Книги, научные публикации
Pages: | 1 | ... | 11 | 12 | 13 | 14 | 15 | Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...
-- [ Страница 13 ] --DirPath - Путь к Disable - TRUE для запрещения (FALSE для разрешения) Возвращаемое TRUE - при успешной завершении Прототип этой функции имеется заголовочном файле Она или разрешает EFS в указанной папке. При создается файл Desktop.ini с такими строками:
Encryption] (или Если Desktop.ini уже существует, то функция добавляет эти строки в конец файла.
Этого же результата (отключения Вы добьетесь, если добавите в файл эти строки вручную.
ГЛАВА Шифрованная файловая система Использование системного ключа Для дополнительной защиты основных ключей и другой секретной информации используется System Key (системный ключ). Системный ключ защи щает следующую конфиденциальную информацию:
Х основные ключи, применяемые для защиты ключей;
Х паролей пользовательских учетных записей, хранящихся в служ бе каталогов Active Directory;
Х ключи защиты паролей, в реестре в диспетчера безопасности SAM (Security Accounts Manager);
Х ключи защиты данных Х ключ пароля учетной записи администратора, который при запуске системы в безопасном режиме.
На компьютерах домена использование секретного ключа разрешено по чанию, и все ключи и ключи хранящиеся на за уникальным 128-битным системным клю чом. Системный ключ должен размещаться в оперативной памяти и ступным системе в процессе запуска, так как он используется для ключа защиты пароля. Существует три способа поддержки систем ключа.
Х Б качестве системного выбирается создаваемый случайный ключ.
Он хранится в локальной системе и защищается сложным алгоритмом сокры тия, который распределяет системный ключ по системному реестру. В этом случае при компьютера вводить ключ не ся. Это вариант (по умолчанию) системы.
Х Случайный ключ создается компьютером, но на дискете. В этом слу чае на компьютере нет системного ключа, и для запуска системы необходима дискета. Обращение к ней осуществляется после появле ния на предложения вставить дискету в дисковод в начале загрузки Win dows 2000, но до приглашения на вход в систему.
Х Системный ключ создается на основе выбранного администратором Сам пароль на компьютере хранится. Windows 2000 запрашивает у администра тора пароль на стадии начального запуска, до приглашения на вход в Параметры конфигурации системного ключа устанавливаются в диалоговых окнах служебной программы В для запуска необходимы права чле на группы Admins (Администраторы домена), а па изолированных компь ютерах Ч права локальной учетной записи Administrator (Администратор). Разре шается индивидуально конфигурировать поддержку ключа для разных домена, По умолчанию защита системным ключом применяется во всех но иногда возникает изменить стандартную конфигурацию применения сис темного ключа для некоторых компьютеров домена. Также шить защиту системным ключом на изолированных компьютерах.
682 ЧАСТЬ 2 Безопасность в распределенных системах Настройка обеспечения безопасности посредством системного ключа 1. В командной строке syskey Откроется диалоговое окно Securing the Windows NT Account Database (Защита БД учетных записей NT) (Рис. 15-15).
Рис. 15-15. Диалоговое окно Securing the Windows NT Account Database Заданную системным ключом отменить невозможно.
2. Установите переключатель в положение Encryption Enabled (Шифрование вклю чено) (если уже не и ОК. После напоминания о необходимости создания диска восстановления откроется окно Account Database Key данных учетных записей), для изменения конфигурации ключа (рис. 15-16). По систе ма самостоятельно создает ключ и храпит его локально, Рис. Диалоговое окно Account Database Key 3. Выберите необходимые параметры системного ключа и ОК.
4. Перезагрузите компьютер.
В зависимости от сделанного выбора при системы иногда требуется ключ. 2000 автоматически обнаруживает первое исполь зование системного ключа и новый ключ шифрования па ГЛАВА 15 Шифрованная файловая родя. Ключ шифрования пароля системным ключом. В итоге вся формация о учетных записей надежно шифруется.
последующих запусках системы выполняются операции:
1. в от получения ключа Windows 2000 либо извлекает сис ключ с локального жесткого диска, либо вычисляет его на основе паро ля, либо считывает с дискеты;
2. системный ключ применятся для расшифровки основного ключа системы безо пасности;
3. основной ключ системы для получения ключей шифрования паролей записей пользователей, в свою очередь используется для расшифровки информации пароля, в Directory или в разделе реестра локального компьютера.
Служебная программа syskey применяется также для места системного ключа или смены пароля.
Выбор нового места хранения системного ключа и смена 1. Введите в командной строке syskey. Откроется начальное окно настройки системного ключа (Рис. 15-15).
2. Щелкните кнопку Update (Обновить).
3. В диалоговом окне Account Database Key (Ключ базы данных учетных запи (Рис. 15-16) установите переключатель в положение и при необхо димости пароль. Щелкните кнопку ОК.
4. Перезагрузите компьютер.
Чтобы изменить системный необходимо знать системный ключ. При использовании пароля для системного ключа программа не лагает ограничений на минимальную длину пароля, тем не менее не рекомендуется задавать пароли короче 12 символов. длина пароля - 128 символов.
Внимание! При утере пароля системного ключа или дискеты с системным запуск системы станет невозможным. Системный ключ хранить в безопас месте. Если он на дискете, сделайте резервные копии и храпите их в местах. способ восстановить систему при утере системно го ключа Ч использовать диск аварийного восстановления для ра в состояние, разрешению защиты с помощью системного клю ча. Это приведет к утере всей накопленной с тех пор и изменений.
Допускается индивидуальная настройка компьютеров домена для защиты ным ключом. При конфигурировании параметров системного ключа каждый ком пьютер получает ключ шифрования пароля и системный ключ.
основной контроллер домена можно сконфигурировать на томатически создаваемого системного ключа, копия которого хранится на дискете, а дополнительные домена на использование создаваемых компью и хранимых локально системных ключей. Создаваемый компьютером ключ, который хранится на контроллере не цируется.
684 ЧАСТЬ 2 Безопасность распределенных системах Прежде приступить к конфигурированию защиты системным ключом на ственном в домене, рекомендуется обеспечить наличие стра контроллера домена, который случае сбоя применяется для восста первого контроллера. Следует обеспечить наличие полной и обновлен ной базы каталога на таком резервном Кроме того, перед из менением параметров системного ключа рекомендуется создать новый диск аварий ного восстановления для этого компьютера. Подробнее о создании диска аварий ного восстановления - в системе Microsoft Windows 2000 Server или Microsoft Windows 2000 Professional, Печать файлов в Вывод данных на принтер и другие устройства вывода в выполняется так же, как их отображение на мониторе. Если зашифрованный файл отображается откры тым текстом экране, в таком же виде он будет напечатан. И наоборот, если его нельзя на экране, то и печать его недоступна.
Таким образом для соблюдения конфиденциальности информации требуется обес такую же физическую безопасность принтера, как и самого компьютера. Как сам принтер, так и физическое соединение с ним следует защитить, чтобы атакую щий не смог перехватить передаваемую Если используется сервер его тоже обязательно защитить.
При печати Windows 2000 размещает задание в буферном файле (с расширением расположенном в локальной службе печати. локальной печати эта служ ба выполняется на локальном компьютере. При печати в архитектуре сервер буферный файл располагается на сервере печати.
По умолчанию хранятся в папке Printers. Если эта папка (как это обычно печатаемый файл хранится в ней текстом. Можно зашифровать но это сильно замедлит работу, так как потребуются вычислительные ресурсы на операции шифрования всех буферных файлов. Более корректный Ч создать специальный логический принтер и выделить его шифрованных кото рый использует тот же физический принтер, но с другими параметрами печати. Та кой принтер должен быть локальным, с закрытым доступом из сети и должен обхо дить по умолчанию папку. Для этого применяют один из двух методов.
Х На вкладке Advanced (Дополнительно) диалогового окна Properties (Свойства) принтера установите переключатель в положение Print directly to the printer [Печатать прямо на принтер (ускорение вывода на В этом случае зада ние на печать не будет и очереди, и не создается буферный файл.
Примечание Не размещаемые в очереди на печать задания или по Х Создайте зашифрованную папку и сконфигурируйте ее для хранения буферных Подробнее о хранении буферных файлов Ч в книге Сопровождение Ресурсы Microsoft Windows 2000 Server 2001).
По умолчанию после выполнения задания на печать буферный файл Поведение по умолчанию изменится, установить флажок Keep printed ГЛАВА 15 Шифрованная файловая система documents (Сохранять документы после печати) на вкладке Advanced (Дополни тельно). В этом случае можно повторно посылать документ на принтер из очереди на печать, а не приложения. Такой способ рекомендуется, так как получен при этом выгоды не перевешивают риск утечки Даже если бу ферные файлы зашифрованы, из соображений безопасности неправильно копии конфиденциальных данных в нескольких папках.
Устранение неполадок при использовании EFS В этом мы рассмотрим типичные вании EFS, и предложим некоторые способы их устранения.
Безуспешная попытка файлы что следующие условия:
Х политика агента восстановления;
Х файлы размещены на томе с файловой системой Х файл не сжат;
Х у Вас есть Write (Запись) для этого файла.
Иногда пользователи думают, что файл не так как они без проблем открывают и читают его. Напомните им: чтобы проверить, зашифрован файл или нет, следует изучить атрибуты.
пользователи пытаются зашифровать сжатую или расположенную на сжа том диске папку. Перед шифрованием необходимо отменить сжатие, сняв ствующий атрибут.
Безуспешная попытка открыть зашифрованный ранее файл Убедитесь, что Ваш сертификат и закрытый ключ для файла действи тельны. Если этот файл давно не открывался, его сведения вероятно устарели. Про сроченные сертификаты и закрытые ключи следует извлечь из архивных копий. Не исключено, что пользователь удалил архив с сертификатами и закрытыми ключа ми или повредил их. В этом случае выполнить процедуру восстановления файла, как описано ранее в этой главе.
Указанная неполадка может если сначала работал в изоли а затем был присоединен к Если файл зашифрован ло кальным сертификатом, подписанным шифрованной файловой системой тера, в домене он недоступен, так как там используются сертификаты го определенного на уровне домена.
Безуспешная попытка открыть зашифрованный средствами EFS файл после обновления 2000 с предыдущей сборки Пользователь получает сообщение об ошибке доступа к файлу, но возмож шифровать и открывать новые файлы в EFS сохранилась.
Вероятно, предыдущая сборка поддерживала стойкое, запрещенное к экспорту шифрование, а новая компоновка Ч международная, с облегченным шифрования с более коротким ключом не в состоянии обрабатывать файлы, зашифрованные ключом большей 686 ЧАСТЬ 2 Безопасность в распределенных системах Если у Вас системы с запрещенной к экспорту ей шифрования, получите от Microsoft компакт-диск Encryption Pack и используе те его для внедрения поддержки запрещенных к криптографических тех Этот запрещен к экспорту из США. На нем также разме поставщик службы криптографии Microsoft Enhanced CSP для 2000.
Инструкции по содержатся в расположенных на нем файлах.
Подробнее о получении компакт-диска Encryption Pack и о экс порта технологий для продуктов Microsoft Ч на Microsoft Security Advisor no адресу Антивирусная программа не может проверить некоторые файлы на жестком сообщая об ошибке доступа программа в открывать и проверять только файлы, за текущим пользователем системы. Файлы, зашифрованные другими пользователями, ей Эти пользователи должны войти в систему и проверить наличие вирусов в своих файлах, запустив антивирусную программу.
Получает ли пользователь предупреждение о том, что при копировании перемещении файл передается открытым текстом?
Нет. всегда проверять свойства полученного в что бы удостовериться в том, что все еще зашифрован.
Службы сертификации и инфраструктура открытого ключа в Windows Microsoft 2000 службы сертификации, легко управляемые Certification Authority (Центр сертификации), и инфра структуру открытого механизма работы службы и инфраструктуры открытого в Windows 2000 необходимо для развертывания и инфраструктуры открытого ключа, в безопасности Вашей В этой главе Преимущества открытого ключа компоненты инфраструктуры открытого Особенности инфраструктуры открытого ключа Развертывание служб Текущие задачи служб Восстановление сбоя См.
Х об основных инфраструктуры открытого ключа и техно логий открытого Ч в Криптография сетевых информацион ных Х о на базе открытою ключа R 13 Обеспечение безопасности технологии открытого Х Подробнее о и развертывании открытого ключа в книге Microsoft Windows 2000 Deployment Planning (Microsoft Press, 2000).
ЧАСТЬ 2 Безопасность в распределенных системах Преимущества инфраструктуры открытого ключа Инфраструктура открытого ключа (Public Windows предоставляет состоящий из служб, технологий, и стандартов, и системой стойкой информационной безо пасности на технологий открытого ключа. позволит в сетевой и безопас ности.
