Службы сертификации Windows 2000

Проектирование инфраструктуры открытых ключей (PKI) и ее развертывание в Windows 2000

В данном разделе описываются проблемы, связанные с организацией и развертыванием служб сертификации Windows 2000. В разделе представлены следующие две темы:

Для получения детальной информации об устранении проблем с развертыванием обратитесь также к разделу «Оптимизация развертывания инфраструктуры открытых ключей (PKI)» ("Optimizing PKI Deployment") официального документа «Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт» (EN) (ссылка на данный документ дана в разделе "Дополнительная информация").

Проектирование иерархии центров сертификации (СА)

При проектировании иерархии центров сертификации (СА) вначале необходимо определить количество центров сертификации (СА) и их расположение. В данном разделе описываются общие принципы построения иерархии центров сертификации (СА) в Вашей организации. Информация представлена в следующих темах:

Емкость базы данных центра сертификации (CA)

Microsoft провела тестирование серверов, на которых были запущены службы сертификации Windows 2000 с базами данных, количество сертификатов в которых превышало один миллион. В течение длительного времени обычный пользователь использует несколько сертификатов в зависимости от используемых приложений, срока действия сертификатов и т.д.

Принято считать, что один центр сертификации (CA) Windows 2000 рассчитан на поддержку 250,000 пользователей. Нет никаких практических ограничений на общее количество серверов со службами сертификации, которые может поддерживать лес Windows 2000. Следовательно, службы сертификации Windows 2000 могут поддерживать любое количество пользователей в лесу Windows 2000.

Даже при такой емкости, хранилище базы данных, используемое службами сертификации работает с частью своей известной емкости хранения, а количество сертификатов, поддерживаемых одним центром сертификации (СА) в следующих выпусках ОС Windows 2000 Server будет значительно увеличено.

Сетевое соединение

Клиентам Windows 2000 или веб-клиентам для подачи заявки на сертификат центру сертификации (CA) Windows 2000 требуется наличие DCOM соединения. (DCOM представляет собой средство передачи сообщений, с помощью которого распределенные приложения могут осуществлять вызов процедур, доступных на компьютерах в сети). Для того, чтобы пользователи могли использовать веб-клиент для подачи заявок на сертификат, необходимо наличие веб-соединения между пользователями и сервером IIS, и DCOM соединения между сервером IIS и центром сертификации (СА).

Делегирование административных полномочий

Если административная модель Вашей организации является высоко децентрализованной, то Вы можете отразить эту децентрализацию в иерархии центров сертификации (СА). Кроме того, иерархия центров сертификации (СА) может охватывать несколько лесов Windows 2000: подчиненный центр сертификации (CA) может находиться в том же домене, что и родительский, в дочернем по отношению к родительскому домену, или в домене отдельного леса. После создания подчиненного центра сертификации (CA) Вы можете делегировать полномочия на управление им группе администраторов, закрепив за ними ответственность за центр сертификации (CA) с помощью групповой политики. В данном случае единственным правом, которым будет обладать вышестоящий центр сертификации (CA), будет возможность отзыва сертификата подчиненного центра сертификации (CA).

Облегчение реорганизации предприятия

Наличие нескольких центров сертификации (СА) в отличие от только одного центра сертификации (CA) в организации упрощает администрирование, поскольку Вы можете в этом случае «перемещать центр сертификации (CA)». Сегодня много предприятий продаются и покупаются корпорациями. Для того, чтобы нормально распоряжаться такими корпоративными приобретениями, требуется реорганизация ИТ-инфраструктуры к тому виду, который бы соответствовал всем этим изменениям. Использование служб сертификации Windows 2000 позволяет упростить задачи по реорганизации инфраструктур открытых ключей (PKI), когда все пользователи принадлежат одному центру сертификации (CA), поскольку добавление центра сертификации (CA) с его пользователями в иерархию или удаление из нее происходит относительно просто. Однако, невозможно переместить подгруппу пользователей одного центра сертификации (CA) на новый центр сертификации (CA) без принудительной подачи запроса на сертификат нового центра сертификации (CA). Это приводит к значительному увеличению стоимости и неудобству изменений. Поэтому необходимо принимать во внимание эти факторы при планировании структуры центров сертификации (СА).

Доступность служб

Центры сертификации (CA) Windows 2000 (как и в случае с контроллерами домена) обеспечивают высокую доступность, если их используется несколько. Организация нескольких центров сертификации (СА) гарантирует, что в лесу будет хотя бы один центр сертификации (СА), способный обработать запросы подачи заявок.

