Центры сертификации

Инфраструктура открытых ключей (PKI) – это система цифровых сертификатов, центров сертификации и центров регистрации, которые проверяют и подтверждают подлинность каждого объекта, участвующего в электронной транзакции с использованием криптографии с открытыми ключами. Стандарты для PKI все еще развиваются, несмотря на то, что они широко реализованы как необходимый элемент электронной торговли.

Можно использовать службы сертификатов Active Directory для создания одного или нескольких центров сертификации, которые будут получать запросы на сертификаты, проверять данные запросов, идентифицировать запрашивающую сторону, выдавать сертификаты, отзывать сертификаты и публиковать данные об отзывах сертификатов.

С помощью этих служб также можно выполнять указанные ниже действия:

• Настраивать регистрацию сертификатов через Интернет, службу регистрации сетевых устройств и службу сетевого ответчика.
• Управлять регистрацией сертификатов и их отзывами для пользователей, компьютеров, служб и сетевых устройств, таких как маршрутизаторы.
• Использовать групповую политику для передачи сертификатов и управления ими.

Служба сертификации Active Directory (AD CS) в Windows Server 2008

Windows Server 2008 содержит встроенный центр сертификации (CA), называемый службой сертификации Active Directory (Active Directory Certificate Services — AD CS). До Windows Server 2008 эта технология называлась просто службой сертификации (Certificate Services).

AD CS может использоваться для создания сертификатов и последующего управления ими и отвечает за обеспечение их подлинности. Зачастую AD CS в Windows Server 2008 используется без особой необходимости проверки сертификатов организации какой-либо независимой стороной. Поэтому если сертификаты требуются только для участников внутри организации, часто применяется развертывание самостоятельного CA для шифрования сетевого трафика.

Широко используются и сторонние центры сертификации наподобие VeriSign, но они требуют дополнительного вложения средств. Хотя в новом названии службы сертификации Windows упоминается Active Directory, следует понимать, что для работы AD CS совсем не требуется интеграция с существующей средой леса доменной службы Active Directory (Active Directory Domain Services (AD DS). Обычно это все же так, но важно понимать, что AD CS не зависит от структуры леса AD DS.

Обзор центров сертификации AD CS

В AD CS AD CS для Windows Server 2008 можно установить в виде центра сертификации одного из перечисленных ниже типов.

Головной центр сертификации предприятия. Головной CA предприятия является наиболее доверяемым CA в организации и должен быть установлен раньше всех остальных CA. Все остальные CA являются подчиненными по отношению к головному CA предприятия. Защите этого CA следует уделить самое пристальное внимание, т.к. компрометация CA предприятия означает компрометацию всей цепочки центров сертификации.

Подчиненный центр сертификации предприятия. Подчиненный CA предприятия должен получить сертификат от головного CA предприятия, но после этого может выдавать сертификаты всем пользователям и компьютерам предприятия. Часто CA этого типа используются для снятия части нагрузки с головного CA предприятия.

Самостоятельный головной центр сертификации. Самостоятельный головной CA служит вершиной иерархии, не связанной с информацией домена предприятия. В специальных случаях можно создать несколько самостоятельных CA. Самостоятельный подчиненный центр сертификации. Самостоятельные подчиненные CA получают свои сертификаты от самостоятельного головного CA, и затем могут использоваться для распространения сертификатов пользователям и компьютерам, связанным с этим самостоятельным CA.

Принятие решений по структуре AD CS — задача нетривиальная, и к ней не следует подходить легкомысленно. Простое забрасывание AD CS на сервер в качестве CA предприятия и ее запуск — далеко не лучший подход с точки зрения безопасности, поскольку компрометация такого сервера может обернуться катастрофой. Поэтому, прежде чем приступить к развертыванию AD CS, важно тщательно обдумать ее структуру.

Например, одной из лучших тактик является развертывание CA предприятия, затем нескольких подчиненных CA, а затем физическое отключение головного CA и помещение в очень защищенное место, чтобы включать его, только если требуется обновление сертификатов подчиненных CA.

Эти соображения делают CA предприятия хорошим кандидатом на виртуализацию сервера Windows.

Службы ролей AD CS

AD CS состоит из нескольких служб ролей, который выполняют для клиентов различные задачи. При необходимости одну или несколько этих ролей можно инсталлировать на сервере. Вот эти службы:

Центр сертификации. Данная служба инсталлирует базовый компонент CA, позволяющий серверу издавать и отзывать сертификатами для клиентов и управлять ими. Эту роль можно инсталлировать на нескольких серверах в цепочке одного и того же корневого CA.

 Web-включение центра сертификации. Данная служба управляет распространением сертификатов клиентам через Internet. Для ее работы нужно, чтобы на сервере была инсталлирована служба информации Internet (Internet Information Services — IIS).

 Онлайновый ответчик. Данная служба отвечает на запросы индивидуальных клиентов по поводу проверки конкретных сертификатов. Она применяется для сложных или больших сетей, которые должны выдерживать интенсивные периоды активности по отзыву или загрузку больших списков отзывов сертификатов (Certificate Revocation List — CRL).

 Служба включения сетевых устройств. Данная служба упрощает получение сертификатов сетевыми устройствами наподобие маршрутизаторов.