Переведено: 16 июля 2006 г.
Службы сертификации Microsoft® Windows® 2000 предоставляют потребителям встроенную инфраструктуру открытых ключей (Public Key Infrastructure, PKI), позволяющую осуществлять безопасный обмен информацией через сеть Интернет, внешние сети, а также интрасети. Службы сертификации осуществляют проверку и подтверждают подлинность каждой из сторон, участвующих в обмене электронными данными. Кроме этого они позволяют пользователям домена входить в него с помощью смарт-карт, обеспечивая тем самым дополнительную безопасность. В данной статье описываются службы сертификации Windows 2000 и развертывание инфраструктуры открытых ключей (PKI) в сети Windows 2000.
На этой странице:
Введение
Одним из важных требований для современного предприятия является защита своих внутренних коммуникаций. Информация, передаваемая по внешним каналам связи, должна быть еще более защищенной, чем та, что передается по внутренним каналам, поскольку она может быть еще более секретной
Улучшение связи между сотрудниками, поставщиками и потребителями позволяет организациям сокращать издержки, быстрее выводить продукцию на рынок и устанавливать более надежные и крепкие отношения с потребителями. Использование этих новых возможностей должно осуществляться безопасно особенно в такой потенциально враждебной среде, как Интернет, где третьи лица могут попытаться получить доступ к информации, передаваемой по этой сети, выдавая себя за других, а также попытаться помешать Вашему бизнесу. Противодействовать этим потенциальным угрозам призваны следующие три типа служб безопасности:
• | Неотрекаемости. Служба (подтверждение подлинности), которая позволяет получателю сообщения удостовериться в подлинности отправителя сообщения. |
• | Конфиденциальности. Служба, гарантирующая то, что сообщение будет прочитано только теми, кому оно предназначалось. |
• | Целостности. Служба, позволяющая получателю удостовериться, что сообщение не подвергалось изменениям после того, как было отослано отправителем. |
Службы сертификации Microsoft® Windows® 2000 позволяют Вам создать центр сертификации (CA) для управления инфраструктурой открытых ключей (PKI) Windows 2000. Центр сертификации (CA) выдает сертификаты, которые служат для подтверждения подлинности, а также подтверждения прочих атрибутов владельца сертификата другим сущностям. Инфраструктура открытых ключей (PKI) обращается к системе цифровых сертификатов (также называемых сертификатами открытого ключа) и к центру сертификации, который выполняет проверку подлинности каждой из сторон, участвующей в процессе обмена электронными данными. Тем самым она позволяет осуществлять безопасный обмен информацией в открытых сетях, таких как Интернет, других внешних сетях и интрасетях.
В первой половине этого документа описываются службы сертификации Windows 2000. Во второй описывается создание иерархии центров сертификации (CA) и развертывание служб сертификации в сети Windows 2000. Эта статья рассчитана на системных архитекторов, планирующих внедрение служб сертификации.
В Приложении A приводится дополнительная информация о создании цепочек сертификатов служб сертификации Windows 2000. В Приложении Б описана совместимость и стандарты, которых придерживаются службы сертификации Windows 2000.
Для тех, кто не знаком с принципами криптографии и работой инфраструктуры открытых ключей, рекомендуется обратиться к официальному документу «Основы криптографии и инфраструктуры открытых ключей (PKI)» (EN) ("Cryptography and PKI Basics") в сети Интернет. Для получения дополнительной информации о выявлении и устранении проблем, связанных со службами сертификации Windows 2000, включая рекомендации по оптимизации развертывания инфраструктуры открытых ключей (PKI), обратитесь к официальному документу "Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему со смарт-картой" (EN) (ссылка на данный документ дана в разделе «Дополнительная информация»).
Наверх страницы
Службы сертификации
Компонент Службы сертификации Windows 2000 представляет собой настраиваемые службы для управления сертификатами. Службы сертификации Windows 2000 можно использовать для создания центра сертификации (CA), в задачи которого входит получение запросов на сертификаты, проверка как самой информации в запросе, так и проверка подлинности того, кто подает запрос, а также выдача и отзыв сертификатов, и опубликование списка отзыва сертификатов CRL (Certificate Revocation List, CRL). При использовании служб сертификации Windows 2000 управление сертификатами осуществляется с помощью оснастки Сертификаты (Certificates).