Инфраструктура открытого ключа в Windows содержит службы сертифика ции, ответственные за выпуск и цифровыми сертификатами, и интер фейс Microsoft версии 2. поддерживающий криптографические опера ции и управление ключами. полностью со службой каталогов Active Directory в Windows 2000 и со службами распределенной безопас ности.
В этой главе мы рассмотрим отдельные компоненты и особенности инфраструктуры открытого ключа в Windows 2000. Подробнее об инфраструктуре и технологиях от крытого ключа - в главе 14 Криптография в сетевых информационных системах.
Надежная на базе технологий открытого ключа Инфраструктура открытого ключа Windows 2000 позволяет создать надежные реше безопасности на базе цифровых сертификатов и технологии открытого ключа:
Х почту на основе сертификатов и расширений (Secure/ Multipurpose Mail протокола цело стность, подтверждение авторства и сообщений ной почты;
Х Web-узлы, использующие сертификаты и ссылки на сертификаты для сопоставления сертификатов сетевым учетным записям пользователей и уп равления правами и пользователей при доступе к Web-ресурсам;
Х безопасную связь через Интернет на основе сертификатов и протоколов Sockets Layer) и (Transport Layer Security), поддерживающих про верку подлинности серверов и и обеспечивающих связь между серверами и Х программного кода па основе сертификатов и технологий цифровой подписи (например, Microsoft для и под тверждения авторства программного распространяемого в или через Internet;
Х вход в систему но смарт-картам на базе хранимых на них сертификатов и за крытых ключей для проверки локальных и удаленных пользова телей в сети;
Х проверку клиента средствами протокола Internet Protocol Security позволяющего сертификаты для такой проверки;
Х систему (Encrypting File System, использующую сертификаты для операций пользователей и агенты восстановления EFS;
Х безопасности на базе обеспечивающие кон фиденциальность, целостность, подлинности или невозможность отрицания авторства.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Подробнее о безопасности на базе технологий открытого ключа Ч ла ве 13 Обеспечение средствами открытого ключа.
Интеграция с Active Directory и службами распределенной безопасности Службы сертификации Windows 2000 составляют ядро инфраструктуры открыто го ключа Windows 2000. Схема служб сертификации и распределенной с Active Directory показана па рис. 16-1.
политики безопасности домена Распространение групповой сопоставление Active сертификатов учетным пользователей и Центр распространения ключей на контроллере домена Службы Процесс входа в домен Запрос, Вход в систему обновление со смарт-картой и отзыв сертификатов Рис. Службы сертификации в Windows в Windows 2000 для создания центров тификации (certification authorities, CA), или отвечающих за выпуск и ление цифровыми сертификатами. В Active Directory хранятся данные, необходи мые ЦС Ч записей группы сти и сертификатов. Active Directory также содержит информацию обо всех ЦС предприятия, установленных в домене. Заявки на сертификаты обычно по даются в ЦС предприятия, которые эти и либо отказывают, либо предоставляют сертификат. сертификаты в Active Directory и на компьютерах получивших сертификаты. ЦС также публикует в Active Directory списки revocation Кроме Active Directory хранит политику ключа (Public Key Croup Policy), на все компьютеры в области этой политики. Group Policy (Групповая политика) в папке Group Policy (Политика открытого ключа) определяются доверенные ЦС, на значаются агенты и конфигурируется автома тический выпуск и обновление сертификатов на компьютерах под Windows 2000 Ч все с единого центра Active Directory также поддерживает (mapping) за писей пользователей и сертификатов, используемых для и доступом к сетевым ресурсам. смарт-карт для входа систему особым случаем такого сопоставления сер 690 ЧАСТЬ 2 Безопасность в распределенных системах тификатов, собой протокола Kerberos v5. Это расши рение проверку подлинности пользователей с сертификатов и закрытых ключей, хранимых на смарт-картах. Вход в систему по смарт-карте повышает безопасность процедуры его подлин ности и применять единый набор реквизитов как для ло кального, так и удаленного по сети.
Основные компоненты инфраструктуры открытого ключа основные компоненты инфраструктуры открытого ключа в Windows 2000:
Х службы сертификации Windows 2000 отвечают за выпуск и цифро выми сертификатами;
Х интерфейс Microsoft и поставщика криптографии (cryp service providers, CSP) криптографические операции и управление закрытыми ключами;
Х хранилища сертификатов для хранения и сертификатами на приятии.
Службы сертификации в Windows На рис. 1G-2 функциональная блок-схема служб сертификации в Win dows 2000.
Защищенное хранилище CSP Поддерживает аудит и Обеспечивают списки отозванных криптографические службы и управление База данных закрытыми ключами сертификатов Модуль сертификации Создают сертификаты стандарта выпущенные на основе шаблонов и в сертификаты и соответствии с политикой. Создают списки отозванных отозванных сертификатов в точки Модуль политики Шаблоны Обрабатывает запросы на сертификаты Рис. Функциональная блок-схема служб сертификации в Windows ГЛАВА 16 Службы и открытого ключа в Windows 2000 Компоненты служб сертификации Windows 2000 работают с Microsoft и службы криптографии, что решать многие задачи безопасности, в том числе:
Х обработку на сертификаты модуль);
Х проверку правомочности за сертификатами (модуль Х и выпуск сертификатов для запросивших сертификат и прошедших проверку на (ядро служб сертификации);
Х генерацию закрытою ключа и размещение его в безопасном хранилище получа теля сертификата (поставщики CSP и Microsoft CryptoAPI);
Х управление закрытым ключом во всех (постав щики CSP и Microsoft CryptoAPI);
Х распределение выпущенных сертификатов среди уполномоченных получателей и, по особому запросу, сертификатов на Web-страницах, в общих или в Active Directory модуль);
Х публикацию списков отозванных Active Direc и, по особому па Web-страницах или в общих папках (выходной модуль);
Х сохранение транзакций с сертификатами в следе аудита данных сер тификатов).
Примечание В Windows 2000 криптографические функции и управление закры тым ключом выполняются интерфейсом Microsoft с постав щиками службы криптографии. системная служба или вправе запрашивать криптографические службы Microsoft CrypLoAPI, Модуль входа входа (entry обрабатывает сертификатов стандарта PKCS #10 Key Cryptography Standards), по меха вызова процедур (remote procedure RPC) или по протоколу HTTP. Входной модуль Ч для изменений динамически емая (DLL). Для подачи заявок на сертификаты в служ бы Windows 2000 обычно используют RPC, а для подачи заявок через применяются Web-страницы подачи заявок (Web Enrollment Support) и протокол Запросы на сертификаты в службу сертификации размещаются в ных сертификатов до одобрения или отклонения модулем политики, Примечание Вы вправе специальные приложения для приема запросов на сертификаты. Эти передают запросы в службы сертификации средствами или HTTP о разработке приложений для модействия со службами сертификации Windows 2000 и о формате запросов на фикаты Ч на Web-странице Web по ссылка Microsoft Platform SDK.
ЧАСТЬ 2 Безопасность в распределенных Модули политики политики module) решает судьбу сертификат - будет ли он удовлетворен, отклонен или в очередь отложенных сертификатов до принятия администратором. Службы сертификации 2000 содер жат стандартный модуль политики, содержащий ЦС как для тия, так и для сертификации. Вы также вправе создавать специализированные модули политики для решения своих задач.
Модуль политики предприятия управляет интерактивной обработкой запросов на сертификаты: немедленно выпускает сертификаты или отказывает в запросе. Сис тема в Active Directory за информацией для проверки подлинности об ращающихся сертификатами и затем автоматически решает, или отказать в сертификата типа.
Модуль изолированной политики - по умолчанию отправляет запросы на серти фикаты в отложенных сертификатов для по ним адми Вы вправе изолированного ЦС на автоматичес кое удовлетворение всех запросов на сертификаты. Однако, так как изолированный ЦС не Active Directory для подлинности тех, кто запросил сер тификат, невозможно автоматически аутентифицировать и установить правомоч ность на получение сертификата. Таким образом, настройка автоматическое удовлетворение всех запросов представляет существенную угрозу для безопасности системы.
Настраиваемые модули политики это полностью настраиваемые Подроб нее о создании (или настраиваемых) модулей политики на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK. Средства консоли Certification Authority (Центр позволяют заменить предопределенный модуль политики. Вы также можете разработать модули политики или при обрести их у поставщиков.
Примечание Специализированные модули политики рекомендуется применять только па изолированных ЦС. Для интеграции с Active Directory центр сертификации предприятия нуждается в стандартном модуле политики предприя тия. Применение нестандартного модуля политики на ЦС предприятия в случаях приводит к непредсказуемым результатам.
В процессе принятия решения о выдаче сертификата модуль обращается за информацией к самым разнообразным источникам, например к службе катало гов, унаследованной базе и центрам сертификации. Кро ме того, его разрешается настроить на автоматическое информирование ратора при ручной обработке запросов на сертификаты.
политики размещать в сертификате атрибуты или необходимые для нормальной работы клиентских приложений.
Например, о па сумму заказа, выполняе мого применением сертификата. Такие данные в дальнейшем применя ют, например, в интерактивной форме для определения, имеет ли пользователь пра во па указанную им сумму заказа.
Добавляя обязательные атрибуты в выпускаемый сертификат, модуль политики может извлекать их значения из дополнительной в ГЛАВА 16 Службы сертификации и инфраструктура ключа в Windows 2000 се на сертификат. Например, получение сертификата в содержать все данные о сертификате;
политики помещает эту информацию в выпускаемый сертификат. С другой стороны, для оп ределения сертификатов ЦС использует шаблоны сертифи катов, в ЦС предприятия содержат данных.
В ЦС предприятия атрибуты различных типов сертификатов содержатся в нах сертификатов. ПС предприятия на определенных ти пов авторизованным пользователям и компьютерам. Создавая серти фикат, ЦС атрибуты из шаблона сертификата, в том числе сведения о сертификата, криптографических алгоритмах, длине закрытого ключа и сроке действия. Шаблоны сертификатов в Active Directory и содержат для сертификатов, типы которых в таблице 16-1.
Таблица 16-1. Типы сертификатов, ЦС предприятия Тип сертификата Назначение Administrator Проверка файло вая система (EFS), почта, подписание спис ков доверия (certificate trust и кода Session подлинности клиентов сеанс) Basic Шифрованная файловая система (EFS).
шифрование СЕР Получение сертификатов в ЦС 2000 маршру (СЕР ) тизаторами Cisco Systems, Inc.
(автономный каты для по прото колу Code Signing Подписание кода Computer (Компьютер) подлинности клиентов и Domain Controller Проверка домена. При нали чии ЦС этот тип сертификата автомати домена) чески выдается контроллерам домена для поддержки открытого ключа, для сертификации на контроллерах домена Восстановление данных в EFS EFS Agent восстановления EFS) Проверка администраторов, щих сертификаты от (Агент заявок) (computer) Проверка подлинности служб, запрашивающих серти фикаты от имени других компьютеров [Агент Проверка Microsoft Exchange Enrollment (Обмен агентами подачи Exchange сертификаты от имени запрос) пользователей защищенной почты Exchange Only сервером Exchange Server для проверки (Обмен только подписями) подлинности и для защищенной почты (толь (автономный ко для подписания) (см. стр.) ЧАСТЬ 2 в распределенных системах Таблица (продолжение) Тип сертификата Назначение Exchange User (Обмен сервером Exchange Server для проверки пользователями) подлинности клиентов и для защищенной почты (как запрос) для так и шифрования Sec Проверка подлинности средствами IPSec запрос) Проверка подлинности средствами IPSec Root Certification для установки корневого центра сертифи кации. (Сертификаты на основе атого не вы и используются только при установке Router подлинности (автономный запрос) Smart Card Logon подлинности клиентов и вход с использовани (Вход со смарт-картой) ем смарт-карты Smart Card User Проверка подлинности защищенная элект со смарт-картой) ронная почта и вход со смарт-картой Subordinate Certification Используется для сертификатов Authority центры центра сертификации) запрос) Trust List Signing Подписание списка доверия (certificate trust доверия) User (Пользователь) Проверка подлинности клиента, файловая система и защищенная электронная почта (для подписа ния и шифрования почты) Signature Only подлинности клиента и элект (Только пользователя) ронная почта (только для подписания) Web Server (Веб-сервер) Проверка подлинности Web-сервера запрос) Многие шаблоны существуют для удовлетворения (online) запросов сертификаты, направленных в ЦС Такие шабло ны для выпуска сертификатов клиентам, обладающим учетными за писями Windows 2000 и поддерживающим получение сертификатов в ЦС предприятия. Шаблоны сертификатов для автономных служат для выпуска сертификатов клиентам, обладающим учетными записями Win dows 2000 или не поддерживающим немедленное сертификатов в цент ре сертификации предприятия. При выпуске сертификата для за просов информация о его тельской учетной записи в Windows 2000 и размещается в сертификате. Автоном должны содержать идентификационные данные клиента. Запрашивая сертификат в ЦС предприятия автономно, посредством специализированных Web страниц для подачи заявок Интернет (Web Support), необходимо указать в все сведения (имя, адрес электронной почты, подразделение и другие).