Публикация сертификатов

При использовании служб сертификации Windows 2000 сертификаты пользователей публикуются в объекте пользователя в том домене, членом которого является пользователь. Чтобы опубликовать сертификат в объекте пользователя в Active Directory центр сертификации (CA) должен иметь доступ к контроллеру домена в домене пользователя. Поэтому, не только пользователь должен иметь сетевой доступ к центру сертификации (CA) для того, чтобы сделать запрос, но и центр сертификации (CA) должен иметь сетевой доступ к контроллеру домена в домене пользователя.

Развертывание служб сертификации

В данном разделе раскрываются следующие темы по развертыванию служб сертификации Windows 2000:

Организация иерархии центров сертификации (СА)

Поскольку Вы создаете иерархию, то необходимо сначала создать ее вершину, а затем спускаться вниз. Поэтому для начала создайте корневой центр сертификации (CA). Если в качестве корневого центра сертификации (CA) в Вашей организации используется коммерческий центр сертификации (CA) третьей стороны, то его создавать не нужно, т.к. он уже существует. А вся ответственность по обеспечению его безопасности ложится на обслуживающую его третью сторону.

Если Вы все же решили создать собственный корневой центр сертификации (CA), то первичное требование, которое должно соблюдаться, это то, что он должен быть безопасен. То, насколько он должен быть безопасным определяется тем, что именно находится под угрозой и каков возможный масштаб нападения.

Наиболее часто корневой центр сертификации (CA) используют автономно, поместив его в хранилище или в другое безопасное место, и используют его только для выпуска небольшого количества сертификатов (безопасный корневой центр сертификации (CA) используется только для выдачи сертификатов подчиненным центрам сертификации (СА)). Компьютер, который используется как безопасный корневой центр сертификации (CA) не должен быть членом какого-либо домена и вообще не должен иметь сетевой карты. Такая физическая защита гарантирует, что корневой центр сертификации (CA) невозможно будет просто взломать, и что те работающие в сети подчиненные центры сертификации (CA), которые стали ненадежными, можно будет безопасно отозвать.

Физическую безопасность можно будет усилить введением высокого уровня процедур безопасности, таких, как требования нескольких одновременных операторов для взаимного подтверждения действий.

Использование изолированного центра сертификации (CA) для Вашего автономного корневого центра сертификации (CA)

Выполняя свои функции в сети Windows 2000, изолированные центры сертификации (CA) могут быть настроены на работу автономно (без непосредственного подключения к сети). Задача автономных центров сертификации (СА) – обрабатывать запросы, поступающие от подчиненных центров сертификации (СА). Хотя такая конфигурация является более безопасной, это увеличивает административную нагрузку. Во время установки подчиненного центра сертификации (CA), создается запрос на сертификат, подписанный по стандарту PKCS-10 (Public Key Cryptography Standards, PKCS). Данный запрос сертификата должен быть вручную перенесен с помощью сменных носителей на автономный центр сертификации (CA). При получении такого запроса автономный центр сертификации (CA) создает сообщение по стандарту PKCS-7, в котором содержится указанный в запросе PKCS-10 сертификат центра сертификации (CA). Установка подчиненного центра сертификации (CA) завершится только тогда, когда сообщение по стандарту PKCS-7 будет физически перенесено назад на подчиненный центр сертификации (CA). (Для получения дополнительной информации о семействе стандартов PKCS для шифрования открытым ключом, обратитесь к разделу "Стандарты шифрования с открытым ключом " в Приложении Б).

Кроме того, администраторы должны вручную публиковать сертификаты и списки CRL в Active Directory, а также вручную регулярно обновлять списки CRL (это определяется сроком действия списков CRL). Для получения информации о том, как это выполняется, обратитесь к разделу «DSStore—Новое средство для инфраструктуры открытых ключей Windows 2000» ("DSStore—New Tool for Windows 2000 PKI") официального документа «Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт» (EN) (ссылка на этот документ дана в разделе "Дополнительная информация"), или можете обратиться к разделу справки Windows 2000, посвященному автономным корневым центрам сертификации (СА).

Важно. Убедитесь, что перед выдачей автономным корневым центром сертификации (CA) сертификата подчиненному центру сертификации (CA) Вы изменили AIA-расширения и положения CDP (в соответствии со значениями, отображенными приложением DSStore) в оснастке Центр сертификации (CA). (Для получения информации о важности этих расширений сертификата обратитесь к разделу "Приложение A. Формирование цепочек сертификатов в Windows 2000").

