Был спокойный денек, вы тихо
занимались делами — и вдруг вам звонят из службы поддержки: на одном
из серверов истек срок действия сертификата. Вся система стоит, а
ваша компания теряет время (и деньги), пока вы обновляете
сертификат.
Если вы
заведуете инфраструктурой открытых ключей (PKI), вы наверняка не раз
удивлялись неожиданно истекшему сертификату. Спокойный денек... О
спокойных деньках пришлось забыть.
Включив службы PKI в
Windows® 2000 и Windows Server® 2003, Майкрософт создала удобное и недорогое
средство создания собственной среды PKI в организации. К сожалению,
в службах PKI не было возможности управлять жизненным циклом
созданных сертификатов. Но Майкрософт недавно приобрела средство
управления сертификатами, после чего выпустила Identity Lifecycle
Manager (диспетчер жизненного цикла удостоверений, ILM), который
объединяет управление сертификатами с предоставлением удостоверений
и функциями контроля сервера Microsoft®
Identity Integration Server (MIIS). В этой статье мы рассмотрим, как
ILM может помочь в управлении сертификатами и смарт-картами в рамках
организации.
Архитектура ILM-CM
В основе архитектуры ILM
Certificate Management (управления сертификатами ILM, ILM-CM) лежит
сервер ILM-CM и его компоненты (рис. 1).
Сервер ILM-CM можно установить на отдельном сервере, настроенном на
взаимодействие с одним или несколькими центрами сертификации (CA).
Для работы ILM-CM необходима СУБД SQL Server™, используемая для
хранения информации о сертификатах, политик и других сведений о
сертификационной среде. Для управления учетными записями и
разрешениями безопасности требуются службы Active Directory®. Необходимые компоненты и их версии показаны
на
Рис. 1 Архитектура ILM-CM
После установки среды ILM-CM
все запросы сертификатов будут направляться на сервер ILM-CM. Он
хранит в базе данных SQL Server всю связанную с сертификатами
информацию, которую можно использовать для создания отчетов,
изменения и поддержания рабочего состояния.
Архитектура ILM-CM состоит из
трех элементов верхнего уровня: сервера ILM-CM, подключаемых модулей
центров сертификации и клиентских компонентов. Серверную часть можно
установить на центре сертификации или на сервере, используемом в
основном для ILM-CM. После этого сервер ILM-CM будет обращаться к
центрам сертификации, базе SQL Server и службам Active Directory. Он
также обеспечивает веб-портал, с помощью которого менеджеры по
сертификации указывают политики сертификации и рабочие процессы, а
подписчики на сертификаты могут запрашивать новые сертификаты и
обновлять существующие.
Чтобы центр сертификации мог
обратиться к серверу ILM-CM, в этом центре необходимо установить и
настроить политики ILM-CM и модули выхода. Эти два компонента
используются для записи сертификационных сведений в базу данных.
Когда центр сертификации выдает сертификат, модуль выхода должен
отослать информацию об этом на сервер ILM-CM, который запишет ее в
базу данных.
Если планируется поддержка
смарт-карт, нужно также установить клиентское программное
обеспечение ILM-CM по работе с такими картами. Это нужно сделать на
каждом клиентском компьютере, который должен обращаться к серверу
ILM-CM.
Установка
ILM-CM
Установка сервера ILM-CM
весьма проста и полностью контролируется мастером. Но перед его
запуском следует предпринять несколько предварительных шагов.
Первое, что потребуется —
службы Active Directory и расширение схемы ILM-CM. Расширение схемы
несет несколько дополнительных атрибутов безопасности Microsoft .NET
Framework, которые необходимы для реализации шаблонов профилей.
Также понадобится установка
.NET Framework 2.0 и всех компонентов, упомянутых ранее — SQL
Server, центров сертификации и SMTP-сервера. Если ILM-CM будет
установлен не на том же компьютере, что и центр сертификации, нужно
установить на компьютере последнего модули ILM-CM, запустив на нем
мастер установки ILM-CM. По завершении установки вы сможете посетить
портал ILM-CM, направив обозреватель по адресу
http://hostname/CLM.