Например, Web-страницы для подачи заявок через Интернет можно использовать для запроса сертификата Web-сервера стороннего Web-сервера, а затем устано вить сертификат на сторонний сервер. Аналогично можно сертифи кат IPSec в а затем вручную установить его на клиенте IPSec ГЛАВА 16 Службы и инфраструктура открытого ключа в Windows 2000 иод управлением операционной системы, от Windows 2000. Шаблон сер тификата центра сертификации является автономным сертификатом, так как идентификационная информация подчиненного ЦС вводится в установки.
Типы сертификатов центра сертификации указаны в его выпуска сертификатов. По умолчанию в Windows 2000 сразу после установки ЦС предприятия способен сертификаты типов. Стандартная конфигурация ЦС изменяется средствами консоли Certification (Центр сертификации), в которой задать типы сертификатов, выпускаемые каждым из центров сертификации.
На ЦС сертификатов не поэтому запросы на сертификаты должны содержать всю информацию, необходимую для определе ния типа сертификата. сертификаты у изолированных ЦС, службы Windows 2000 такую информацию. Для запросов сер определенных в изолированном ЦС также применять Web-страницы для подачи заявок через Интернет (Web Enrollment База данных сертификатов В базе данных сертификатов регистрируются все операции с сертификатами. В ней хранится информация обо всех запросах на сертификаты и сведения об рении или запросов, а также атрибуты выпущенных сертификатов, в том числе серийный номер и срок действия. Механизм базы данных обеспечивает след аудита всех сертификатов Ч от запроса на сертификат до окончания срока его действия, а также отмечает и отслеживает сертификаты, отозванные ад министраторами ЦС. Управление аудитом средствами консоли Authority сертификации).
база данных сертификатов Ч она содержит журналы сер тификатов, в которых регистрируются все транзакции с умол чанию база данных сертификатов и журналы сертификатов в где Ч буква диска, на котором установлен ЦС.
В процессе установки ЦС разрешается- выбрать другое место для хранения базы данных и журналов, а также разместить их на разных дисках.
Модули выхода Модуль выхода образом упаковывает выпущенный сертификат в со ответствии с выбранным механизмом передачи или протоколом и отправляет его по адресу, указанному в запросе. В запросе на сертификат также можно указать место его публикации Ч в службе LDAP-каталога, в файловой системе или по оп URL-адресу. Модуль выхода, кроме того, доставляет списки отозван ных сертификатов (CRL) в точки распространения списков Стандартный модуль выхода публикует сертификаты и списки в Active Directory, а стандартный изолированный модуль выхода публикует серти фикаты и в локальной файловой системе. Тем не менее службы сертифика ции в Windows 2000 поддерживают многие модули выхода, которые устанавлива ются па данном ЦС средствами консоли Certification Authority (Центр сертифика ции). Например, Вы вправе установить модули выхода, 696 ЧАСТЬ 2 Безопасность в распределенных системах ты и списки в унаследованную протокол ODBC (open database connectivity), или службу стороннего про Так же как и модуль политики, модуль выхода представляет собой DLL, его можно и заменять библиотеками. о на стройке модулей - на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK. Замена установленного модуля выхода выполняется средствами консоли Certification Authority сертификации). Вы также вправе разрабатывать свои собственные модули или модули выхода сторонних произво Консоль Certification Authority Консоль Certification Authority сертификации) это оснастка по зволяющая управлять несколькими и выполнять административные например:
Х запуск и остановку ЦС;
Х и ЦС;
Х замену модулей выхода и политики;
Х просмотр сертификата Х или переустановку сертификатов ЦС на данном ЦС;
Х разрешений и делегирование административного ления центром сертификации;
Х отзыв сертификатов;
Х просмотр или точек распространения списков отозванных сертифи Х планирование и публикацию списков Х типов сертификатов, выпускаемых ЦС;
Х просмотр информации о выпущенных сертификатах;
Х просмотр информации об отозванных сертификатах;
Х просмотр отложенных запросов на сертификаты;
Х отказ или одобрение запросов на сертификаты;
Х просмотр отвергнутых запросов на сертификаты;
Х сертификата ЦС.
Подробнее об Certification для управления цент рами и выполнении конкретных административных задачи Ч в вочной системе Certificate Services (Службы сертификации).
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Добавление консоли Certification Authority (Центр сертификации) в окно ммс 1. Откройте ММС.
2. В мелю Console Add/Remove Snap-in удалить оснастку) или нажмите Откроется диалоговое окно Add/Remove Snap-in оснастку).
3. Add (Добавить), Откроется диалоговое Add Standalone Snap-in (Добавить изолированную оснастку).
4. В оснасток выберите Certificates (Сертификаты) и щелкните Add (До бавить).
Откроется диалоговое окно Certification authority (Центр сертификации).
5. Выберите одну из двух возможностей:
Х чтобы ЦС на локальном компьютере, установите переключатель в положение Local computer (локальным компьютером) и затем Finish Х чтобы управлять ЦС на другом установите в положение Another computer (другим а затем домен ное имя компьютера с ЦС или щелкните Browse (Обзор) и выберите ютер из списка. Щелкните кнопку Finish (Готово).
В диалоговом Add Standalone Snap-in Вы можете, еще раз нажав Add, до бавить еще оснастку.
В диалоговом окне Add/Remove Snap-in отображаются Вами оснас тки для установки в ММС.
6. Закончи и оснастки в окне Add Standalone Snap-in, щел Close (Закрыть).
7. В диалоговом окне Add/Remove Snap-in ОК.
На рис. 16-3 показана консоль Certification добавленная в окно ММС.
Она управляет ЦС па локальном компьютере.
Узел Certification Authority сертификации консоли раз вернут Ч Вы видите центра сертификации предприятия. Эти контейнеры перечислены далее.
Revoked Certificates сертификаты) - выделите что бы все сертификаты данного ЦС. Дабы опубликовать вруч ную CRL, щелкните правой кнопкой мыши папку Revored Certificates и в меню выберите All Tasks (Все задачи), а затем Publish (Публика публикации списка щелкните правой кноп кой мыши папку Revored Certificates и в меню выберите Properties (Свойства). Для просмотра сертификата достаточно дважды щелкнуть его мышью. В открывшихся диалоговых окнах Вы сможете публиковать списки изменять расписание публикации списков CRL и просматривать параметры сертификата.
ЧАСТЬ 2 Безопасность в распределенных системах Issued Certificates (Выданные сертификаты) - выделите этот контейнер, чтобы просмотреть о всех выпущенных ЦС. Дабы сертификат, сертификат правой кнопкой мыши и в контекстном меню All Tasks (Все задачи), а - Revoke Certificate (От сертификата). Для просмотра сертификата достаточно дважды щелкнуть его, Pending Requests (Запросы в ожидании) выделите этот контейнер, чтобы про информацию о всех на сертификаты в данном ЦС.
Дабы отложенный запрос на сертификат, щелкните правой кнопкой запрос и в контекстном меню выберите All Tasks (Все а затем Issue (Вы дать). Чтобы отказать в отложенном запросе на сертификат, праной кноп кой мыши запрос и в меню выберите All Tasks, а затем Deny (Зап В открывшемся диалоговом действия для опе рации отказа в запросе, Revoked Requests Policy Рис. 16-3. Консоль Certification Authority Failed Requests запросы) в этом контейнере содержится информа обо всех запрошенных сертификатах, в которых отказано. В столбце Request Disposition Message (Запрос сообщения распоряжения) поясняется при чина отказа, Policy Settings (Параметры политики) (только ЦС предприятия) Ч в этом контей нере хранится информация о типах сертификатов, выпускаемым ЦС предприятия.
Чтобы удалить тип сертификатов, достаточно выбрать его и Delete. Для добавления типа сертификата пра вой кнопкой в контекстном меню New (Создать) и в открывшем ся окне щелкните Certificate сертификат). В следующем диалоговом окне выберите и требуемые типы сертификатов.
По при контейнера, Failed Requests, многие из столбцов в области (правой окна) скрыты.
Выбор столбцов, отображаемых в области сведений 1. Щелкните правой кнопкой контейнер, в контекстном меню выберите подменю View и щелкните Choose Columns (Выбрать столбцы).
Откроется диалоговое Modify Columns (Изменить столбцы).
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 2. Средствами диалогового окна Modify Columns добавьте, удалите или измените отображения и ОК.
Подробнее об использовании диалогового Columns Ч в справоч ной системе служб сертификации.
Microsoft CryptoAPI и поставщики службы криптографии Microsoft CryptoAPI безопасный интерфейс для крипто графических операций, предоставляемых модулями поставщи ка службы криптографии (cryptographic service provider, CSP). Эти модули выпол все криптографические операции и управляют закрытыми ключами. CSP ре ализуются в виде программ или устройств. Служ бы сертификации Windows 2000 используют CryptoAPI и CSP для всех криптографических и управления закрытыми ключами. Функции CryptoAPI и CSP доступны всем службам и приложениям, нуждающимся крип службах. о CryptoAPI и CSPs Ч на Web Resources по адресу ссылки Microsoft Security Advisor и Microsoft Platform SDK.
Аппаратные и программные поставщики службы криптографии Поставщики службы криптографии реализуются программно, аппаратно или как комплекс средств. решения криптографичес кий и управления ключами более безопасны, чем программные, так как в криптографические операции и закрытые изолированы от операцион ной системы. С другой стороны, аппаратные решения например на смарт-кар те, обычно количеством закрытых а на новых клю чей много времени.
Программные поставщики службы криптографии более гибки, чем аппаратные, но за гибкость приходится платить некоторым снижением степени безопасности.
Тем не менее программные CSP вполне достаточную защиту, летворяя в безопасности. CSP применяют в специализированных безопасности, например для входа со смарт-картой или для обеспечения защищенной связи Интернет с примене криптографических карт Производители предлагают аппаратные и программные поставщики службы самые криптографические ции и технологии. Однако их нормальная работа в Windows 2000 гарантирована, только если они и подписаны Microsoft. компа нией Microsoft службы безопасности в Windows 2000 не работают.
Поставщики службы криптографии производства Microsoft Далее перечислены поставщики службы криптографии производства Microsoft, со держащиеся в Windows 2000, Microsoft Base Cryptographic Provider поддерживает широкий набор основных криптографических функций. На не налагаются на экспорт крип тографических технологий США, и он разрешен к экспорту в другие страны и ре (однако пего распространяются общие на экспорт из США и ограничения других стран). Base CSP построен на RSA, на которую принадлежит компании RSA Data Security.
700 ЧАСТЬ 2 Безопасность в распределенных системах Microsoft Enhanced Cryptographic Provider те же что и Base CSP, но поддерживая ключи большей длины и дополнитель ные криптографические алгоритмы. Этот CSP подлежит ограничениям на экспорт криптографических технологий правительства США и недоступен в странах или регионах. Этот поставщик службы криптографии также построен на основе технологии RSA.
Microsoft DSS Cryptographic Provider подписание данных и провер ку подписи по алгоритмам (Secure Hash и DSA (Digital Signature Он также не подпадает под ограничения на экспорт криптографичес ких технологий Соединенных и к экспорту в другие страны и регионы (однако подлежит общим на экспорт США и ограничениям других Microsoft Base DSS and Cryptographic Provider является дополне нием DSS Cryptographic Provider и поддерживает обмен ключами по схеме Ч Хелмана, хэширование (создание выборки сообщения), подписание данных и проверку подписи средствами DSA и SHA. Этот CSP подлежит огра ничениям па экспорт криптографических Соединенных Штатов и не доступен в отдельных или регионах.
Schannel Cryptographic Providers Microsoft Cryp tographic Provider, Microsoft DSS Cryptographic Provider и Cryptographic различные криптографические функции не обходимые для целостности данных, обмена ключом сеанса и провер ки подлинности в процессе обмена через Интернет по протоколам TLS и SSL. Эти CSP не подлежат ограничениям на экспорт криптографических техноло гий Соединенных Штатов и к экспорту в другие страны и регионы (од нако подлежат общим на экспорт из Соединенных Штатов и импор тным ограничениям других стран).
