Rozwiązania natychmiastowe zobacz na stronie
Instalowanie jednostki certyfikującej (CA)
Zastosowanie stron internetowych usług certyfikatów
Instalowanie certyfikatów jednostek certyfikujących (CA certificates)
Żądanie certyfikatów zaawansowanych
Rejestrowanie (enrolling) za pomocą pliku żądania w standardzie PKCS #10
Konfigurowanie relacji zaufania pomiędzy domeną a zewnętrzną jednostką certyfikującą (Eexternal CA)
Instalowanie automatycznego żądania certyfikatów dla komputerów
Uruchamianie i zatrzymywanie usług certyfikatów
Wykonywanie kopii zapasowych i odtwarzanie Uusług certyfikatów (Ccertificate Sservices)
Wyświetlanie dziennika (log) i bazy danych usług certyfikatów (Ccertificate Sservices)
Odwoływanie (revoking) wydanych certyfikatów i publikowanie listy CRL
Konfigurowanie zasad i modułów zakończenia (exit modules) dla usług certyfikatów (cCertificate Sservices)
Jak zostało opisaneo to w poprzednim rozdziale, certyfikaty stanowią mechanizm do uzyskania zaufania w relacji pomiędzy kluczem publicznym (public key) a jednostką, która jest właścicielem odpowiadającego mu klucza prywatnego (private key). Certyfikat jest to oświadczeniem opatrzonyme podpisem cyfrowym, , dotyczyące klucza publicznego konkretnego podmiotu certyfikowanego (subject public key) i jest podpisany przez wydawcę (issuer), który posiada inną parę kluczy prywatnych i publicznych. Zwykle Zazwyczaj certyfikaty zawierają również inne informacje związane z danym kluczem publicznym (public key), takie jak dane o tożsamości jednostki, która ma dostęp do klucza prywatnego, odpowiadającego temu kluczowi klucza prywatnego (private key). Tak więc wydając przekazując certyfikat, jego wydawca poświadcza ważność powiązania pomiędzy kluczem publicznym podmiotu certyfikowanego (subject public key) a danymi o jego tożsamości.
Jednostka certyfikująca (Certifcate aAuthority -— CA) jest to instytucja lub usługa wydająca certyfikaty, która jest będąca poręczycielem powiązania pomiędzy danym kluczem publicznym a informacjami o tożsamości podmiotu certyfikowanego, zawartymi w tym certyfikacie wydanym przez daną jednostkę certyfikującą. Różne jednostki certyfikujące (CAs) mogą weryfikować te powiązania na różnorodnye sposób,oby i dlatego ważne jest zrozumienie zasad i procedur danej jednostki certyfikującej, zanim zostanie ona obdarzona zaufaniem w zakresie potwierdzania kluczy publicznych (public keys).
Usługi certyfikatów (Ccertificate sServices) firmy Microsoft, które są częścią systemu Windows 2000 służą do ustanawiania jednostek certyfikujących (CA) dla danego przedsiębiorstwa. Usługi certyfikatów (Certificate Services) zZawierają one moduł zasad domyślnych (default policy module) służący do wydawania certyfikatów jednostkom w danym przedsiębiorstwie (użytkownikomcy, komputeromy lub usługiom). Obejmują one identyfikację jednostki żądającej certyfikatu oraz sprawdzanie, czy żądanie certyfikatu jest dozwolone przez zasady zabezpieczeń z kluczem publicznym (pPublic Kkey security policy) danej domeny. Zasady te mogą być modyfikowane lub rozszerzone w ten sposób, aby uwzględniać inne zasady lub rozszerzyć zakres funkcji jednostki certyfikującej o obsługę różnych scenariuszy ekstranetowych lub internetowych.
W ramach Infrastruktury Klucza Publicznego (Public Key Infrastructure — PKI) systemu Windows 2000 można korzystać zarówno z firmowych, jak i zewnętrznych jednostek certyfikujących (CAs), związanych z innymi przedsiębiorstwami lub usługodawcami komercyjnymi. Umożliwia to dopasowanie się do wymagań danego przedsiębiorstwa.
Na potrzeby Infrastruktury Klucza Publicznego (PKI) przyjęto hierarchiczny model jednostek certyfikujących (hierarchical CA model), który. Model ten został wybrany ze względu na możliwości rozbudowy (scalability), łatwość administrowania oraz zgodność z rosnącą liczbą komercyjnych i niezależnych (third-party) systemów jednostek certyfikujących (CA). W najprostszej postaci hierarchia jednostek certyfikujących (CAs) składa się z pojedynczej jednostki certyfikującej (CA). Zwykle jednak hierarchia zawiera wiele jednostek certyfikujących ze ściśle określonymi relacjami pomiędzy nimi, jak przedstawiono to na rysunku 7.1. Może istnieć wiele niezwiązanych ze sobą struktur hierarchicznych — jednostki certyfikujące nie muszą mieć wspólnej nadrzędnej jednostki certyfikującej (parent CA).