Обзор служб сертификации Windows 2000
Службы сертификации Windows 2000 позволяют:
• | Использовать оснастки. Подавайте заявки пользователей на сертификаты центру сертификации (CA), используя оснастку Веб (Web) или Сертификаты (Certificates), в зависимости от политики, используемой центром сертификации (CA). |
• | Использовать шаблоны. Используйте шаблоны сертификата для того, чтобы упростить выбор запрашивающей стороне, когда она подает запрос на сертификат, в зависимости от политики, используемой центром сертификации (CA) . |
• | Публиковать в Active Directory. Используйте все преимущества службы каталогов Windows 2000 для публикации доверенных корневых сертификатов, выданных сертификатов и списков CRL (в лесу Windows 2000 публикация - это создание в каталоге объекта, который либо содержит информацию, которая должна быть доступна, либо ссылается на нее). |
• | Использовать смарт-карты. Пользуйтесь возможностью входа в домен на базе ОС Windows с помощью смарт-карт. |
Вы сможете ознакомиться со следующими возможностями служб сертификации Windows 2000 в подразделах, приведенных ниже:
• | Политики центра сертификации (CA) Windows 2000 |
• | Центр сертификации (CA) предприятия |
• | Изолированный центр сертификации (CA) |
• | Списки отзыва сертификата |
• | Местоположение информации центра сертификации (CA) при ее публикации в Active Directory |
• | Подача заявок через веб-страницы |
• | Распространение сертификатов центра сертификации (CA) |
• | Обновление центра сертификации (CA) |
Политики центра сертификации Windows 2000
При установке служб сертификации Windows 2000, Вы должны сделать выбор, какую из двух возможных вариантов политик центра сертификации Вы будете использовать. Каждая из политик обладает разными характеристиками при обработке запросов сертификатов, выдаче сертификатов, отзыве сертификатов и публикации списков CRL. (Политики центра сертификации (CA) никак не связаны с групповыми политиками Windows 2000. Тем не менее, групповая политика играет роль в инфраструктуре открытых ключей (PKI) Windows 2000. Для получения информации об этом, обратитесь к разделу "Распространение сертификатов центра сертификации (CA)").
Этими двумя политиками служб сертификации центра сертификации ОС Windows 2000 являются: политика предприятия и изолированная политика. Во время установки служб сертификации Вам необходимо выбрать политику, которую будет использовать центр сертификации (CA). В качестве альтернативы Вы можете установить изолированный центр сертификации (CA) и затем заменить изолированную политику на свою собственную политику.
Политика предприятия и изолированная политика отличаются способом взаимодействия с Active Directory, выполнением проверки подлинности, а также тем, используют ли они шаблоны сертификатов:
• | Политика предприятия. Центр сертификации (CA), использующий политику предприятия, далее будем называть центром сертификации (CA) предприятия: Active Directory. Центры сертификации предприятия интегрированы со службой каталогов Active Directory и зависят от ее наличия. Проверка подлинности. Центры сертификации (CA) предприятия при проверке подлинности стороны, запросившей сертификат, и сравнение маркера клиента с разграничительным списком управления доступом DACL (Discretionary Access Control List, DACL)1 включенного в шаблон сертификата и в службу, могут выступать от имени пользователя. Шаблоны сертификатов. Центры сертификации (CA) предприятия используют шаблоны сертификатов для определения того, для каких целей используются сертификаты, а также в качестве среднего значения политики подачи заявок для леса. |
• | Изолированная политика. Центр сертификации (CA), использующий изолированную политику, будем называть изолированным центром сертификации (CA): Active Directory. Изолированные центры сертификации (CA) обычно не интегрированы с Active Directory. Тем не менее, в качестве опции существует возможность использования преимуществ наличия Active Directory. Часто изолированный центр сертификации (CA) работает автономно для обеспечения высокого уровня безопасности. (Интеграция с Active Directory происходит в том случае, когда изолированный центр сертификации (CA) установлен администратором корневого домена или администратором предприятия). Проверка подлинности. Изолированные центры сертификации (CA) полагаются на административные действия для проверки подлинности запрашивающей стороны и для выдачи запрашиваемого сертификата. Шаблоны сертификатов. Изолированные центры сертификации (CA) не используют шаблоны сертификатов. |
В сети Windows 2000, установка как центра сертификации (CA) предприятия, так и изолированного центра сертификации (CA) администратором корневого домена или администратором предприятия приводит к созданию объектов CA и CRL в Active Directory. Поэтому в обоих случаях большая часть процесса построения цепочек сертификатов и проверки отзыва сертификатов осуществляется с помощью LDAP-запросов 2 к Active Directory.
Кроме этого, установка корневых центров сертификации (CA) (как изолированного, так и предприятия) администратором корневого домена или администратором предприятия, автоматически приводит к добавлению корневого сертификата в Active Directory, а все клиенты Windows 2000 в сети предприятия автоматически получают копии сертификатов этих центров сертификации (CA).
Как центр сертификации (CA) предприятия, так и изолированный центр сертификации (CA) могут выпускать сертификаты, предназначенные для цифровых подписей, безопасной электронной почты, использующей S/MIME3, и для прохождения проверки подлинности на безопасных веб-серверах с помощью SSL4 (Secure Sockets Layer, SSL) или TLS5 (Transport Layer Security, TLS). Кроме этого центры сертификации (CA) предприятия могут выпускать сертификаты для входа в домен Windows 2000 с помощью смарт-карт. Центр сертификации (CA) предприятия может также выпускать сертификаты, которые могут использоваться для проверки подлинности пользователя на сервере Microsoft IIS (Internet Information Services, IIS) в лесу.