Сертификация по стандарту Level Все CSP в Microsoft Windows 2000 сертификатом FIPS 140-1 Level (Federal Processing Standard), Национальным институтом стандартов и технологий (National Institute of Standards and Требования стандарта FIPS 140-1 Level 1 определены в документах посвящен 140-1. узнать, как получить документы о непосредственно в NIST Подробнее о FTPS 140-1 - в главе 13 Обеспечение безо пасности средствами технологии открытого Сравнительный анализ Base CSP и Enhanced CSP Cryptographic Provider (Base CSP) разрешен к практически свобод ному экспорту из США, a Cryptographic Provider (Enhanced CSP) подлежит ограничениям на криптографических технологий и досту пен только в некоторых странах, в которые разрешен экспорт устойчивых криптог рафических технологий. Подробнее об ограничениях на экспорт криптографичес ких технологий Ч в главе 14 в сетевых и на Web-странице Web Resources по адресу ссылка Microsoft Security Advisor.
В 6-2 представлены различия Base CSP и Enhanced CSP для стан дартной длины.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Таблица 16-2. Сравнение Base CSP и Enhanced CSP Алгоритм Base CSP Enhanced CSP открытого Длина ключа: 512 бит 1 024 бит для RSA-алгоритм открытого Длина ключа: 512 бит Длина ключа: 1 024 бит ключа для обмена ключами Алгоритм Длина ключа: 40 бит Длина ключа: 128 бит RC2 Длина изменяемой открытой части ключа (salt): настраивается Алгоритм потокового Длина ключа: 40 бит ключа: 128 бит шифрования RC4 Длина открытой части DES Не Длина ключа: 56 бит DES (2 ключа) поддержи нается Длина ключа: бит Triple DES (3 ключа) поддерживается Длина ключа: бит В обоих CSP длина открытых ключей цифровых достига ет 384 бит. Однако открытых ключей, которые используются для шифро вания ключей и обмена ключами (то есть для защиты закрытых ключей), ограни чены 1 024 битами в Base CSP и 16 Ч в Enhanced CSP. Кроме того, длины сим метричных ключей в алгоритмах шифрования Base CSP меньше и обес печивают менее стойкую криптографическую защиту. В целом, длины ключей и алгоритмы в Enhanced CSP обеспечить гораздо более дежную криптографическую защиту.
В обоих CSP длина открытых ключей, используемых для подписей и обмена ключами, составляет 384 бита. ключи длиной 384 не стоит. Рекомендуемая длина - не менее 512 бит, а по 1 024 бита. Ключи свыше 1 024 бита обеспечивают устойчивые С другой стороны, длинные ключи создают вычислитель ную и процесс подписания занимает много это отри цательно сказывается па компьютера и может Вас от их применения. По умолчанию длина открытого ключа в Base CSP Ч 512 а в Enhanced CSP Ч 1 024 бит. сертификации в Win dows 2000 обычно используют заданные по умолчанию длины открытых ключей хотя Вы установить другую длину поддерживаемую CSP.
Enhanced CSP с Base CSP за исключением того, что для алгоритмов RC или RC4 эти поставщики службы безопасности ключи только (по длины: в Base CSP это 40 бит, а в Enhanced CSP 5ит. Enhanced CSP несовместимы с Base CSP. Однако CSP импортирует ключи RC2 и менее 128 бит, то есть он поддерживает ключи, созданные в Base CSP.
Поставщики службы поддерживающие смарт-карты Windows 2000 содержит поставщики CSP, смарт-карты, двух про изводителей: Gemplus SCA и Limited. Card CSP и CSP криптографические операции с смарт-картами Gemplus и Schlumberger. Co разрабатываются и сер тифицируются для Windows 2000 CSP, 702 ЧАСТЬ 2 в распределенных системах карты. Подробнее о поставщиках службы криптографии, поддерживающих смарт па Web-странице Web Resources по адресу ссылка Microsoft Security Advisor.
Ограничения на экспорт криптографических технологий На модули CSP налагаются на криптографических техноло гий, в частности США и другими странами. Доступность модулей CSP экспортным и импортным ограничениям конкретных стран.
длина ключей, поддерживаемых программным обеспечением в со ставе Windows 2000, составляет 40 или 56 бит для симметричного шифрования и разрешена к в стран мира. Обладая правом не подлежащие экспорту криптографические технологии, Вы можете получить у Microsoft компакт-диск Encryption Pack и с его помощью преобразовать экспорт ную версию Windows 2000 в версию, поддерживающую криптографию.
Па этом есть к экспорту версия Microsoft Enhanced Cryptographic for Windows 2000.
Подробнее о доступности компакт-диска Encryption Pack и текущей политике экс порта криптографических технологий в продуктах Microsoft Ч на Web Resources по адресу ссылка Microsoft Security Advisor.
Хранилища сертификатов В Windows 2000 объекты открытых ключей, в том числе сертификаты, и списки CTL (certificate trust list) находятся хранилище сертификатов. При не обходимости службы и компьютеры обращаются ключами в хра нилище. В Windows 2000 существуют физические и логические хранилища.
Физическое хранилище сертификатов (physical certificate store) Ч это место, фи зически размещены объекты открытых ключей Ч локально (в или (в Active Directory). Многие из открытых в физических хранили щах применяются пользователями, службами и компьютерами. Эта ция средствами логических хранилищ сертификатов.
В логическом хранилище (logical certificate store) сертификаты сгруппированы в ло гические и для удобства к ним пользовате лей, и служб. Логические хранилища сертификатов указате ли на хранилища и управляются средствами оснастки (Сер тификаты). в логических хранилищах сертификатов отражается па содер соответствующих физических хранилищ, размещенных в реестре или в Active Directory. Поскольку службы и компьютеры обращаются только к ло гическим Вам придется отслеживать, где физически размещены сер тификаты, и редактировать управляя хранилищем сертификатов.
логических необходимость создавать несколько ко пий таких объектов, как корневые сертификаты, списки и Пользователи и службы применяют множество стандартных объектов ключей совместно с локальным компьютером. Объекты общих закрытых ключей в разделах системного реестра компьютера. некото рые из них предназначены только для отдельных служб, или конк ретных компьютеров. Поэтому у каждого из них есть индивидуальные хранилища, где размещены сертификаты, списки CTL ГЛАВА Службы сертификации и инфраструктура открытого ключа в Windows 2000 и Например, и получить сертификат или С который будет размещен в его персональном логическом а физически в физическом хранилище реестре. Такие сертификаты и CRL используются совместно с или его службами.
Кроме того, некоторые объекты открытых ключей, такие, как сертификаты и списки и с групповой кой открытом ключа (Public Key Group Policy). Объекты открытых ключей, рас пространяемые групповой политики, хранятся в областях реестра и отображаются в логических хранилищах, где доступны для лей, компьютеров и служб. В оснастке Group Policy (Групповая политика) можно создать раздельные списки для и компьютеров. CTL пользова телей недоступны службам или компьютерам, однако компьютеров пользователям и службам.
В логических хранилищах сертификаты по категориям.
Personal Ч в этой категории хранятся личные сертификаты пользовате ля, службы или компьютера. Например, когда Вы получаете в сертификат (Пользователь), он попадает в Personal, Вашей учетной записи, Trusted Root Certification Authorities (Доверенные корневые центры сертифика ции) содержит сертификаты корневых ЦС. Компьютер доверяет сертификатам с путями сертификации, ведущими к в этой папке корневым ЦС, и санкционирует их использование для всех разрешенных этими фикатами.
Enterprise Trust (Доверительные в предприятии) содержит списки Компьютер доверяет сертификатам с путями ведущими к сертифи катам, в списке CTL, поддерживать назначения, разрешенные Intermediate Certification Authorities (Промежуточные центры со держит сертификаты ЦС, которые не являются корневыми сертифи катами (например, сертификаты ЦС), но требуются для правильности пути сертификации. В хранилище также размещаются списки CRL, к которым обращаются пользователи, службы и Active Directory User Object пользователя Active Directory) содержит сер тификаты, в Directory для пользователя. Это хранили ще доступно в Certificates (Сертификаты) только для пользователей, но не для или служб, Request (Запрос) содержит отложенные или отклоненные запросы на сертификат.
Это доступно в Ccrtiiicates (Сертификаты) только после чения запроса на сертификат для компьютера или службы, SPC содержит сертификаты для которым доверяет компьютер. Программное обеспечение, подписанное рас пространителями, сертификаты которых в этом хранилище, загружа ется автоматически (пользователь информируется). По умолчанию это храни лище пусто. При загрузке программного Mic rosoft Internet Explorer у доверяет ли он всему программ ному обеспечению, подписанному распространителем. В случае 704 ЧАСТЬ 2 Безопасность в распределенных системах тельного ответа браузер (software publisher certificate, SPC) в хранилище SPC. Последнее дос тупно в консоли Certificates только локальному компьютеру, но не пользователям или службам, Особенности инфраструктуры открытого ключа Далее перечислены основные элементы инфраструктуры открытого ключа и служб сертификации в Windows 2000:
Х консоль Certificates (Сертификаты) Х доверия центров сертификации;
Х центры сертификации (и Windows 2000;
Х жизненный сертификатов;
Х выпуска и сертификатов;
Х политика открытого ключа Key Group Policy);
Х списки отозванных сертификатов;
Х предустановленные сертификаты доверенных корневых Х поддержка смарт-карт;
Х сопоставление сертификатов;
Х перемещаемых профилей.
Консоль Certificates Консоль Certificates (Сертификаты) - это оснастка ММС, средствами которой уп хранилища компьютеров и служб. Она поддерживает следующих Х просмотр информации сертификатов, в том числе содержания сертификата и пути сертификации;
Х импорт сертификатов в Х перемещение сертификатов между Х экспорт сертификатов и по особому требованию Ч ключей (если эта операция Х удаление сертификатов из хранилища:
Х сертификатов в ЦС предприятия для размещения в Personal.
Подробнее об консоли Ч R справочной ки Certificates (Сертификаты).
Добавление консоли Certificates в окно ММС 1. Откройте ММС.
2. В меню Console (Консоль) выберите Add/Remove Snap-in (Добавить/ удалить оснастку) или Откроется диалоговое окно Add/Remove Snap-in оснастку).
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 3. Add (Добавить).
Откроется диалоговое окно Add Standalone Snap-in (Добавить изолированную оснастку).
4. В списке оснасток Certificates (Сертификаты) и Add (До бавить).
Откроется диалоговое окно Certificates Snap-in (Оснастка диспетчера сертифи 5. Выберите одну из перечисленных учетных записей:
Х My user account (моей учетной записи пользователя);
Х Service account (учетной службы);
Х Computer account (учетной записи компьютера), Консоль Certificates будет управлять сертификатов для учетной записи.
6. Щелкните Next (Далее).
Если Бы выбрали My user account, то в окно Add Standalone Snap-in. Вы можете еще раз щелкнуть Add, чтобы одну оснастку.
Если Вы выбрали Service account или Computer account, то откроется диало говое Select Computer (Выбор Для управления локальным компьютером щелкнуть Next (Далее). Чтобы управлять другим ком пьютером, либо введите доменное имя компьютера в поле Another computer (другим либо щелкните кнопку Browse (Обзор) и выберите ком пьютер списка. кнопку Next.
Если Вы Computer account, то вернетесь в диалоговое окно Add Stan dalone Snap-in. Вы можете еще раз щелкнуть кнопку Add, чтобы добавить одну оснастку.
Если Вы выбрали Service account, то откроется диалоговое окно Certificates Snap-in. службу из списка Services account (Учетная запись службы) и щелкните Finish (Готово). Возвратившись в диалоговое окно Add Standalone Snap-in, Вы можете еще раз щелкнуть Add и добавить еще одну оснастку.
7. Закончив добавлять оснастки в диалоговом Add Standalone Snap-in, щел кните Close (Закрыть).
Вы вернетесь в диалоговое окно Add/Remove Snap-in с Вами в оснастками.
8. В диалоговом окне Add/Remove Snap-in ОК.
На рис. 16-4 показаны три узла Certificates, в окно ММС.
узел управляет сертификатами вошедшего в систему пользователя, второй - сертификатами для службы World Web Publishing (Служба веб-публика ции) на локальном компьютере, а третий сертификатами для самого локального компьютера.
706 ЧАСТЬ 2 Безопасность в распределенных системах !-,. Х Root Root Certification LJ Trusted Authorities : Enterprise Trust LJ Active User Object Intermediate ion User Object. D - Service Web on Local Computer В Root О Certification Computer) Ё LU Root Authorities Trust Cl Intermediate Certification Authorities Рис. 16-4. Консоль Certificates (Сертификаты) Узлы консоли Certificates на рис. раскрыты Ч Вы можете изучить хранилища сертификатов. Этот режим отображения называется Logical display mode (Логическое хранилище). Сертификаты можно просматривать по физичес ким хранилищам или по назначению.
Чтобы изменить режим одну из консолей Certificates. В View (Вид) щелкните команду Options (Параметры). В открывшемся диало говом View Options (Параметры просмотра) задайте требуемые параметры отображения хранилищ сертификатов. Эти параметры в 16-3.