Для включения уведомлений об
истечении или обновлении сертификата нужно настроить службу ILM-CM
на сервере ILM-CM. Начните с создания соответствующей учетной записи
в Active Directory. Затем в службах ILM-CM сделайте эту запись
учетной записью для входа. Потом добавьте эту учетную запись к
группе локальных администраторов и группе IIS_WPG на сервере ILM-CM,
а также внесите ее в групповые политики «Работа в режиме
операционной системы», «Создание журналов безопасности» и «Замена
маркера уровня процесса». После этого сервер сможет отправлять по
электронной почте уведомления об истекшем сроке годности владельцам
сертификатов или менеджерам, если анализ базы данных SQL Server
покажет такие сертификаты.
Администрирование ILM-CM
Управление ILM-CM
осуществляется через веб-интерфейс, поделенный на функциональные
области: управление учетными записями, сертификатами и
смарт-картами. Подключившись к порталу ILM-CM и имея достаточные
администраторские полномочия, можно увидеть список из большого числа
административных задач, позволяющих управлять средой ILM-CM (рис. 3). Раздел «Common Tasks» (Общие задачи)
предоставляет различные возможности, в том числе подписку
пользователей на новые наборы сертификатов и смарт-карты. Здесь же
находятся средства управления запросами и их утверждения.
Рис.
3 Административные задачи на
портале ILM-CM
Найти пользователя или
сертификат можно с помощью области задач «Manage Users and
Certificates» (Управление пользователями и сертификатами).
Предоставляются варианты: найти, восстановить, отозвать или обновить
сертификат. Имеется список случаев отзыва.
Если в организации
используются смарт-карты, обратите внимание на раздел «Manage User
Smart Cards» (Управление смарт-картами пользователей). Например,
если пользователь заблокировал свою карту, менеджер может
разблокировать ее. Можно осуществлять поиск и просматривать
смарт-карты, находящие в локальном устройстве чтения.
Область «Requests» (Запросы)
позволяет просматривать и удовлетворять запросы пользователей на
сертификаты. К примеру, можно отобразить список всех сертификатов,
запрос на которые пока не удовлетворен. Область «Administration»
(Администрирование) позволяет создавать и управлять шаблонами
профилей. Наконец, область «Reports» (Отчеты) предназначена, как
нетрудно догадаться, для разработки и создания отчетов о
пользователях и сертификатах.
Если ваша учетная запись не
имеет административных привилегий, то после входа на портал ILM-CM
вам будет представлена страница, предназначенная подписчикам. На ней
пользователи сертификатов могут самостоятельно осуществлять
управление ими (рис. 4). Допускается
просмотр и управление сертификатами и смарт-картами в соответствии с
действующей политикой. Например, можно запросить сертификат или
смарт-карту, просмотреть выданные сертификаты и сменить ПИН-код
карты.
Рис.
4 Страница портала,
предназначенная для пользователей
Любому предприятию совсем не
просто создать высоконадежный, делегированный рабочий процесс
выпуска, обновления, замены и отзыва сертификатов или смарт-карт.
ILM-CM дает возможность делегировать эти задачи и тем самым
обеспечить большую защищенность. Пусть, к примеру, пользователь
забыл ПИН-код своей смарт-карты. В рамках модели делегированного
рабочего процесса он может позвонить в службу поддержки и ответить
на ряд проверочных вопросов. Если все правильно, служба поддержки
разблокирует карту. Другой пример делегированного рабочего процесса
— восстановление сертификата файловой системы с шифрованием (EFS) в
случае его непреднамеренного удаления или утери переносного
компьютера.