Примечание. Все сертификаты для входа со смарт-картой и сертификаты агента подачи заявок должны быть выпущены центром сертификации (CA) предприятия. Это требование должно выполняться из-за дополнительной безопасности, обеспечиваемой центрами сертификации при проверке подлинности стороны, запрашивающей сертификаты. Если Вам необходимо использовать такую функциональность в Вашем предприятии, то Вам следует установить центр сертификации (CA) предприятия в Вашей иерархии центров сертификации инфраструктуры открытых ключей. Центры сертификации (CA) предприятия и изолированные центры сертификации (CA) описываются более детально в следующих двух подразделах.
Центр сертификации предприятия
Для установки центра сертификации (CA) предприятия необходимо выбрать политику центра сертификации предприятия во время установки служб сертификации Windows 2000. Центр сертификации предприятия Windows 2000 имеет самую простую административную модель с самыми низкими расходами в пересчете на один сертификат. Для минимизации административной нагрузки, связанной с выпуском сертификатов, и обеспечения встроенной единой точки управления, центр сертификации (CA) предприятия работает совместно со следующими двумя службами Windows 2000:
• | Active Directory. Центр сертификации (CA) предприятия использует Active Directory в качестве регистрационной базы данных. Создание пользователя в домене Windows 2000 автоматически приведет к регистрации пользователя во всех центрах сертификации (CA) предприятия в лесу. Это позволит пользователям, обладающим соответствующими правами, запрашивать сертификаты у любого центра сертификации (CA) предприятия. Центры сертификации (CA) предприятия используют информацию, опубликованную в Active Directory при заполнении данных в сертификате. |
• | Модель безопасности Windows 2000. Центр сертификации (CA) предприятия использует службы безопасности Windows 2000 для идентификации пользователя запрашивающего сертификат и для проверки его полномочий, основанной на его членстве в группах Windows 2000. |
В следующих трех разделах будут описаны такие особенности центров сертификации (CA) предприятия:
• | Шаблоны сертификатов центра сертификации (CA) предприятия |
• | Подача заявки центру сертификации (CA) предприятия |
• | Модель безопасности центра сертификации (CA) |
Шаблоны сертификатов центра сертификации предприятия
Центры сертификации (CA) предприятия Windows 2000 используют шаблоны сертификатов для контроля содержимого выдаваемых сертификатов. Эти шаблоны определяют информацию, записываемую в сертификат, расширения сертификатов и происхождение информации. Они также упрощают использование и управление центром сертификации, скрывая технические детали содержимого сертификата. Windows 2000 поставляется с широким набором шаблонов, которые опубликованы в Active Directory и являются глобальными для всего леса Windows 2000.
Существует два типа шаблонов:
• | Специализированные шаблоны, которые создают сертификаты, использовать которые можно только для одного приложения. Например, шаблон сертификата входа со смарт-картой (Smart Card Logon Certificate Template), который используется специально для входа со смарт-картой. В качестве другого примера можно привести шаблон для файловой системы EFS (Encrypting File System, EFS)6 или шаблон для S/MIME. |
• | Многоцелевые шаблоны. Они создают сертификаты, предназначенные для использования в нескольких приложений, например, SSL, S/MIME и EFS. Существуют шаблоны и для компьютеров и для пользователей, для использования в SSL-серверах или в центрах распространения ключей KDC (Key Distribution Centers, KDC)7. |
Подача заявок центру сертификации (CA) предприятия
Ниже описывается процесс подачи заявок пользователей и компьютеров центру сертификации (CA) предприятия:
• | Проверка подлинности пользователя доменом. Центр сертификации (CA) предприятия использует проверку подлинности домена для идентификации пользователя, т.е. он использует персональный маркер доступа пользователя Windows 2000 для подтверждения его подлинности. Это означает, что если пользователь вошел в домен Windows 2000 и запросил сертификат у центра сертификации (CA) предприятия, то Active Directory выполнит идентификацию пользователя для центра сертификации (CA) предприятия. Все запросы сертификатов обрабатываются центром сертификации (CA) от имени пользователя для получения правильного контекста безопасности8. Это позволяет модулю политики (политики центра сертификации) назначать права доступа пользователя к шаблону и к центру сертификации (CA). Модуль политики также может найти пользователя в Active Directory. |
• | Автоматическая подача заявки компьютером. Центр сертификации (CA) предприятия использует проверку подлинности домена для идентификации компьютера, т.е. он использует системный маркер доступа компьютера Windows 2000 в качестве доказательства его подлинности. Автоматическая подача заявки компьютером, активируемая с помощью службы групповой политики Windows 2000, является механизмом, с помощью которого компьютеры автоматически получают сертификаты. Вы используете групповую политику для определения шаблонов, которые можно применять к компьютеру. В начале загрузки список сертификатов (расположенный в Моем (MY) хранилище сертификатов локального компьютера) и доступный компьютеру сравнивается с шаблонами, примененными групповой политикой. Если компьютер не имеет сертификат для каждого соответствующего шаблона, то компьютер будет подавать заявки центру сертификации (CA) предприятия в лесу для получения сертификата этого шаблона. |
Модель безопасности центра сертификации (CA) предприятия
Глобальная в пределах леса модель безопасности центра сертификации (CA) предприятия, управляется списками DACL объектов Active Directory. Списки DACL управляют следующими аспектами:
• | Кто в предприятии может подавать заявку на сертификат. |
• | На какие типы сертификатов они могут подавать заявку. |
• | В какой центр сертификации (CA) предприятия они могут подавать запрос на сертификат. |
Центры сертификации содержат списки DACL для определения пользователей, которым разрешено подавать заявки. В шаблонах сертификатов в Active Directory имеется список DACL, в котором указаны пользователи, которые могут подавать заявку на сертификаты с помощью шаблонов. В центрах сертификации (CA) предприятия также имеется список шаблонов, которые они могут использовать для обработки запросов.