Таблица 16-3. Параметры диалогового окна View Options (Параметры просмотра) Параметр Описание Certificate purpose сертификаты в режиме по напри (по назначению) мер файловая файлов или подписание кода Logical certificate stores Отображает сертификаты в логическим (по логическим щам, в котором они сгруппированы по логическим хранилищам) щам, к которым относятся. Этот режим просмотра установлен по умолчанию Physical certificate stores В дополнение к логическим отображаются и физические хра хранилища) нилища. Этот параметр только в режиме отображе ния по хранилищам certificates При установке этого параметра отображаются архивные фикаты. Windows 2000 архив сертификатов и их закрытых ключей, срок жизни которых истек или обновлен ных. Рекомендуется хранить архивные сертификаты, так как требуется воспользоваться ими или их ключами. На пример, может понадобиться проверить на старом документе, подписанном ключом серти фиката или сертификата с сроком действия ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Модель доверия центров сертификации Инфраструктура открытого ключа Windows 2000 поддерживает иерархическую мо дель и списков Чтобы доверенными серти фикатами па Вы можете службы сертификации dows 2000 и создать иерархию доверенных ЦС. Кроме тою, для этих целей создают Иерархии центров сертификации Инфраструктура открытого в Windows 2000 поддерживает иерархическую модель центров или иерархию (certification hierarchy), для удобства и совмести мости со коммерческими ЦС сторонних производителей и обеспечением, поддерживающим открытого ключа. Про стейшая форма иерархии это один центр сертификации. Однако обычно иерархия содержит множество ЦС с четко определенными отношениями типа Ч На рис. несколько иерархии ЦС.
Уровень Root CA 1 ЦС) Root CA 2 (корневой ЦС) Уровень Intermediate CA Ч С Issuing CA Ч A ЦС) Issuing CA Ч В (выпускающий ЦС) ЦС) Уровень Сертификаты Issuing CA Ч D ЦС| Уровень Сертификаты Рис. Иерархии сертификации Б соответствии со своими потребностями Вы вправе несколько хии ЦС. Центр сертификации на вершине иерархии ЦС (root CA). Корневой ЦС сертифицирует себя сам, и свой фикат ЦС. Это наиболее ЦС в организации. обеспечить максимальную безопасность такого центра сертификации. Все ции предприятия обязаны подчиняться родительскому ЦС 708 ЧАСТЬ 2 Безопасность в распределенных системах пего уровня или ЦС. и зависят от доменной отношений центров тем не ме нее ЦС иерархии могут размещаться в разных Дочерние ЦС ЦС (subordinate CA). ЦС сертифицируется родительским ЦС тот выпускает и сертификат ЦС. Подчиненные ЦС на промежуточные и выпус кающие ЦС. Промежуточный ЦС CA) выдает сертификаты только подчиненным ему ЦС. Выпускающие ЦС (issuing CA) выдают сертификаты пользо вателям, компьютерам и службам.
Не существует ограничений на иерархии сертификации. Тем не для потребностей вполне достаточно треху ровневой сертификации - корневой ЦС, промежуточный ЦС и ющий ЦС.
сертификации Иерархия сертификации создает Ч путь сертификации (certification path) - от определенного к ЦС. На рис. 16-6 показан че тырехуровневый путь сертификации в трехуровневой иерархии ЦС, на рис. 16-5.
I CA A - D Рис. 16-6, Пути сертификации В этом примере у сертификата EPS Recovery Agent (Агент восстановления ЦС CA - есть путь до высшего ЦС Root CA 2. Сертификат агента EFS является потому что сертификат ЦС Root CA 2 содержится в хранилище Trusted Root Certification Authorities сертификации).
ГЛАВА 16 Службы открытого ключа в Windows 2000 Путь сертификации проходит сертификаты вплоть до корневого Сер с действительным путем сертификации до сертификата, раз хранилище в Trusted Root Certification доверены назна чения, перечисленные в корневом сертификате. Если сертификат ЦС для пути не в этом хранилище, путь сертификации не будет до тех пор, пока сертификат корневого ЦС будет добавлен в Trusted Root Certification Authorities.
Microsoft исследует действительность пути сертификации от сертификата до сертификата корневого ЦС, проверяя все сертификаты на этом пути. В каждом сертификате содержатся сведения о родительском ЦС, выпустив шем его. CryptoAPI последовательно извлекает эти из сертификатов ро дительских ЦС, в пути сертификации, либо из одного хранилищ Intermediate Certification Authorities или Root Certification Authorities (если хранятся в одном из них), либо из доступного интерактив хранилища (например, доступного по HTTP- или LDAP-адресу), ука в сертификате. недействительность или хотя бы одного сертификата па пути CryptoAPI не разрешит доверять дан пути сертификации.
Обнаружив в проверки пути сертификации сертификат подчиненного ЦС, CryptoAPI размещает его хранилище Intermediate Certification Authorities (если его там не было) для будущих ссылок. Тем не менее для ютеров, импортировать сертификаты ЦС в Intermediate Certification Authorities, чтобы обеспечить путей сертификации с использованием сертификатов ЦС.
На рис. показан недоверенный путь сертификации - здесь корневого серти фиката нет в хранилище Trusted Root Certification Authorities.
- С О CA - С О Рис. 16-7. Недоверенный путь сертификации 710 ЧАСТЬ 2 в распределенных системах По умолчанию сертификаты, доверенным пригодны для всех раций, указанных сертификате доверенного ЦС. Средствами диалогового Certificate (Сертификат) на вкладке Details (Состав) можно цели, для которых применяются локальные сертификаты. Вы также вправе списки CTL для определения доверенных сертификатов и ограничения перечня доверенных им операций.
Списки доверия Для создания списков (certificate trust list, CTL) использу ется мастер Certificate Trust List (мастер списков доверия сертификатов). Он до ступен из контекстного меню раздела Public Key Policy (Политики открытого ча) консоли Group Policy (Групповая политика). В CTL перечислены доверенные корневые ЦС, то есть сертификаты с путями сертификации, ведущими к ленным в списке корневым ЦС, доверенным для указанных в этом списке це лей. Списки CTL создаются для компьютеров и пользователей. Списки CTL для компьютеров действительны для всех компьютеров, пользователей и служб в обла сти действия данной групповой а списки CTL для пользователей Ч толь ко для пользователей в области действия групповой политики. На рис. пока зан пример пути сертификации с i Root issuing CA CTL [ CA - С OB Рис. 16-8. Путь доверия сертификации со списком В этом примере путь сертификации от Recovery Agent к ЦС Root CA 2 иден тичен пути сертификации, на рис. 16-6, но сертификата ЦС Root CA 2 нет в хранилище Trusted Root Authorities. В пути так же содержатся список CTL, сертификат, подписывающий список (в нашем примере Ч CTL Signing), и сертификат корневого ЦС, под писывающий сертификат (лRoot Issuing Сертификат Recovery Agent ГЛАВА 16 Службы и инфраструктура открытого ключа в Windows является доверенным, потому что сертификат ЦС Issuing (то есть ра сертификации, сертификат Signing) размещен хранилище Trusted Root Certification Authorities.
CTL администратор, сертификатом для подписания списков доверия, сертификатом Administrator гра или Trust List Signing списка доверия), ЦС По умолчанию списки действительны до истечения срока ствия сертификата, для подписания. Однако Вы вправе огра ничить срок доверия сертификату, установив более короткий срок действия CTL.
По умолчанию члены групп Domain Admins (Администраторы домена) и Enterprise Admins (Администраторы предприятия) обладают на получение тификатов Administrator и Trust List Signing. Чтобы изменить стандартные метры получения сертификатов, следует скорректировать списки управления до ступом (ACL) в шаблонах и Trust List Signing.
Списки CTL только в том случае, когда пути сертификации подпи сывающих их сертификатов к корневому ЦС. информация о котором имеет ся в хранилище Trusted Certification Authorities. На рис. 16-9 CTL, недействительный по недействительности сертификата, которым под писан. Это одна из непригодности списка CTL. Всего их две: либо путь тификации сертификата, список к доверенному корневому сертификату, либо подписывающего сертификата истек.
The that signed Encrypting identifier 4300 2000 3200 0000.
Effective Monday, July 26, algorithm 8C77 9975 | name Рис. 16-9. Недействительный список CTL хранятся в хранилище Enterprise Trust и доступны для просмотра в консоли Certificates.
402/ 712 ЧАСТЬ 2 Безопасность в распределенных системах В можно разрешенных сер тификатов. Например, даже если в сертификата указана его пригод ность для подписания программного кода, для защищенной почты и проверки под линности то список CTL способен ограничить его область действия толь ко проверкой подлинности клиентов. часто для ограничения сертификатам, выпущенным и управляемым другими На пример, Вы сконфигурировать на доверие сертификации дело вого партнера только для подписания кода и проверки подлинности в управляемом Вами экстранете.
Сервер Information Services также поддерживает CTL для защищен ных Web-узлов. о списках в Ч в главе 13 Обеспечение безо пасности средствами технологии открытого ключа.
Процесс проверки действительности сертификата Windows 2000 доверяет только сертификатам, проверку действитель ности, то есть действительности самого сертификата и его пути сертификации. На рис. 16-10 показана блок-схема этого процесса.
Существует недействительности сертификатов и отсутствия до верия к ним:
Х дата действия и срок несовместимы или срок действия истек;
Х некорректный формат сертификата (не соответствует стандарту v3);
Х ошибочная или неполная информация в полях сертификата;
Х проверки сертификата не соответствует подписи, ука зывая на его фальсификацию или Х сертификат в опубликованном списке сертификатов;
Х выпустившего сертификат центра сертификации нет ни в доверенной иерархии сертификации, ни в списке Х корневого ЦС пути нет в хранилище Trusted Root Certification Х назначения, для которых выполняется попытка использовать сертификат, за в Сертификат ЦС с истекшим сроком действия в пути сертификации не лишает этот путь действительности. В инфраструктуре открытого ключа Windows 2000 путь сер тификации остается в силе, если сертификат ЦС был в момент вы пуска сертификата. Допустим, что ЦС сторонней выпустил сертификат со сроком действия более чем у самого ЦС. После истече ния срока действия сертификата ЦС путь сертификации для выпущенного им сер тификата останется в силе, и сертификат останется действительным и доверенным.
ГЛАВА Службы сертификации и открытого ключа в Windows Начало Проверка наличия сертификата доверия Есть списки Проверка дат начала Проверка списков и окончания срока доверия сертификатов действия Нет ХХ Действительны Есть ли ЦС в списке пи даты?
доверия?
Проверка Проверка наличия целостности разрешенных Недейст Недействи Нет вительный тельный Успешна ли Разрешено ли проверка запрошенное назначение?
Проверка наличия цепочки доверия к доверенному ЦС Есть ли в цепочке доверенный ЦС?
Действительный сертификат Рис. 16-10. Основные этапы проверки действительности сертификата Преимущества многоуровневых иерархий сертификации При системы стоит рассмотреть возможность многоуровневой иерархии сертификации, состоящей ЧАСТЬ 2 в распределенных системах и выпускающего центров сертификации. Многоуровневые иерар хии обладают многими Общие преимущества Х Число корневых ограничено и невелико, что центра и обслуживать систему, высокую безо пасности и целостности для корневых ЦС.
Х убытков и негативных в случае иди сбоя ЦС.
Х Система Ч гибкая: отдельные подразделения могут развертывать и управлять промежуточными ЦС для своих потребностей по безопасности на базе технологий открытого ключа.
Х Система - гибкая: подразделения состоянии и управлять выпус кающими ЦС для сертификации и служб сертификации.
преимущества Х Гибкое конфигурирование окружения безопасности ЦС (надежность ключей, физическая защита от сетевых атак и др.). возможность среду центров сертификации для обеспечения равно весия между безопасностью удобством работы. на корневом ЦС Вы можете установить криптографические устройства, разме стить его в физически хранилище и обеспечить доступ к только в (offline) режиме. Для выпускающих ЦС криптог рафические решения, закрытые хранилища и работа в режиме могут оказаться дорогостоящими, кроме того, они способны затруднить взаимо действие с ЦС и снизить их быстродействие и эффективность.
Х Можно относительно часто ключи и сертификаты для промежуточ ных и выпускающих ЦС, риск компрометации которых не суще ствующие доверительные отношения с корневым ЦС.
Х Можно лотключить часть иерархии ЦС, не нарушая существующие довери тельные отношения с или остальной частью иерархии. Например, чение выпускающего ЦС сайта не нарушит работу других служб сер тификации данного или других сайтов.
Преимущества использования множественных выпускающих центров сертификации Х настраивать политики сертификации для различных групп пользователей или компьютеров. Например, выпускающие ЦС для сертификации отдельных групп пользова телей и компьютеров.
Х Бы вправе настраивать политики организаци одного типа, например роли пользователей или компьютеров на предприятии. Для этого также создается ЦС.