W ramach tego modelu certyfikaty wydane przez nadrzędną jednostkę certyfikującą, wiążące klucz publiczny jednostki certyfikującej z jego tożsamością (identity) i innymi atrybutami, określonymi przez zasady (policy), dotyczą jednostek potomnych. Jednostka certyfikująca (CA), która znajduje się najwyżej w hierarchii, określana jest jako główna jednostka certyfikująca (root CA). Podległe jej jednostki certyfikujące (subordinate CAs) noszą nazwę pośrednich jednostek certyfikujących (intermediate CAs) lub jednostek wydających certyfikaty (issuing CA).
Rysunek 7.1. Hierarchia jednostek certyfikujących.
Zaletą tego modelu jest to, że weryfikacja certyfikatów wymaga istnienia relacji zaufania ze stosunkowo niewielką liczbą głównych jednostek certyfikujących (root CAs). Również liczba jednostek wydających certyfikaty (issuing CAs) może być również zmienna. Oto kilka powodów, dla których obsługuje się wiele jednostek wydających certyfikaty (issuing CAs):
· Uużytkowanie (Uusage) — Ccertyfikaty mogą być wydawane w różnych celach: do zabezpieczaniae poczty elektronicznej, uwierzytelnianiae w sieci, itd. Zasady wydawania certyfikatów w każdym z powyższych przypadków mogą być odmienne, a rozdzielenie ich umożliwia jednoczesne administrowanie nimi,.
· pPodziały organizacyjne (organizational divisions) — wW zależności od roli, jaką spełnia jednostka w danej organizacji,. M mogą istnieć różne zasady wydawania certyfikatów. Wiele jednostek wydających certyfikaty (issuing CAs) pozwala na rozdzielenie i administrowanie tymi zasadami,.
· pPodziały geograficzne (Ggeographic divisions) — oOrganizacje mogą mieć swoje siedziby w różnych miejscach. Aby zachować wydajność systemu, w przypadku wolnych połączeń sieciowych pomiędzy siedzibami, konieczne jest zastosowanie wielu jednostek wydających certyfikaty (issuing CAs).
Hierarchia jednostek certyfikujących ma również kilka zalet administracyjnych:
· Eelastyczność (Fflexibility) — Eelastyczna konfiguracja środowiska zabezpieczeń jednostki certyfikującej (CA), np. — siła klucza (key strength), ochrona fizyczna, ochrona przed atakami przez sieć, itd. — pozwala zachować równowagę pomiędzy bezpieczeństwem (security) a przydatnością (usability). Dla przykładu:Na przykład w głównej jednostce certyfikującej (root CA) można zastosować specjalny sprzęt kryptograficzny i obsługiwać go w obszarze zabezpieczonym fizycznie (physically secure area) lub w trybie offline. Taki sposób nie będzie stosowany w przypadku jednostek wydających certyfikaty (Iissuing CA) ze względu na koszty i małą przydatność takiego rozwiązania w tym przypadku,.
· cCzęste aktualizacje — kKlucze lub (i) certyfikaty dla jednostek wydających certyfikaty (issuing CAs) mogą być często aktualizowane bez konieczności zmiany ustanowionych relacji zaufania (trust relationships), ale wówczas s. Są to klucze i certyfikaty najbardziej narażone na niebezpieczeństwo,.
· Zzamykanie (shut down) — mMożna wyłączyć określoną część hierarchii jednostek certyfikujących (CA) bez wpływu na ustanowione relacje zaufania (trust relationships) i np.. Można na przykład zamknąć i odwołać (revoke) certyfikat jednostki wydającej certyfikaty (issuing CA) określonego oddziału przedsiębiorstwa, co pozostanie bez wpływu na inne oddziały.
Można dodawać lub usuwać jednostki wydające certyfikaty (issuing CA) podlegające danej głównej jednostce certyfikującej (root CA). Można także łączyć istniejące struktury hierarchiczne jednostek certyfikujących (CA) poprzez wydanie certyfikatu dla głównej jednostki certyfikującej (root CA) innej hierarchii, jako pośredniczącej jednostki certyfikującej (intermediate CA). Jednak przedtem należy pomyśleć, jakie niezgodności zasad (policy) można w ten sposób wprowadzić w ten sposób.