Шаблоны
профилей
Шаблон профиля — базовый
компонент, обеспечивающий полное управление рабочим процессом в
ILM-CM. Это административный объект, содержащий один или несколько
шаблонов сертификатов. Созданный и настроенный шаблон профиля
определяет ход рабочего процесса в сертификационной среде. Ключевой
аспект шаблона профиля — возможность содержать несколько шаблонов
сертификатов, трактуемых как единое целое. В результате управлять
учетными записями пользователей можно с помощью единственного
шаблона, который отслеживает жизненный цикл процесса
сертификации.
Шаблоны профилей можно
настроить на хранение сертификатов на компьютере (шаблоны,
основанные на программном обеспечении) или на смарт-карте (шаблоны,
основанные на оборудовании). Создаются шаблоны копированием базового
шаблона, доступного в административном портале ILM-CM. Затем
определяется ряд компонентов политики управления (рис. 5).
Рис.
5 Шаблон профиля
Большинство компонентов
политики применимы и к программным, и к аппаратным профилям (рис. 6).
Рис 6 Политики программных профилей
Компонент
Описание
Сведения о профиле |
Общая информация о шаблоне профиля. Здесь осуществляется добавление к шаблону профиля шаблонов сертификатов. |
Политика дублирования |
Определяет сущности рабочего процесса существующего сертификата. |
Политика подачи заявок |
Определяет рабочий процесс подачи заявок на сертификаты. |
Политика сетевого обновления |
Похожа на обычную политику обновления, но может обновлять существующие сертификаты, содержимое сертификатов, шаблоны и прошивку смарт-карт. |
Политика восстановления от имени |
Восстанавливает закрытый ключ или сертификат пользователя. |
Политика обновления |
Определяет рабочий процесс обновления сертификата с истекшим сроком. |
Политика возвращения |
Определяет процесс восстановления отозванного сертификата. |
Политика восстановления |
Определяет рабочий процесс восстановления сертификата, который был случайно удален или находился на украденном или поврежденном компьютере. |
Политика отзыва |
Определяет рабочий процесс отзыва всех сертификатов, содержащихся в профиле. |
Некоторые из них заслуживают отдельного
упоминания. Политика подачи заявлений на сертификаты используется
для определения различных аспектов того, как будет происходить
процесс подачи. Например, можно настроить сбор данных: пользователи
должны будут ввести такие сведения, как код своего подразделения,
адрес электронной почты и имя непосредственного начальника. Еще
можно настроить автоматическую печать официального документа по
факту выдачи сертификата пользователю.
Большую пользу может принести
политика сетевого обновления. Она похожа на обычную политику
обновления, но может обновлять содержимое сертификатов, их шаблоны,
прошивку смарт-карт, а также сертификаты, чей срок годности
истекает. Для полноценного использования этой политики нужно
разрешить службе ILM-CM и в файле web.config доступ к многозначному
атрибуту в Active Directory. Необходимо также установить на
клиентские компьютеры службу сетевого обновления.
Политика восстановления от
имени может пригодиться, если используется шифрование EFS. Допустим,
кто-то случайно удаляет свой сертификат шифрования. Можно применить
эту политику для организации такого рабочего процесса, в котором
группа безопасности службы поддержки имеет возможность запросить
закрытый ключ этого пользователя. Затем пользователю отправляется
электронное письмо с секретным паролем, сгенерированным сервером
ILM-CM. Получив его, пользователь переходит по секретной ссылке на
сервере ILM-CM и получает сертификат со своим закрытым ключом.
Политика восстановления от имени также весьма полезна в случае,
когда сотрудник покидает организацию, но его данные необходимо
восстановить для отправки в архив по административным или иным
соображениям.
Политика обновления позволяет
сделать процесс обновления более безопасным за счет отправки
пользователям по электронной почте одноразовых секретных ключей,
которые будут использованы для обновления сертификатов. Политика
возвращения определяет рабочий процесс на случай, если сертификат
был отозван, а потом потребовалось восстановить его и удалить из
списка отзывов сертификатов.