Х Разрешается строить политику сертификации по геогра фическому признаку, например политику для сайта, в котором рас положены пользователи и ГЛАВЛ 16 Службы сертификации и инфраструктура открытого ключа в 2000 Х Можно распределять нагрузку сертификации и запасные службы, раз вертывая несколько выпускающих Порядок распределения нагрузки серти фикации настраивается в соответствии с особенностями сайтов, подклю чений серверов и по нагрузке. Например, для медленных или раз сетевых соединений между сайтами требуется выпускающий ЦС в каж дом из них для обеспечения приемлемой службы сертифи кации и в работе. Кроме того, разрешается создание нескольких дуб выпускающих ЦС - при сбое ЦС его функции подхватывает ре зервный ЦС, таким работы службы.
Центры сертификации в Windows Windows 2000 Server и службы сертификации поддерживают два типа корневых и центров сертификации: ЦС предприятия и изолированный ЦС.
Центры сертификации предприятия ЦС предприятия (Enterprise СА) интегрирован с Active и публикует сертификаты и списки в этой службе каталогов. Решение о выпус ке или отказе в выдаче принимается на основании хранимой в Active информации шаблонов сертификатов, учетных записей и групп безопасности. Для получения сертификата разрешением (Заявка), предоставленным в списке (access control list, ACL) шаблона сертификата запрашиваемого типа. При сертификата ЦС предприятия использует информацию в шаблоне сертификата и создает сертификат со всеми необходимыми атрибутами типа.
устанавливать выпускающих ЦС в качестве ЦС приятия, что гарантирует максимум преимуществ от интеграции с Directory, в том числе автоматическую обработку запросов на сертификаты и сер тификатов компьютерами. Кроме того, только ЦС предприятия сертификаты для входа в систему со смарт-картой, так как эта процедура требует автоматического (mapping) сертификатов запи сям пользователей в Active Directory, а также нуждается в центры сертификации ЦС (stand-alone CA) не обращается к Active Directory и не исполь зует В таком ЦС вся информация о требуемом те содержится в запросе. Страницы приема запросов на сертификаты через Интер (Web Enrollment Support), для изолированного ЦС.
живают запросы на сертификаты многих типов, По все запросы сертификатов, направленные в изолированный ЦС, раз мещаются в очереди сертификатов до их ЦС. Теоретически разрешается сконфигурировать изолированный ЦС на автома выпуск сертификатов, однако на практике это не так как создает угрозу безопасности.
Если требуется автоматизировать сертификатов в ответ на запросы, разра ботайте модули политики, обеспечивающие безопасное одоб рение или отказ в сертификатов. Например, специализированный модуль политики, который автоматически предоставляет сертификат если тот прошел проверку на основании информации, содержащейся в ЧАСТЬ 2 распределенных системах ванной базе данных или в службе каталогов сторонней организации. Изолирован ные ЦС не в выпускать для в систему со смарт-кар той, но поддерживают другие типы для смарт-карт. Например, изо лированный ЦС с запросов на сертифи каты через Интернет способен выпускать сертификаты для защищенной и браузера, размещаемые на того, кто запрашивает серти фикат.
По публикует списки сертификатов (CRL) в папке:
где - буква диска, на котором установлен ЦС.
изолированного ЦС, если требуется выпускать большое качество сертификатов, обычно не оправдано, так как возрастают издержки на администри рование. Это вызвано тем, что администраторам приходится вручную изучать и принимать решение по каждому запросу на Поэтому изолированные выпускающие ЦС обычно используются с поддерживающими тех нологии открытого ключа, в и Интернете, где у пользователей нет учет ных записей Windows 2000, а число выпускаемых и управляемых сертификатов от носительно невелико.
Однако при использовании службы каталогов сторонних или в условиях Active Directory допускается применение только изолиро ЦС. Кроме того, изолированный ЦС способен обеспечить дополнительную гибкость при планировании и управлении жизненным циклом сертификатов в сис теме корневых и промежуточных ЦС.
Жизненный цикл сертификатов Под сертификатов (certificate life cycle) мы понимаем следую щие события служб сертификации:
Х установку ЦС и сертификата для него;
Х выпуск сертификатов центром сертификации;
Х отзыв (по мере Х обновление сертификатов или истечение срока их действия;
Х сертификатов ЦС до истечения срока их действия;
Х отзыв или отключение ЦС.
Выпущенные сертификаты становятся недействительными по истечении срока их действия. При необходимости их обновляют. Это делают и до окончания его срока действия Ч для обеспечения работы служб сертификации на пред приятии.
Центры сертификации Windows 2000 поддерживают только вложенные сроки жизненных циклов сертификатов, то есть запрещено выпускать серти фикаты со сроком действия более чем у самого ЦС. Если срок действия, определяемый типом сертификата, срок действия серти фиката ЦС, центр сертификации это значение до срока действия фиката ЦС. Таким образом вложенные сроки действия сертификатов Ч важное об стоятельство, которое следует учитывать, планируя цикл жизни в ЦС ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 служб сертификации в Windows 2000. В центрах сертификации произ водителей такие ограничения могут отсутствовать.
Определение жизни сертификатов, выпускаемых ДС отли чается от порядка, для изолированных ЦС. вы пускает сертификаты со сроками действия, в шаблонах сертифи катов. Время жизни сертификатов, выпускаемых изолированными ЦС, ется параметрами конфигурации ЦС в реестре, а также некоторыми другими фак торами. Кроме того, следует не превышать время безопасного использования за крытых ключей.
Вложенные сроки действия В Windows 2000 ЦС предприятия и изолированные ЦС должны соблюдать вложе сроков действия для всех сертификатов ЦС и ими сертификатов.
Например, если сертификат корневого ЦС действителен до 2 января 2010 года, ни один из его дочерних центров сертификации в цепочке ниже корня не способен выпустить сертификат с более действия. Если промежуточный ЦС в Windows 2000 имеет сертификат, действительный до 2 января года, то ника кой из его дочерних ЦС не сертификат со сроком действия более по чем 2 января 2006. Если у выпускающего ЦС сертификат действителен до 2 января 2002 ему не удастся выпустить сертификат со сроком действия по зднее этой даты.
обладая ЦС действительным до 2 января 2002 года, центр сер тификации получит запрос на годовой сертификат 1 августа 2000 года, он удовлет ворит запрос, выпустив сертификат, один год, Ч до 31 июля года. получив такой запрос 1 августа 2001 года, ЦС выпустит сертификат со сроком действия до 2 января года.
ЦС в Windows 2000 с пятилетним сертификатом, срок которого истекает 2 января 2005 года, способен выпускать годовые сертификаты вплоть до 2 2004 года или сертификаты до 2 января 2003 года. После 2 января 2003года ЦС больше не выпускает двухлетних сертификатов, сокращая срок действия до 2 янва ря 2005 года. Аналогично после 2 января 2004 года ЦС сокращает срок одно- и двухлетних сертификатов до 2 января 2005 года.
Обычно сертификаты ЦС в Windows 2000 обновляются чем начнут дей ствовать ограничения по сроков действия. Иногда для влияния по вложенности действия в разветвленных иерар хиях сертификации в службах сертификации Windows 2000 требуется частое обнов ЦС.
Сертификаты, выпускаемые изолированными центрами сертификации Срок ЦС, определен в сле дующих параметрах реестра:
где Ч имя установленного ЦС, значение при нимает одно из значений: Days, Weeks, Months или a 718 ЧАСТЬ 2 Безопасность в распределенных системах число дней, недель, месяцев или лет - срок действия выпускаемых ЦС. Например, когда Period - Years, а десятичное Vali Period Units 2, центр сертификации выпускает сертификаты, Внимание! Не модифицируйте реестр (с редактора реес тра) -- делайте это лишь в когда другого выхода нет. В отличие от управления редактор реестра средства за щиты, не допускающие ввода параметров, а также способных снизить системы или разрушить ее. исключено, что последствия го редактирования реестра окажутся не такими, как Вы ожидали, и вероятно, Вам придется 2000. Для настройки и конфигурирования Windows 2000 рекомендуется Control Panel (Панель управления) или Microsoft Management Console (Консоль управления Microsoft). Прежде чем изме нять реестр, советуем делать копию. Подробное о редактировании пара метров реестра - в справочной системе реестра. Подробнее о реестре Ч в Technical Reference Microsoft Windows 2000 Professional Resource Kit (файл По умолчанию изолированный ЦС сертификаты со сроком действия 1 год = Years, ValidityPeriodUnits 1). Чтобы определить другой срок действия следует отредактировать в параметры ValidityPeriod и Validi tyPeriodUnits данного ЦС.
Сроки всех сертификатов, выпускаемых изолированным ЦС, одинаковы и определены в параметрах ValidityPeriod и ValidityPeriodUnits реестра. Поэтому необходимости выпускать сертификаты с различными сроками действия, Вам следует установить либо ЦС либо несколько ЦС, либо ЦС стороннего Сертификаты, выпускаемые центрами сертификации предприятия На ЦС предприятия максимальный срок действия выпускаемых им сертификатов определяется параметров ValidityPeriod и ValidityPeriodUnits в реест По умолчанию их значения равны: ValidityPeriod = Years и ValidityPeriod Units 2. Поэтому стандартный максимальный срок действия сертификатов, вы пускаемых ЦС предприятия два года.
Однако срок действия сертификата от типа и определяется в соответ ствующем шаблоне. Срок действия сертификатов большинства типов Ч 1 год. Да лее перечислены шаблоны сертификатов со сроком действия 2 года:
Х СЕР Encryption (offline request) [СЕР шифрование (автономный Х Enrollment Agent (Агент подачи Х Enrollment Agent подачи заявок Х Enrollment Agent (offline Агент подачи заявок (автономный Х Х (автономный запрос);
Х Router (offline request) [Маршрутизатор (автономный Х Web (Веб-сервер).
ГЛАВА 16 Службы инфраструктура в Windows 2000 Для следующих шаблонов сертификатов срок действия:
Х Domain Controller (Контроллер домена);
Х Subordinate Certification Authority сертификации).
Эти сертификаты обычно выдаются на 2 года (максимальный стандартный срок действия сертификатов, предприятия). Чтобы выпускал пятилетние сертификаты, следует изменить значения параметров Validi и Вы также вправе сократить максимальный срок действия изменив значения параметров и ValidityPeriodUnits. Например, чтобы сокра тить максимальный срок действия выпускаемых ЦС до присвойте ValidityPeriod Month, a ValidityPeriodUnits Ч 6. В случаях, тре особого управления сроком действия сертификатов, Вы вправе вать собственные модули служб сертификации.
Сертификаты центров сертификации По корневой ЦС предприятия и ЦС предпри ятия с двухлетним сертификатом ЦС. В процессе ЦС Вы можете установить другой срок действия сертификата ЦС, указав его в месяцах или годах. Например, надежно корневому центру сертификации, надежным длинным закрытым ключом, Вы можете определить срок действия сертификата ЦС в 20 лет. С другой стороны, ся при развертывании служб установить более короткие сроки дей ствия - несколько дней или недель.
При ЦС Вам предоставляется выбор: интерактивно за просить сертификат подчиненного ЦС у родительского НС или создать файл роса сертификата и отослать его родительскому ЦС режиме. В чае одобрения интерактивного у доступного ЦС сертификат подчиненного ЦС выпускается родительским ЦС предприятия автоматически. Выполняя авто номный запрос, Вы должны использовать Web-страницы приема на сер тификаты через Интернет для отправки файла запроса сертификата му ЦС. После сертификата подчиненного ЦС следует средствами оснаст ки Certification Authority (Центр сертификации) файл пути и запустить ЦС.
Срок действия сертификата ЦС определяется родительским об ладающим нравом одобрить запрос на сертификат и выпустить его. Срок сертификата ЦС Ч 2 года, если родительский центр сертификации является ЦС предприятия и срок действия по в его па раметрах реестра ValidityPeriod и ValidityPeriodUnits, не был ся корректировать параметры продлевая или сокращая срок сер выпускаемых родительским однако срок сертификата ЦС на может превышать 5 лет, поскольку это максимальный срок, в шаблоне сертификата Subordinate Certification Authority. На изо лированных родительских ЦС срок действия сертификата ЦС пол определяется параметрами реестра ValidityPeriod и tyPeriodUnits родительского сертификации.
Управляя жизненным циклом сертификатов, попробуйте использовать изолирован ные ЦС в качестве корневых и центров Ч таким 720 ЧАСТЬ 2 Безопасность в распределенных системах образом Вы обеспечите наибольшую гибкость при решении этих задач. Обнаружив, что при установке определен длинный срок действия и центр серти фикации находится в большей чем ожидалось, Вы можете просто обно вить сертификат ЦС в иерархии сертификации, сократив срок его действия, Использование изолированного корневого ЦС и промежуточного ЦС дает и дру гие Если изолированный ЦС работает в автономном режиме (не к сети) и размещен в физически защищенном помещении, риск атак значительно сокращается. Кроме того, существует возможность управлять процес сом установки для четкого контроля ЦС, устанавливаемых на предпри ятии.