Instalowanie Usług Certyfikatów (CCertificate SServices) firmy Microsoft jest łatwe. Zalecane jest ustanowienie domeny przed utworzeniem jednostki certyfikującej (CA) i ustanowienie ustalenie jednej lub kilku jednostek certyfikujących przedsiębiorstwa (enterprise CA). Proces ten zostanie opisany szczegółowo w części „Rozwiązania natychmiastowe” niniejszego rozdziału. Jego najważniejsze etapy przedstawiono poniżej:
· Wwybór serwera głównego (host server) — Ggłówna jednostka certyfikująca (root CA) może zostać uruchomiona na dowolnym komputerze pracującym pod kontrolą systemu Windows 2000, co dotyczy to również kontroleray domeny (domain controller). Podejmując taką decyzję, powinny być brane pod uwagę takie czynniki, jak: fizyczne zabezpieczenia, szacowane obciążenie, wymagania dotyczące połączeń (connectivity), itp.,.
· Nnazewnictwo (Nnaming) — Nnazwy jednostek certyfikujących są umieszczone ma stałe w ich certyfikatach i nie mogą być zmieniane. Należy wziąć pod uwagę konwencję nazewniczą przedsiębiorstwa i potrzeby, które mogą wystąpić w przyszłości,.
· Ggenerowanie klucza (key generation) — pPara kluczy publicznych jednostki certyfikującej (CA) jest generowana w trakcie procesu instalowania i jest niepowtarzalna dla danej jednostki certyfikującej,.
· Ccertyfikat jednostki certyfikującej (CA) — wW procesie instalowania do automatycznego generowania podpisanego przez nią samą (self signed CA certificate)certyfikatu jednostki certyfikującej (CA), podpisanego przez nią samą (self signed CA certificate), korzysta się z pary kluczy publiczny/-prywatny danej jednostki certyfikującej (CA). Można wygenerować żądanie certyfikatu dla podrzędnej jednostki certyfikującej (child CA) i wysłać je do pośredniczącej jednostki certyfikującej (intermediate CA) lub głównej jednostki certyfikującej (root CA).,
· Iintegrowanie z usługami Active Directory (Active Directory integration) — Iinformacje dotyczące jednostki certyfikującej jest są zapisywanea w jej obiekcie jednostki certyfikującej (CA object) w Active Directory podczas instalowania. W ten sposób kliencity domeny (domain clients) uzyskują informacje o dostępnych jednostkach certyfikujących oraz o rodzajach certyfikatów wydawanych przez te jednostki,.
· zZasady wydawania (issuing policy) — Jjednostka certyfikująca przedsiębiorstwa (enterprise CA) automatycznie instaluje i konfiguruje Moduł Zasad Przedsiębiorstwa (EEnterprise PPolicy MModule) firmy Microsoft dla danej jednostki certyfikującej (CA). Upoważniony administrator może modyfikować te zasady, ale w większości przypadków nie jest to konieczne.
Po ustanowieniu głównej jednostki certyfikującej (root CA) możliwe jest zainstalowanie podporządkowanych jej jednostek certyfikujących pośredniczących (intermediate CA) lub wydających certyfikaty (issuing CA). Jedyna znacząca różnica w zasadach instalowania jest taka, że żądania certyfikatu są generowane w celu przesłania do głównej jednostki certyfikującej (root CA) lub pośredniczącej jednostki certyfikującej (intermediate CA). Żądanie może być skierowane bądź automatycznie do jednostki certyfikującej, pracującej w trybie online, którą lokalizuje się za pomocą usług Active Directory, bądź też ręcznie w trybie offline. W obu przypadkach otrzymany w ten sposób certyfikat musi zostać zainstalowany w jednostce certyfikującej (CA) zanim zacznie ona działać.
Pojedyncza jednostka certyfikująca (CA) może obsługiwać jednostki w wielu domenach, a nawet jednostkiek spoza granic danej domeny. Możliwa jest też odwrotna sytuacja — w domenie może być znajdować się wiele jednostek certyfikujących przedsiębiorstwa (enterprise CA).
Jeśli zostanie podjęta decyzja o korzystaniu z niezależnej jednostki certyfikującej (third party CA), takiej jak VeriSign (www.verisign.com), pojawi się monit o zarejestrowanie (enroll) i uzyskanie certyfikatu w trybie online. Procedura jest łatwa i, w trybie online dostępna jest również pomoc w trybie online. Większość niezależnych jednostek certyfikujących (third party CAs) zezwala na korzystanie ze...
mapenar