Для того, чтобы пользователь мог подать заявку на сертификат в центр сертификации (CA) предприятия, должны выполниться следующие три условия:
• | Пользователь должен состоять в группе, у которой есть права на использование шаблона, опубликованного в Active Directory. |
• | Пользователь должен состоять в группе, у которой есть права на использование центра сертификации (CA) предприятия. |
• | Центр сертификации (CA) предприятия должен быть настроен на выдачу шаблона, запрашиваемого пользователем. |
В центре сертификации (CA) предприятия также имеется список DACL, который используется для управления администрированием центра сертификации. Административные задачи по управлению центром сертификации (CA) предприятия включают в себя:
• | Отзыв сертификатов. |
• | Изменение периода публикации списка CRL, заданного по умолчанию. |
• | Изменение списка точек распространения списков отзыва (списка CDP - CRL Distribution Point), опубликованного в сертификатах центром сертификации (CA) предприятия. CDP являются элементами каталога или другими источниками распространения для списков CRL. |
• | Изменение списка доступа к информации о размещении центров сертификации (списка AIA - Authority Information Acces) опубликованного в сертификате центром сертификации (CA) предприятия. Адреса AIA представляют собой унифицированные указатели местоположения ресурса (uniform resource locators, URL), которые однозначно определяют местонахождение в Интернет. В сертификатах, которые выдает центр сертификации (CA), адреса AIA предоставляют проверяющей стороне информацию о том, где можно получить сертификат центра сертификации (CA). Адреса AIA могут быть URL следующих типов: HTTP, FTP, LDAP или ссылкой на файл. |
• | Влючение или выключение публикации сертификатов в Active Directory. |
• | Обновление центра сертификации (CA) предприятия. |
• | Изменение списков DACL в центре сертификации (CA) предприятия. |
• | Изменение списка шаблонов сертификатов, используемых центром сертификации (CA) предприятия. |
Изолированный центр сертификации
Для установки изолированного центра сертификации (CA) необходимо выбрать политику изолированного центра сертификации (CA) во время установки службы сертификации Windows 2000. Изолированный центр сертификации (CA) Windows 2000, как понятно из его названия, может работать независимо от Active Directory и других компонентов леса Windows 2000. Вы можете установить изолированный центр сертификации (CA) на сервер, работающий под управлением ОС Windows 2000 в домене Windows NT® 4.0 точно так же, как и в лесу Windows 2000.
При запросе сертификата сторона, запрашивающая сертификат у изолированного центра сертификации, должна указать полную идентифицирующую информацию о себе и о типе сертификата, который она запрашивает (в отличие от запроса к центру сертификации (CA) предприятия, в случае которого информация о пользователе уже присутствует в Active Directory а тип сертификата описывается шаблоном сертификата). По умолчанию, все запросы, отсылаемые к изолированному центру сертификации, переводятся в состояние ожидания до тех пор, пока администратор изолированного центра сертификации (с помощью оснастки Центр сертификации (CA)) не выполнит проверку подлинности запрашивающей стороны и не одобрит запрос. Кроме этого, администратор (или пользователь) должны явно перенести сертификат изолированного центра сертификации в корневое хранилище для того, чтобы пользователи домена могли ему доверять.
Изолированный центр сертификации не может выдавать сертификаты для входа в домен Windows 2000 с помощью смарт-карт. Тем не менее, другие типы сертификатов могут выпускаться и храниться на смарт-карте.
Примечание. Изолированный центр сертификации (CA) не всегда работает независимо от Active Directory. Если администратор корневого домена устанавливает изолированный центр сертификации (CA) в лесу Windows 2000, то изолированный центр сертификации (CA) будет иметь возможность пользоваться всеми преимуществами Active Directory и публикации объектов CA и CRL.
Списки отзыва сертификатов
Список отзыва сертификатов (список CRL) обслуживается центром сертификации (CA). В нем хранятся серийные номера отозванных сертификатов. Центры сертификации (CA) предприятия Windows 2000 публикуют списки CRL в Active Directory. Изолированный центр сертификации (CA) будет публиковать списки CRL в Active Directory только в том случае, если он был установлен администратором предприятия. Вы можете изменить расписание публикации списков CRL (минимальный период публикации – один час).