Одновременное управление запросами корневого и промежуточного ЦС сокращает издержки, так как ЦС используется нечас то и обрабатывает относительно немного запросов на сертификаты. Вы можете под ключаться сети только при необходимости опубликовать список сер тификатов или для обработки нечастых интерактивных запросов сертификатов под ЦС.
Пример жизненных циклов сертификатов В жизненных циклов сертификатов в случае исполь центра сертификации Windows 2000 и стандартных поставщиков службы криптографии Microsoft.
Таблица 16-4. Жизненные циклы сертификатов в Windows Назначение сертификата действия действия закрытого ключа Изолированный ЦС 20 лет по крайней мере каждые (4 096-битный лет для выпуска 10-летних сертификатов промежуточных ЦС. Об новляется с новым ключом по крайней каждые 20 лет Изолированный промежуточный по крайней мере каждые ЦС: все типы сертификатов лет для обеспечения выпуска 5-летних кроме смарт-карт выпускающих ЦС. Обновляется (3 ключ) 10 лет с по каждые лет Первый выпускающий ЦС 5 лет Обновляется по крайней мере каждые предприятия: все типы сертифи- года для обеспечения 2-летних катов кроме сертификатов смарт- сертификатов Web-сервера. Обновляется карт (2 048-битный ключ) с новым ключом крайней мере 5 лет Второй ЦС 5 лет Обновляется по крайней каждые предприятия: сертификаты года для обеспечения выпуска сертифика смарт-карт (2 048-битный ключ) тов со сроком действия один год. Обнов ляется с новым ключом по крайней мере каждые 5 лет Третий выпускающий ЦС 5 лет Обновляется по крайней мере каждые предприятия: сертификаты всех года для обеспечения выпуска сертифика остальных типов кроме смарт- тов со сроком действия один год. Обнов карт, защищенной почты и серти- ляется с новым ключом по крайней мере фикатов защищенного каждые 5 лет (2 048-битный ключ) почта и 1 год Обновляется с новым ключом по крайней каты защищенного браузера мере каждые 2 года ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Таблица 16-4.
Назначение сертификата Срок действия Срок действия закрытого ключа Сертификаты смарт-карт 1 Обновляется с новым ключом по крайней (1 024-битный мере каждые 2 года Администратора 1 год Обновляется с ключом по (1 024-битный ключ) каждые 2 года Сертификаты защищенного 2 года Обновляется с новым ключом по Web-сервера 024-битный ключ) каждые 2 года Сертификаты пользователей 6 месяцы Обновляется с новым ключом по крайней деловых партнеров для экстра- раз в сетей ключ) Примечание сертификатов, описанные в таблице 16-4, ны для примера и не являются рекомендацией. Жизненные (в том числе срок сертификатов, и срок действия ключей) тов могут отличаться от них.
Все приведенные в 16-4 сертификаты Windows 2000 за ис ключением сертификатов пользователей деловых экстрасетей), ко торые выпущены ЦС партнера. Доверие к сертификатам делового нера в домене экстрасети обеспечивается посредством списков Для ния гибкости сроками центров сертификации используется изолированный ЦС. Возобновление сертификатов с новыми ключами ограничива ет использования ключей и риск их компрометации.
Из-за требования вложенности сроков действия ЦС может выпускать (при наличии соответствующего сертификаты с сокращенными сроками действия.
Они требуют более частого по мере приближения к сроку действия сер тификата ЦС. сертификаты обычно обновляются до того, как выпуск сертификатов с сроками действия. Сер тификаты обновляются с новыми ключами до истечения допустимого безопасного срока действия старых ключей. Чтобы снизить риск компрометации закрытых клю чей, их следует обновлять по вместе с сертификатами.
Чем больше уровней иерархии сертификации, тем короче сроки действия сертифи катов. Поэтому жизненные циклы сертификатов следует планировать так, чтобы из бежать слишком коротких сроков действия сертификатов и циклов их обновления.
Определение сроков действия ключей Нет простых для определения максимальных сроков действия закрытых ключей. Срок действия определяется многими факторами в том числе:
Х длиной закрытых ключей сертификатов. В общем случае длинные ключи служат дольше;
Х безопасностью закрытых ключей, обеспечиваемой поставщиками службы крип тографии (CSP). Б общем случае аппаратные CSP обеспечивает большую и поддерживают длинные сроки действия закрытых ключей, чем CSP;
Х ЦС и их закрытых ключей. В общем случае чем лучше защита ПС и закрытого ключа, тем дольше срок действия ЦС. Напри 722 ЧАСТЬ 2 в распределенных системах для повышения безопасности ЦС можно его только в авто номном режиме (не к сети), разместив в физически защищенном или центре хранения Х надежностью технологии, в криптографических Неко торые криптографические технологии обеспечивают более сильную и поддерживают более надежные криптографические алгоритмы. Например, Вы можете применять смарт-карты для входа пользователей в систему, а криптог рафические карты FORTEZZA Ч защищенной почты и защищенных брау зеров. В общем случае более криптографическая технология поддер живает длинные сроки действия ключей;
Х риском атаки на цепочку сертификации ЦС, которые зависят прежде всего от того, насколько защищено Ваше насколько ценны сетевые ресур сы, приложениями, поддерживающими технологию открытого ключа, и сколько будет стоить атака потенциальным взломщикам. В общем слу чае чем риск атаки, тем устанавливать более длинные закрытые ключи ЦС и меньшие сроки ключей.
Для риска закрытого ключа наборы закрытых и откры тых ключей следует обновлять вместе с сертификатами до срока дей ствия ключей. Однако для поставщиков службы криптог рафии обновление сертификатов с новыми наборами ключей невозможно по при чине небольшого объема хранилища ключей или потому что на генерацию ключа требуется слишком много времени.
В процессе установки Windows 2000 на первой странице ма стера Windows wizard (Мастер компонентов Windows) пометьте фла жок Advanced options возможности), что позволит Вам задать длину ключа, используемого в сертификате ЦС, из диапазона бит. В общем случае чем длиннее ключ, тем безопасный срок его действия. Для ЦС ключи длиной менее 1 024 бита.
Рекомендуется настолько длинные ключи, насколько это позволяют обстоятельства, то есть максимальную защиту без снижения произво дительности ЦС. Очень длинные существенно загружают и опе рации подписания могут слишком много времени. Поэкспериментируйте с различными ключа ЦС в лабораторных условиях и на тестовых програм мах, прежде чем развертывать ЦС в сети предприятия.
о рисках, связанных с закрытыми ключами Ч в главе 14 Криптогра фия в сетевых системах.
При сертификатов средствами поставщиков Microsoft CSP можно так же набор закрытых и открытых ключей сертификата. В случае чем дольше используются ключи, тем выше риск их компрометации. Установите максимальные допустимые сроки действия ключей и обновляйте сертификаты с новыми ключами до истечения этих сроков.
Запрос и обновление сертификатов Службы сертификации Windows 2000 поддерживают следующие способы выпуска и обновления сертификатов:
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Х запрос сертификатов с помощью мастера Certificate Request wizard (Мастер сертификата) (только для пользователей и компьютеров под управлением Windows 2000);
Х автоматические с мастера Automatic Request Setup wizard (Мастер установки автоматического сертификатов) (только для сертификатов для компьютеров управлением Windows 2000);
Х запрос сертификатов с помощью для подачи заявок че рез (для Х запрос для смарт-карт средствами Smart Card Enrollment Station (Станция подачи заявок смарт-карт) на поддержки подачи через Интернет;
Х приложения для запроса и сертифи катов.
Способы подачи заявок и типы сертификатов, службами серти фикации сторонних поставщиков, особенностями реализации этих служб. За дополнительной информацией следует обращаться непосредственно к поставщикам таких служб.
Запрос сертификатов вручную клиентами под управлением Windows Для запроса и обновления для пользователей и под Windows 2000 используется мастер Certificate Request wizard запроса сертификата), запускаемый из консоли Certificates (Сертификаты). Мас тер запроса сертификата если сертификации недо ступен в интерактивном режиме. В списках управления доступом (ACL) сертификатов определено, какие учетные записи или компьютеров обладают правом получать сертификаты или типа.
Мастер Certificate Renewal (Мастер сертификатов) ся для обновления сертификатов до или после истечения срока их действия. Этот мастер если центр сертификации предприятия недоступен в режиме. Мастер обновления позволяет сертификат с прежними закрытыми и открытыми ключами. Не следует обновлять сертификат с ключами, при этом максимальный безопасный срок действия ключей.
Автоматический запрос и обновление сертификатов Мастер Automatic Certificate Request Setup wizard (Мастер установки автоматичес кого запроса сертификатов), запускаемый из меню папки Public Key Policy (Политики открытого ключа) в оснастке Group Policy (Групповая полити ка), используется для конфигурации подачи заявок на сертифика ты компьютеров. Этот мастер поддерживает подачу заявок на сертификаты пользователей и недоступен, если центр сертификации предприятия недоступен в интерактивном режиме. Автоматически допускается сер тификаты типов Computer (Компьютер), Domain Controller (Контроллер домена) и После настройки автоматической подачи заявок сертификаты указанных типов выпускаются автоматически для всех обладающих 724 ЧАСТЬ 2 Безопасность в системах (Заявка) на тип сертификата, в пределах данной групповой политики открытого ключа. Такие выпускаются чески при сетевом входе в систему.
Вы сконфигурируете автоматическую подачу заявок на сертифи каты Computer, сертификаты будут для всех в группе безопасности Domain Computers домепа) в области действия груп политики открытого ключа. По умолчанию все компьютеры под управлени ем Windows 2000, за домена, серверов служб Routing and Remote Access и удаленный доступ) и Internet Authentication (Службы проверки подлинности в Интернете) Ч члены Domain Computers. Компьютеры, обладающие правом получать сертификаты Computer, изменяя ACL шаблонов соответствующего сертификата, например пре доставляя разрешение Enroll (Заявка) отдельной группе выбранных Вами компью теров. Компьютеры в области действия групповой политики открытого ключа члены такой группы, получат сертификаты компьютеров при следующем сетевом входе в систему.
Кроме того, Вы также вправе применять подразделения (organizational unit) и соот им групповую политику открытого ключа для ограничения автома тической подачи заявок и получения сертификатов отдельным группам компьюте ров. Например, создав подразделение 1 PSec содержащее клиенты под управлением Windows обязанные проверку подлинности с при менением сертификатов TPSec, Вы можете ограничить автоматический выпуск сер тификатов настроив групповую политику открытого ключа и порядок авто матического запроса и выпуска в этом После настройки автоматического запроса сертификатов выпущенные в автомати ческом режиме сертификаты компьютеров обновляются выпускающим ЦС пред приятия также автоматически. Сертификаты компьютеров также обновляются вручную средствами мастера Certificate Renewal или с помощью страниц запроса сертификатов через Интернет.
Страницы запроса сертификатов через Интернет Страницы Web Enrollment Support подачи заявок на сертификаты че рез Интернет) служб сертификации в Windows 2000 состоят из страниц Server Pages и элементов ActiveX, предоставляющих пользователю центра сертификации. По умолчанию эти страницы устанавлива ются автоматически с ЦС. Можно также установить эти страницы на другом компьютере под Windows 2000 Server.
Страницы подачи заявок на сертификаты через Интернет выполне ние следующих задач:
Х запрос и основного сертификата пользователя;
Х запрос и сертификатов других типов средствами расширенного за проса;
Х запрос сертификатов с помощью файла запроса сертификата;
Х обновление сертификатов с помощью файла обновления сертификата;
Х сохранение запроса сертификата в файле;
Х выпущенного сертификата в файле;
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Х ожидающих выполнения запросов на сертификаты;
Х просмотр ЦС:
Х просмотр списка отозванных сертификатов;
Х на сертификаты смарт-карт от имени пользователей (доступно для доверенных администраторов).
Страницы подачи заявок на сертификаты через устанавливаемые на изо ЦС, ЦС предприятия. отличие в том, что ЦС не сертификатов. В в изолированный ЦС указать всю информацию о сертификате, в том числе сведения о том, кто Страницы заявок через Интернет на изолированном ЦС поддерживают ряд типов сертификатов, практически таких же, как типы сертификатов на основе изолированный ЦС и страницы подачи заявок на сертификаты через Интернет, Вы сможете выпускать сертификаты большинства типов, поддерживаемых ЦС предприятия. Тем не менее ЦС предприятия незаменим при выпуске сертификатов для входа в систему со смарт-картой и для автоматического выпуска сертификатов.