Два компонента относятся
только к политикам программной сертификации и не применимы к
смарт-картам — это политика восстановления и политика отзыва. Если
хранившийся на компьютере сертификат был удален, или был украден или
поврежден сам компьютер, политика восстановления определит процесс
возвращения сертификата или ключей, если они сохранены в центре
сертификации. Политика отзыва позволяет администратору либо задать
единственно допустимую причину отзыва, либо вводить описание причины
каждый раз при отзыве сертификата.
Пять дополнительных политик
применимы только к шаблонам профилей смарт-карт (рис. 7).
Рис 7 Политики профилей смарт-карт
Компонент
Описание
Политика замены |
Определяет профиль на случай потери или кражи смарт-карты. |
Политика отключения |
Определяет процесс отключения сертификатов на смарт-карте до их истечения. |
Политика увольнения |
Определяет процесс отзыва всех сертификатов на смарт-карте. |
Политика разблокировки |
Определяет, кто может разблокировать ПИН-код пользователя смарт-карты. |
Политика временных карт |
Определяет смарт-карту с небольшим сроком действия. Пользователь получает новые сертификаты для создания подписи, но сможет расшифровывать свои данные с помощью существующих сертификатов шифрования профиля. |
Для политики, применяемой при
увольнении, можно задать несколько различных операций, например
удаление пользовательских данных со смарт-карты, блокировка
пользовательского и администраторского ПИН-кодов и установление
нового ПИН-кода. Политика разблокировки обычно используется, когда
пользователь забыл ПИН-код или когда выпускается новая карта с
ПИН-кодом, установленным службой ILM-CM. Запрос на разблокировку
смарт-карты подается пользователем.
Отчеты, как и в любом
продукте для администрирования, занимают не последнее место. Для
любой организации важна способность создавать снимки состояния
сертификационной среды и смарт-карт. ILM-CM содержит несколько
встроенных отчетов, в число которых входят списки смарт-карт, сводка
запросов на сертификат, использование и срок истечения годности
сертификатов и многие другие. Как и в других системах создания
отчетов, при необходимости можно написать собственные запросы,
поскольку вся информация хранится в базе данных SQL
Server.
Разработка
рабочего процесса
Рассмотрим, как с помощью
ILM-CM определить эффективный рабочий процесс. Пусть, например, есть
несколько системных администраторов, ответственных за управление и
поддержку сертификатов SSL. Первый требующий ответа вопрос — каковы
ключевые аспекты этого процесса?
Способ создания файла запроса
сертификата зависит от типа системы. Поэтому первый шаг — создание
страницы в интрасети с детальными инструкциями по созданию таких
запросов для каждого типа систем.
Создав файл запроса,
администратор может отправить его на пользовательский портал ILM-CM
для утверждения. С помощью рабочего процесса ILM-CM администратор
может определить нескольких лиц, проверяющих и утверждающих запрос.
После удовлетворения запроса пользователь может получить сертификат
из ILM-CM. Поскольку там сведения о сертификате хранятся в базе
данных SQL Server, администраторы имеют доступ к информации о
прошлых периодах.
Через год срок действия
сертификата приближается к концу, и ILM-CM отсылает по электронной
почте уведомление пользователю о том, что его сертификат скоро
истечет и должен быть обновлен. Использование этого рабочего
процесса поможет избежать ситуаций, когда из-за неожиданно истекшего
сертификата рабочий день идет насмарку.
Заключение
Если ваше предприятие
использует среду Microsoft PKI, ILM-CM определенно поможет управлять
ею. Он позволяет улучшить процессы проверки подлинности и снизить
стоимость и сложность управления цифровыми сертификатами и
смарт-картами. С его помощью можно создать соответствующие рабочие
процессы, которых так не хватает современным предприятиям.
Майкрософт также
предоставляет API-интерфейс к ILM-CM. Если вы используете
собственные приложения, вы можете интегрировать их с ILM-CM.
Подробнее об ILM-CM см. на
веб-узле microsoft.com/technet/clm.
Краткое руководство доступно по адресу go.microsoft.com/fwlink/?LinkId=87336.