Аппаратные поставщики служб криптографии

Традиционно организации используют аппаратные поставщики служб криптографии (CSP) для повышения производительности путем переноса выполнения операций шифрования на специализированное оборудование. Первичной задачей служб сертификации является обеспечение безопасности материала закрытого криптографического ключа. Защита материала ключа с помощью специализированного, устойчивого ко взлому аппаратного обеспечения, усиливает его безопасность, а также безопасность центра сертификации (CA) и сертификатов, которые он выпускает. Для таких центров сертификации (СА), как автономные центры сертификации (CA) и других важных центров сертификации (СА), рекомендуется использовать аппаратный поставщик CSP.

Период публикации списка CRL

В Вашей организации необходимо установить баланс между необходимостью частой (насколько это необходимо) публикации информации в списках CRL и в связанной с этим большой нагрузкой на сеть и на сервер.

Частая публикация списков CRL увеличивает нагрузку на сервер. Увеличение нагрузки вызвано тем, что клиенты вынуждены загружать список CRL каждый раз, когда он публикуется заново по истечении своего срока действия.

Чем чаще центр сертификации (CA) публикует список CRL в Active Directory, тем быстрее становятся известны изменения в состоянии сертификатов. Несмотря на это, всякий раз, когда срок действия списка CRL истекает и он публикуется вновь, публикуется заново и полный список отозванных сертификатов, даже если никаких изменений не произошло. Частая публикация списка CRL увеличивает объем трафика в сети, поскольку данные Active Directory реплицируются на все контроллеры домена в лесу. (Для получения информации о том, как репликация влияет на публикацию списка CRL, обратитесь к рассмотренному ранее разделу "Списки отзыва сертификатов". Для получения информации о решении проблем, вызванных репликацией в среде инфраструктуры открытых ключей Windows 2000, обратитесь к разделу «Задержка, вызванная репликацией Active Directory» ("Latency Caused by Active Directory Replication") в официальном документе «Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт» (EN) (ссылка на этот документ дана в разделе "Дополнительная информация").

Баланс между необходимостью частой публикации и минимизацией влияния на инфраструктуру должен быть изначально заложен при проектировании и вводе в эксплуатацию иерархии центров сертификации (CA). Для большинства сертификатов нет необходимости часто публиковать их состояние в списке отзыва, поскольку они не представляют большой угрозы. Такие сертификаты могут выдаваться центрами сертификации (СА), у которых период публикации списка CRL довольно большой (например, одна неделя). Особо ценные сертификаты могут выдаваться другими центрами сертификации (СА), у которых период публикации списка CRL более короткий (один день). Обычно в организации используется несколько сертификатов, имеющих особую ценность, благодаря чему список CRL имеет маленький размер. Выдача более значимых сертификатов с коротким сроком действия (от трех до шести месяцев), после того, как отозванные сертификаты будут удалены из списков CRL, также способствует установлению баланса между частотой публикации и нагрузкой на сеть и сервер.

Рекомендации по выбору конфигурации аппаратного обеспече ия

Сертификаты и публикация сертификатов включает в себя множество аспектов, поэтому рекомендации по выбору конфигурации аппаратного обеспечения могут быть только общими. В Таблице 1 представлены ориентировочные размеры служб сертификации. 

Таблица 1 – Общие рекомендации по выбору конфигурации аппаратного обесп чения для служб сертификации

Размер базы данных 1 –20 кБ (килобайт) на каждый запрос.

Наверх страницы

Заключение

Обеспечение безопасности при передаче информации, как по внутренним, так и по внешним каналам связи, особенно через сеть Интернет, является важным аспектом современных систем, работающих в сети. Инфраструктура открытых ключей Windows 2000 и службы сертификации, предоставляют необходимые для этого службы безопасности, включая проверку доказательства происхождения, конфиденциальности и целостности данных.

Службы сертификации Windows 2000 используют центры сертификации (CA) и сертификаты, выдаваемые ими, для проверки и аутентификации каждой из сторон, участвующей в процессе электронного обмена данными. В данном документе описывается, как службы сертификации Windows 2000, инфраструктура открытых ключей и использование криптографии способствует безопасному обмену информации через сеть Интернет, другие внешние сети и интрасети.

Наверх страницы