Поскольку репликация9 Active Directory занимает некоторое время, то список CRL действуют дольше, чем интервал публикации. Срок действия списка CRL на 10 процентов больше, чем длительность периода публикации, и может максимально достигать 12 часов. Если заданного по умолчанию для репликации каталога времени недостаточно, то, редактируя реестр, Вы можете указать время, на которое увеличится срок действия списка CRL. Центр сертификации (CA) предприятия вставляет единый идентификатор ресурса (URI)10 в расширение сертификата, известное также, как расширение CDP. Также можно публиковать списки CRL в других местах с помощью HTTP, FTP или сслыки на файл.
Как только произойдет обновление Active Directory после новой публикации списка CRL, путем репликации изменения будут внесены во все контроллеры домена в лесу. Время, затрачиваемое на репликацию, зависит от пропускной способности сети и расписания репликации:
• | Внутрисайтовая репликация. Наличие одного сайта Windows 2000 и LAN-соединения между всеми контроллерами домена позволяют провести внутрисайтовую репликацию в течение нескольких минут. |
• | Межсайтовая репликация. Наличие двух и более сайтов Windows 2000, использующих WAN-соединение, приводит к тому, что репликация между ними занимает больше времени, чем в пределах одного сайта. В зависимости от имеющейся топологии межсайтовой репликации возможна ситуация, когда обновление должно производиться через несколько сайтов, что приводит к дополнительным задержкам. Чтобы компенсировать эти задержки срок действия списка CRL увеличивается. Как было сказано выше, для выполнения репликации, к сроку действия списка CRL по умолчанию добавляется 10 процентов времени от длительности периода публикации (и может максимально доходить до 12 часов). Например, для центра сертификации (CA) период публикации указан в 24 часа, т.е. каждые 24 часа он будет публиковать новые списки CRL. С учетом добавленного времени реальное значение будет составлять приблизительно 26.4 часа (сюда также включено время на синхронизацию). |
Местоположение информации центра сертификации (CA) при ее публикации в Active Directory
Различная информация инфраструктуры открытых ключей (PKI) должна быть широко доступна. В Windows 2000, эта информация публикуется в Active Directory. Опубликованные данные содержат информацию о:
• | Сертификатах пользователей - для приложений, использующих асинхронный обмен данными таких, как S/MIME и EFS. |
• | Сертификатах центра сертификации (CA) - для построения цепочки сертификатов к доверенному корневому центру. |
• | Списках CRL - для возможности проверки статуса (смотрите также предыдущий подраздел). |
В Active Directory центр сертификации (CA) предприятия может публиковать сертификаты для пользователей, сертификаты для центров сертификации (CA) и списки CRL.
Для особых типов данных в Active Directory есть три раздела каталогов: данные домена (domain data directory partition), данные конфигурации (configuration data directory partition), данные схемы (schema data directory partition). Раздел каталога данные домена (domain data directory partition) содержит все объекты в каталоге для данного домена. В каждом домене данные домена реплицируются на каждый контроллер этого домена (репликация на контроллеры других доменов не происходит). Раздел каталога данные конфигурации (configuration data directory partition) содержит топологию репликации и связанные метаданные. Приложения, использующие в своей работе Active Directory, хранят информацию в этом разделе. Эти данные являются общими для всех доменов в доменном дереве или леса. Данные конфигурации реплицируются на все контроллеры домена в лесу. Раздел каталога данные схемы (schema data directory partition) содержит все типы объектов (и их атрибуты), которые могут создаваться в Active Directory. Эти данные являются общими для всех доменов в доменном дереве или леса. Данные схемы реплицируются на все контроллеры домена в лесу.
Глобальный каталог ОС Windows 2000, играет важную роль во время входа пользователей в систему (для домена, работающего только в основном режиме) и в создании запросов. Он является базой данных, которая хранится на одном или нескольких контроллерах домена. В том случае, если контроллер домена также является и глобальным каталогом, то кроме трех разделов каталога: данных домена, данных конфигурации, данных схемы, он также хранит и реплицирует четвертую категорию информацию – частичную реплику (partial replica) раздела каталога данных домена для всех доменов. Эта частичная реплика содержит подмножество свойств всех объектов для всех доменов в лесу, которые реплицируются на все контроллеры домена в лесу.
Сертификаты пользователей публикуются в объекте пользователя (User) в разделе каталога данные домена (domain data directory partition). Сертификаты пользователя также реплицируются в глобальный каталог Windows 2000 для обеспечения доступа к сертификату через лес.
Сертификаты центра сертификации (CA) опубликованы в объекте CertificationAuthority, а списки CRL - в объекте CRLDistributionPoint в Active Directory. Чтобы гарантировать возможность построения цепочки центров сертификации (СА) и доступности информации о состоянии отзыва независимо от структуры домена, эти объекты публикуются в разделе домена данные конфигурации (configuration data directory partition), содержимое которого реплицировано во всем лесу. Точки CDP и указатели AIA в сертификатах организованы таким образом, что они работают независимо от того, к какому домену принадлежит контроллер домена в лесу.
