (часть I расширения Extended-KeyLkage) определены ограничения, основанные на идентификаторах объекта. В настоя-время используютсяограничений: •аутентификация сервера; •аутентификация клиента; •подпись кода; •электронная подпись; •протокол безопасности IP (IPSec); •туннель! ISec. •пользователь IPSec; •временные отметки; •шифрованная файловая система Microsoft. Резюме Это занятие носвяшедо тому, как установить и защитить ЦС. ЦС являются очень важными ресурсами, которые необходимоВы узнали, как зарегистрировать сертификат и несколько методов выполнения этой операции. Для получения клиентского сертификата пользователю необходимо открыть страницу аутентификации клиента и ввести идентификационную информацию. После создания службами сертификации клиентский сертификатобозревателю и устанавливается на компьютер клиента. Занятие 3, Управление сертификатами Управление сертификатами — важная задача. На этом занятии вы узнаете, как управлять сертификатами, отзывать их и пользоваться политикой восстановления шифрованной файловой системы - Encrypting File System (EFS). Изучив материал этого занятия, вы сможете: описать последовательность действий для отзыва сертификата; описать порядок выполнения политики восстановления EFS. Продолжительность занятия — около 30 минут. Отозванные сертификаты Перемешаются в папку Revoked Certificates (Отозванные сертификаты); появляются и CRL после повторного опубликования. Сертификаты, отозванные с кодом Certificate Hold, могут быть восиянояленм. оставлены в хранилище до истечения срока их действии или изменения кода причины отзыва. Только код отзыва позволяет скорректировать статус сертификата. Выданные сертификаты и очередь запросов На припой панели просмотрите запросы на сертификаты и обратите внимание на имя зап-paiiiiiBiiiodieio, сю адрес электронной почты и остальные г5аои-. которые, на ваш В1гляд, являются важными лля выпуска сертификата. Неудачные запросы Запросы на сертификаты вправе отклонять члены групп Cert Publishers (И-адагели сертификатов) или Administrators (Администраторы). Процедура выдачи сертификата После представления объекту сертификата как средства его (субъекта сертификата) идентификации объект должен выразить доверие выдавшему сертификат ЦС. Выпуск еерти-фикатов происходит в несколько этапов. •Генерация ключа. Прегеп.-кчат. опрашивающий сертификат, генерирует пару из открытого и закрытого ключей. Исключением является создание персональных иировыч cepi ификатов, для которых ЦС сам генерирует открытый и закрытый ключи и ссылает п\ конечным подьчовагелям. •Проверка соответствиям литике. Претендент предоставляет дополнительные сведения, необходимые для выдачи сертификата (например, удостоверение личности, номер налогоплательщика, адрес электронной почты и т. п.). Требуемые для выдачи сертпфика-та данные определяются ЦС. •Рассылка открытых ключей и информации. Претендент высылает в адрес ЦС открытые ключи и необходимую информацию (часто зашифрованную открытым ключом ЦС). •Проверка информации, .(аа проверки возможности приема претендентом сертификата ЦС применяет любые требуемые правила политики. •Создание сертификата. ЦС создает цифровой документ со всей необходимой информацией (открытые ключи, дата истечения срока действия и другие данные) и подписывает его своим закрытым ключом. 296 Внедрение служб сертификации Глава 13 Рассылка, сертификата. ЦС посылает сертификат претенденту или публикует его в хра-дидшце. Сертификат загружается в систему пользователя. Отзыв сертификата ЦС линкует CRL, содержащие отозванные им сертификаты. Закрытый ключ владельца сертификата может быть скомпрометирован, либо для запроса на сертификат использовалась неверная информация. CRL позволяет удалить сертификат после его выпуска. CRL доступны для загрузки и интерактивного просмотра клиентскими приложениями. Для проверки сертификада необходимы одкрыдый ключЦС и доступ к списку отзыва, опубликованного этим ЦС. Сертификаты и ЦС устраняют проблемы распространения открытых ключей и использования нескольких открытых ключей одним субъектом. Если открытый к поч ЦС не нызываез подо .pciniii. на него можно полагаться дан проверки других сертификатов. i Практикум: отзыв сертификата г Задание: птзовнте сертификат, выданный на занятии 2 Откройте оснастку Certification Authority (Центр сертификации). Щелкните правой кнопкой ваш запрос в папке Issued Certificates (Выданные сертификаты), выберите All Tasks (Все задания), а затем - команду Revoke Certificate (Отзыв сертификата). Выберите причину отзыва — Cease Of Operation. Щелкните Yes. В дереве консоли щелкните Revoked Certificates (Отозванные сертификаты). Убедитесь, что ваш запрос аннулирован (рис. 13-5). Рнс. 13-5. Ото «ванные еерзифнкаты Политика восстановления E-FS Восстановление данных EFS является частью всей политики безопасности системы. Например, даже если вы подеряеде сердификад для шифрования файлов и связанный с ним закрытый ключ (из-за отказа диска или ао ар1дои причине), агент восстановления сможет восстановить информацию. В случае увольнения сотрудника из организации зашифрованные им данные также удастся восстановить. 0 ... 105 106 107 108 109 110 111 ... 136
|