Подача заявок через веб-страницы
В состав центров сертификации (CA) Windows 2000 входит веб-клиент, являющийся дополнительным компонентом. Он по умолчанию устанавливается в каждый центр сертификации (СА). Вы также можете установить его на любой отдельный сервер Windows 2000 в лесу, на котором работает IIS.
Каждый тип центра сертификации (CA) Windows 2000 имеет отдельный веб-клиент. Веб-клиенты позволяют центрам сертификации (СА) Windows 2000 поддерживать конечных пользователей, использующих различные веб-обозреватели и работающих в разных ОС, позволяя им подавать заявки в центр сертификации (CA) Windows 2000. Это означает, что Вы можете развернуть службу подачи заявок через веб-страницы для поддержки других систем (не Windows 2000) отдельно от центра сертификации (CA). У центра сертификации (CA) может быть любое количество веб-клиентов, тем самым Вы можете, например, использовать один центр сертификации (CA) для поддержки нескольких языков, т.е. можете установить французский или китайский веб-клиент и использовать для них одну службу сертификации.
Распространение сертификатов центра сертификации (CA)
В сети Windows 2000, существуют следующие три механизма распространения сертификатов центра сертификации (CA) на компьютеры, работающие под управлением ОС Windows 2000:
• | Корневое хранилище сертификатов предприятия. Корневое хранилище сертификатов предприятия находится в Active Directory. Когда администратор домена устанавливает корневой центр сертификации (CA) Windows 2000 (как предприятия, так и изолированный) в лесу, то в процессе установки обновляется корневое хранилище предприятия, путем внесения новых сертификатов. Кроме этого, администраторы могут использовать средство DSStore из комплекта Windows 2000 Resource Kit для добавления сертификатов изолированного центра сертификации (CA) в хранилище сертификатов. Когда компьютер предприятия загружается, содержимое корневого хранилища сертификатов предприятия копируется на него и затем обновляется каждые восемь часов. С помощью этого простого механизма осуществляется распространение сертификатов на все компьютеры в лесу. |
• | Групповая политика Windows 2000. Вы можете также использовать возможности групповой политики Windows 2000 для распространения любых сертификатов центра сертификации (CA) в группе компьютеров в пределах леса. В случае использования внешнего центра сертификации (CA), которому должна доверять лишь определенная группа пользователей или компьютеров в лесу, но не все предприятие в целом (например, такое возможно при использовании приложений электронной коммерции), то для этих целей к таким компьютерам Вы можете применить соответствующие настройки групповой политики. |
• | Распространение сертификатов клиентам нижних уровней. Когда клиенты нижних уровней подают заявку центру сертификации (CA) Windows 2000 с помощью веб-клиента, то в ответ на запрос сертификата от центра сертификации (CA) клиенту будет загружена полная цепочка сертификатов (включая корневые сертификаты). |
Обновление центра сертификации (CA)
Все сертификаты имеют ограниченный срок действия. Конечные объекты (пользователи) могут просто запросить другой сертификат. Однако, для центров сертификации (СА) проблема является более серьезной, поскольку другие стороны используют в своей работе их сертификаты, т.е. центры сертификации (CA) являются частью цепочки сертификатов. Кроме того, срок действия центра сертификации (CA) должен быть больше, чем срок действия сертификата, который выдает этот центр сертификации (CA). Поэтому важно, чтобы центр сертификации (CA) был способен обновлять свои сертификаты для того, чтобы они были действительными. В следующих трех подразделах описываются следующие аспекты относительно обновления центра сертификации (CA), которые необходимо Вам рассмотреть:
• | Срок действия центра сертификации и выдаваемых им сертификатов |
• | Сертификаты корневого центра сертификации (CA) |
• | Центры сертификации (CA), выдающие сертификаты конечным пользователям и компьютерам |
Срок действия центра сертификации и выдаваемых им сертификатов
Центры сертификации (CA) Windows 2000 при выпуске сертификатов придерживаются определенного правила. В соответствии с этим правилом, когда центр сертификации (CA) выпускает сертификат, он гарантирует, что срок действия нового сертификата не будет превышать срок действия собственного сертификата центра сертификации (CA). Если собственный сертификат центра сертификации (CA) действителен в течение 6 месяцев, то максимальный срок действия нового сертификата, который выпустит этот центр сертификации (CA) также будет равен 6 месяцам. Это гарантирует то, что когда срок действия сертификата центра сертификации (CA) истечет, сроки действия всех сертификатов, которые выпустил данный центр сертификации (CA) также истекут. В случае, если необходимо, чтобы центр сертификации (CA) выдавал сертификаты сроком на 1 год, а его собственный сертификат при этом действителен только на 1 год или менее одного года, то необходимо будет каждый раз обновлять центр сертификации (CA), для того, чтобы он мог выпускать новые сертификаты сроком на 1 год.
Сертификаты корневого центра сертификации (CA)
Корневой центр сертификации (CA) (который, вероятно, является автономным центром сертификации (СА)) должен иметь надежный сертификат. Из-за высокой стоимости распространения, может возникнуть желание просто создать очень большой ключ и установить очень большой срок действия сертификата. Слабая сторона этого подхода в том, что чем дольше сертификат является действительным, тем больше неуверенность в его надежности, что обуславливается постоянными развитиями в технологиях, особенно в криптоанализе.
Существует альтернатива созданию очень большого ключа и выпуска сертификата с этим ключом с длительным сроком действия. Если у корневого центра сертификации (CA) есть два сертификата с одинаковыми именем владельца и ключом, но с различными сроками действия, то приложения могут использовать любой из них для проверки сертификатов, выпущенных центром сертификации (CA). Это упрощает требования к распространению сертификатов. Если центр сертификации (CA) для своего обновления использует тот же ключ, что и раньше, то нет необходимости всем зависящим сторонам предварительно получать новый сертификат для проверки сертификатов подписанных этим новым сертификатом. Распространение нового корневого сертификата может происходить в любое время после того, как сертификат был создан и особенно после того, как новый корневой сертификат использовался для выпуска новых сертификатов.
Работа администратора успроститься, если ему не придется постоянно гадать о сроках действия сертификатов. Этого можно добиться путем создания ключа большой длины, который, к тому же, будет иметь длительный срок действия, а затем созданием сертификатов, у которых срок действия будет меньше чем срок действия ключа. Например, создайте RSA ключ длиной 4096-бит (с приблизительным сроком действия 20 лет) и используйте его для создания сертификатов, срок действия которых будет составлять 5 лет. Сертификат может обновляться тем же ключом каждые 4 года, при этом срок действия его будет равен тем же 5 годам. Ключ может использоваться в течение 20 лет, но при каждом обновлении сертификата администратору придется определять, можно ли будет текущий ключ безопасно использовать в течение следующих пяти лет.
Центры сертификации (CA), выдающие сертификаты конечным пользователям и компьютерам
Центры сертификации (CA), выдающие сертификаты конечным пользователям и компьютерам, сталкиваются с задачами, отличными от тех, что были рассмотрены ранее для центров сертификации (CA), выдающих сертификаты для корневого центра сертификации (CA). Подход к обновлению также отличается. Эти центры сертификации (CA) обрабатывают запросы сертификатов, поступившие от пользователей, и публикуют состояние отзыва сертификата. Отзыв конечных сертификатов происходит чаще, чем отзыв сертификата центра сертификации (CA). Это означает, что срок действия ключей значительно короче, а количество сертификатов, которыми необходимо управлять, значительно выше. При этом у центра сертификации (CA), выдающего конечные сертификаты, количество отозванных сертификатов значительно выше, чем у центра сертификации (CA), который выпускает сертификаты только для центров сертификации (СА).
Рекомендуется часто обновлять сертификат центра сертификации (CA) новым ключом. Тем самым атака злоумышленника на ключ принесет ему меньше пользы и причинит меньше вреда атакуемому. При создании нового ключа также создается новая точка CDP. Это гарантирует то, что ключ, используемый для подписания сертификата, также соответствует ключу, используемому для подписания списка CRL. Создание дополнительных точек CDP означает, что вместо одного большого списка CRL создано множество маленьких списков CRL, что приводит к сокращению времени загрузки индивидуальных списков CRL. (Такой процесс создания большого количества маленьких списков CRL вместо одного большого известен как разделение списка CRL). Клиенты (как компьютеры, так и пользователи) могут определить, правильный ли у них список CRL, путем проверки подписи списка CRL. Такая проверка обеспечивает большую надежность при работе с другими клиентами.
Связанные вопросы
В данном разделе описаны следующие темы, связанные со службами сертификации Windows 2000:
• | Экспортные правила |
• | Сертификаты SGC |
• | Поддержка CSP сторонних производителей |
Экспортные правила
Существует всеобщее заблуждение о том, что любая продукция, связанная с криптографией подпадает под действие контроля над экспортом. На самом деле экспортные ограничения действуют только для составляющих, которые непосредственно задействованы в процессе шифрования. Такими составляющими являются алгоритмы симметричного шифрования и технологии открытых ключей, которые используются при обмене ключами во время сеанса симметричного шифрования.
Технология цифровой подписи открытым ключом не подпадает под действия экспортного ограничения, поскольку данные, которые подписываются, не являются зашифрованными. Вся продукция корпорации Microsoft способна создавать открытые ключи для подписи одинаковой сложности. Тем не менее, все-таки существует различие в сложности открытых ключей, используемых при обмене между продукцией Microsoft, которая идет на экспорт, и которая подпадает под действие экспортного контроля. Благодаря недавно принятым новым экспортным правилам различие между разными версиями продукции теперь намного меньше, чем прежде.
Службы сертификации Windows 2000 выполняют только операции подписания и, следовательно, используют только пары открытых ключей для подписи. Открытые ключи, которые используются для подписания сертификатов, обладают одинаковой сложностью, как в версии Windows 2000, выпускаемой для Северной Америки, так и для версий Windows 2000 идущих на экспорт. Генерирование ключа владельца осуществляется на стороне клиента, а не на стороне центра сертификации (CA). Поэтому центр сертификации (CA) Windows 2000 поддерживает как разрешенные для экспорта клиенты, так и те, в отношении которых действуют экспортные ограничения.
Сертификаты SGC
Серверное шифрование SGC (Server Gated Cryptography, SGC) является частью ОС Windows 2000 (SGC также входит в состав ОС Windows 95, Windows 98 и Windows NT). Шифрование SGC обеспечивает стойкое 128-битное шифрование для использования в сфере сетевых банковских услуг (online banking), а также других предназначенных для этого случаях, при этом оно взаимодействует со всеми реализациями SGC ведущих производителей. Шифрование SGC гарантирует, что информация, которой обмениваются две стороны, может быть прочитана только ими, и не может быть изменена без их ведома.
SGC представляет собой расширение протокола SSL (SSL - Secure Sockets Layer). Протокол SSL является широко используемым решением для установки безопасного соединения с веб-сайтом. Например, Microsoft IIS для соединения TCP/IP предоставляет протокол SSL, обеспечивающий шифрование данных, проверку подлинности сервера и целостность сообщения.
Безопасная процедура установления связи SSL инициирует установление TCP/IP соединения. Результатом процедуры установления связи является согласование между клиентом и сервером уровня безопасности, который они будут использовать, чтобы для соединения были соблюдены все требования аутентификации. После чего, SSL используется только для шифрования и расшифровки потока байт протокола, который используется приложением (например, HTTP). Это означает, что как вся запрашиваемая по протоколу HTTP информация, так и получаемая по протоколу HTTP информация будет полностью зашифрованной, включая URL-ссылку, к которой обращается клиент, любые данные, введенные в специальные формы (такие как номера кредитных карт), любая информация для авторизации по HTTP (имена пользователей и пароли), и все данные, возвращаемые сервером клиенту.
Различие между SSL и SGC состоит в том, что SGC используется только в строго ограниченных целях—в основном для защиты банковской информации. Результатом этого стало то, что, экспортный закон США, который в других случаях запрещает экспорт продукции стойкого шифрования, разрешил использование стойкого шифрования SGC в большей части стран11. Поскольку c другой стороны SSL может использоваться для любых целей, то экспортным законом США определено наличие двух версий продукции: версия для Северной Америки, в которой использовались бы криптографические ключи длиной в 128-бит, и международная версия, в которой использовались бы криптографические ключи длиной 40-бит.
На одном компьютере Вы можете использовать как SGC, так и SSL. Цифровые сертификаты для SSL и SGC не являются взаимозаменяемыми. Сертификат SGC может функционировать как сертификат SSL, но не наоборот. Это означает, что для того, чтобы можно было использовать стойкое шифрование, и у банка и у клиента должны быть установлены сертификаты SGC. Если это условие не выполняется, то сессия сводится к обычной SSL-сессии.
При создании Интернет-сервера авторизованного зарубежного банка, вместо обычного сертификата сервера устанавливается сертификат SGC. Серверная часть безопасного канала (schannel12 ) определяет, что это сертификат SGC и включает 128-битное шифрование SSL. После того, как этот сертификат будет переслан клиенту (что является частью процедуры установления связи по SSL), клиентская часть schannel также определит его наличие и обеспечит 128-битное шифрование SSL для этого соединения. (Для того, чтобы это работало не требуется, чтобы у сервера или у клиента была внутренняя версия schannel).
Сертификаты SGC обладают двумя характеристиками:
• | В сертификате SGC есть специальное поле EKU расширенного использования ключа (EKU - extended key usage). |
• | Сертификаты SGC выдаются специальными авторизованными центрами сертификации (CA) |
Если необходимо, чтобы в сертификате SGC было действительным только специальное поле EKU, то в этом случае любой центр сертификации (CA) может выдать сертификат SGC. Несмотря на то, что любой центр сертификации (CA), включая центр сертификации служб сертификации Windows 2000, может создать сертификат со специальным полем EKU, будет действительно работать только сертификат, выданный авторизованным центром сертификации (СА).
Поддержка CSP сторонних производителей
ОС Windows 2000 и службы сертификации Windows 2000 поддерживают использование CSP (CSP - cryptographic service providers) сторонних производителей. CSP представляет собой программу, установленную на Ваш компьютер (или на устройство, к которому компьютер имеет доступ), которая выполняет связанные с криптографией операции, такие как обмен секретными ключами, цифровая подпись данных и аутентификация с помощью открытых ключей. По умолчанию как для корневого центра сертификации (CA) предприятия, так и для корневого изолированного центра сертификации (CA) используется CSP корпорации Microsoft - Microsoft Base Cryptographic Provider.
На алгоритмы, используемые в CSP, не накладываются никакие ограничения действующих экспортных правил США. Кроме того, нет никаких требований, которые бы предписывали, что все CSP должны работать по одному принципу. Некоторые CSP разрабатываются для конечных пользователей (как в случае с CSP для смарт-карт), а другие – для серверных операций (как в случае с криптографическими ускорителями для PCI и SCSI).
Наверх страницы