подачи заявок па сертификаты через Интернет поддерживаются Micro soft Explorer версий 4 и 5. При использовании поставщика Microsoft Enhanced Cryptographic Provider необходим браузер Internet Explorer с поддерж кой не подлежащих экспорту криптографических технологий. Браузеры Internet Explorer с поддержкой разрешенных к экспорту криптографических технологий со вместимы только с поставщиком Microsoft Base Cryptographic Provider.
Netscape Navigator версии 4.x и Netscape Communicator версии 4.x поддерживают большинство страниц подачи через Интернет. Браузеры Netscape не страницы Advanced Certificate Request запросы на сер тификаты) и Smart Card Enrollment Station подачи заявок так как на них размещены элементы управления ActiveX. Кроме того, браузеры Netscape используют собственные криптографические модули, а не поставщики CSP и по этому не поддерживают все функции поставщиков Microsoft CSP.
Специальные пользовательские для запроса и обновления сертификатов Стандартные методы запроса, и в Windows 2000 удовлетворя ют широкий диапазон потребностей. Однако если их возможностей Вам хватает, Вы разработать приложения для запроса и обнов ления сертификатов. Модуль входа служб сертификации Windows 2000 поддержи вает стандартные формы запросы сертификатов посредством запросов вызова (RPC) или по протоколу Вы также можете разработать специальные запрашивающие сертификаты в службе сертификации ЦС Windows 2000. Подробнее о разработке приложений, взаимо действующих со службами сертификации Windows 2000 Ч на Web-странице Resources по адресу ссылка Microsoft Platform SDK.
Групповая политика открытого ключа Политика открытого ключа Ч это подмножество групповой политики. В Key Group Policy (Групповая политика открытого ключа) настраивается ав 726 ЧАСТЬ 2 Безопасность в распределенных системах тематический запрос сертификатов компьютеров, доверенных сертифи катов, CTL для компьютеров и пользователей, а также агентов ления EFS. Она также применяется для распространения групповой политики на сайты, домены и подразделения.
Консоль Group Policy (Групповая политика) - оснастка которая позво ляет управлять групповой политикой открытого ключа сайтов, доменов и конфигурировать ее для отдельных пользователей и компьютеров, а так же выполнять следующие по групповой политики открытого ключа для Х определять сертификаты, размещаемые в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертификации);
Х создавать списки для доверия сертификации и ограничивать ис пользование сертификатов, отдельными ЦС;
Х автоматическую подачу выпуск и обновление для сертифи катов компьютеров;
Х определять альтернативные агенты восстановления данных для EFS.
Параметры групповой политики открытого ключа действительны в области дей ствия политики. Например, параметры политики открытого клю ча, примененные к подразделению, определяют эту политику только для данного подразделения.
Кроме того, консоль Group Policy политика) используется для конфи гурирования списков CTL, действительных только в пределах области действия данной групповой политики. Например, списки, определенные для отдельного подразделения, применяются только к пользователям в данном подразделении.
Подробнее о групповой политике в главе 22 книги Книга 2. Ресурсы Microsoft Windows 2000 Редакция, 2001).
Списки отозванных сертификатов Windows 2000 поддерживает стандартные списки отозванных сертификатов (certificate revocation list, формата v2. Каждый ЦС поддерживает спис ки выпускаемых им сертификатов и публикует их в точках распространения CRL (CRL distribution points, CDP), в качестве которых выступают Web-страницы, общие папки в или служба каталогов Directory. В сертификате формата Х.509 обычно содержится на точку CDP, выпустившего его центра сер тификации.
По умолчанию С предприятия публикует списки в Active Directory, а изолированный ЦС на сервере ЦС в папке:
где Ч буква диска, на котором установлен ЦС.
Точки определяются средствами консоли Certification Authority (Центр сертификации). В этой же консоли можно публиковать новые CRL или изменить публикации.
Проверка отозванных сертификатов службами подключения Internet Explorer 5, Information и в Active Directory. При включенной функции верки сертификатов у Вас есть возможность кэшировать списки ГЛАВА 16 Службы сертификации и открытого ключа в Windows 2000 до па основе смарт-карт. Программное обеспечение производителей также применяется для PIN-кода, настройки числа попыток ввести PIN-код до блокировки смарт-карты и отмены блокировки.
Подробнее о смарт-картах Ч в главе 13 безопасности средствами тех открытого ключа.
Сопоставление сертификатов сертификатов (certificate mapping) используется для управления доступом к сетевым ресурсам учетных записей пользователей домена, а также к ресурсам Web-узла на сервере Information Services.
Доменные учетные записи пользователей Средства Active Directory Users and Computers (Active Directory пользо ватели и компьютеры) позволяют сопоставлять сертификаты отдельным сетевым учетным записям пользователей. Сопоставленные сертификаты применяются для проверки подлинности пользователей в процессе аутентификации Kerberos. Тем, кто прошел проверку предоставляются права и разрешения соответствующих учет ных Сертификаты на в систему по смарт-карте Ч особые. В процессе входа система автоматически смарт-карты соответствую щей учетной записи пользователя Windows 2000.
Для сопоставления сертификатов следует в оснастке Active Directory Users and Computers (Active Directory пользователи и компьютеры) отметить (если этого еще не сделано) команду Advanced Features функции) в меню View (Вид). Чтобы отобразить сертификат, щелкните правой кнопкой мыши учет ную запись пользователя и в контекстном меню выберите Name Mappings (Ото бражение имен). В открывшемся диалоговом окне Security Identity Mapping (Со поставление идентичности зашиты) щелкните Add (Добавить), чтобы вать сертификаты, которые требуется сопоставить учетной пользователя.
записи можно сопоставить несколько сертификатов. Например, вы пустить сертификат агента EFS для смарт-карты агентам а затем сопоставить сертификаты учетным записям пользователей, уполномоченных для восстановления EFS. Проверка подлинности агентов будет средствами смарт-карты, что печит дополнительную защиту.
Сопоставлять только отдельным учетным записям пользо вателей, но не При сопоставлении других то есть не на смарт-картах, пользователи смогут войти под учетной записью пользователя только в компьютера, где расположен закры тый ключ (если, для входа не применяются смарт-карты или перемещаемые Internet Information Services Internet Information поддерживает записям пользователей, которые управляют доступом к ресурсам, куемым в Сопоставленные сертификаты нужны либо для запрещения доступа к ресурсам, либо для предоставления прав и разрешений соответствующей учетной записи. Разрешается отображать как один (однозначное так и сопоставление) сертификатов на одну учетную 730 ЧАСТЬ 2 Безопасность в распределенных системах запись пользователя. При множественном отображении устанавливаются отбора для Только сертификаты, удовлетворяющие таким правилам, соответствующей учетной записи. Например, пра вило определять, что сертификаты, выпущенные одним определенным цен тром сопоставляются другим учетным записям Все клиенты с сертификатами, выпущенными указанным сопоставляются соответ ствующей учетной записи и им предоставляются все определяемые сертификатом права и разрешения.
Подробнее о сопоставлении в Internet Services Ч в главе безопасности открытого ключа.
Поддержка перемещаемых профилей Windows 2000 поддерживает перемещаемые профили пользователей, в результате сертификаты (и закрытые ключи) могут следовать за пользователями и не зави сят от того, с какого компьютера те входят в систему. При наличии поддержки пе ремещаемых профилей все данные пользователей, в том числе выпущенные сер тификаты и закрытые ключи, хранятся на контроллере домена. Перемещаемые про фили загружаются на компьютер в процессе входа пользователя в систему. Смарт карты также поддерживают так как на них размещены все для входа пользователя в систему. Подробнее о перемещаемых профи лях в главе 21 книги Распределенные системы. Книга 2. Ресурсы Microsoft Windows 2000 (Русская Развертывание служб сертификации служб сертификации Windows 2000 обычно выполняется в следую щей последовательности:
Х установка центров сертификации;
Х центров сертификации;
Х установленных по умолчанию разрешений для шаблонов сертифика тов (при необходимости);
Х установка и настройка систем или приложений;
Х настройка групповой политики открытого ключа;
Х страниц Web Support (Служба подачи заявок на сертифи кат через (при необходимости);
Х настройка параметров безопасности страниц Web Enrollment Support (при не обходимости).
Подробнее об установке служб сертификации Windows 2000 Ч в справочной сис теме служб сертификации. Подробнее о планировании и развертывании инфра структуры открытого ключа Ч в книге Microsoft Windows 2000 Server Deployment Planning (Microsoft Press, 2000).
Установка центров сертификации Для нормальной работы служб сертификации в организации иерархия ЦС должна соответствовать потребностям организации. В Windows 2000 устанавлива ют центры сертификации предприятия и изолированные ЦС. Сначала рекоменду ГЛАВА Службы сертификации и инфраструктура открытого ключа в Windows 2000 ется установить корневой а затем подчиненные. Например, трехуровневая иерархия сертификации устанавливается, как правило, в следующем 1. корневой ЦС;
2. промежуточный ЦС;
3. выпускающий ЦС.
Хотя такой порядок необязателен. Сертификат ЦС его соб подписью, такие центры сертификации нуждаются при уста новке в других ЦС. Однако для завершения установки дочернего ЦС требуется, чтобы родительский ЦС обработал запрос на сертификат и выпустил для него сер тификат подчиненного ЦС. Такой ЦС можно установить в любой момент, сохра нив запрос на сертификат в файле, который следует позже отправить родительско му ЦС. После установки и запуска родительского ЦС файл запроса на отправляется посредством Web-страницы Advanced Certificate Request ные запросы на сертификаты) родительского ЦС. После выпуска сертификат для ЦС устанавливается средствами оснастки Authority (Центр Подчиненный сертификации не работает без го сертификата ЦС.
Вы вправе установить ЦС на хотя это не рекомендуется. Для распределения сетевой нагрузки и предупреждения перегрузки для этого рекомен дуется выбирать компьютеры под управлением Windows 2000 Server, выделенные для выполнения функций центра сертификации. Кроме того, Web-стра ницы подачи заявок через Интернет стоит размещать на отдельном компью тере под управлением Windows 2000 Server.
За сведениями об установке ЦС поставщиков и их с ЦС в Windows обращайтесь к соответствующих ЦС.
Обновление Certificate Server 1. При под управлением Windows NT 4.0 со службой Certificate Server 1.0 до Windows 2000 Server служба автоматически обновляется до версии Certificate Services (Службы сертификации). Если обновляемый ЦС исполь зует модуль политики, отличный от стандартного модуля политики Certificate Server 1.0, то службы сертификации продолжают использовать старый модуль, ко торый в дальнейшем Legacy policy (Модуль поддержки старой политики). Если ЦС использует модуль политики, на ЦС применяется изолированная политика служб сертификации.
Если ЦС на базе Certificate 1.0 не обновляется, а устанавливается центр сертификации Windows 2000, предназначенный для его замены, может воз никнуть необходимость использовать старый модуль а не стандартный, предоставляемый службами сертификации. Для замены стандартного модуля поли тики на модуль или на модуль, разработанный для Certificate Server и Windows NT 4.0, следует сначала командой Regsrv32 DLL-биб лиотеку модуля политики, а затем подключить к ЦС средствами оснастки Certification Authority (Центр сертификации). Подробнее об использовании и выборе модулей политики - в справочной системе Microsoft Windows 2000 Server и справочной системе служб сертификации.
732 ЧАСТЬ 2 Безопасность в распределенных системах Создание заявления поставщика ЦС (при необходимости) При ЦС Вы вправе поставщика о правилах приме нения ЦС. Оно отобразится, когда Вы щелкнете кнопку Issuer Statement ние поставщика) на вкладке General (Общие) диалогового окна Certificate (Сер тификат). Политика применения ЦС - заявление о политике, содержащий све дения об авторских правах и другие сведения о ЦС, а также о по литике выпуска ограничениях ответственности и др.
Файл с следует установить на сервере до установки служб сертификации Windows 2000. Он кается и размещается в каталоге (По умолчанию это Этот файл содержит текст, отображаемый в качестве о применения ЦС, или URL адрес, по которому расположено само например Web-страница. Подроб нее о создании файла в системе служб сертификации.
Установка служб сертификации Windows Для установки следует войти под учетной члена локальной группы Administrator на изолированных компьютерах или члена группы Domain Administrator домена) на Ч членах домена, Установка служб сертификации Windows 1. В Control Panel (Панель значок Add/Remove Programs (Установка и удаление Откроется диалоговое окно Add/Remove Programs (Установка и удаление про грамм).
2. Щелкните кнопку Add/Remove Windows Components (Добавление и удаление компонентов Windows).
3. В окне мастера Windows Component флажок Certificate services (Службы сертификации).
4. Щелкните Next (Далее) и следуйте инструкциям мастера Windows Components для завершения установки ЦС, В таблицах 16-5 Ч 16-9 описаны параметры ЦС на каждой из стра ниц мастера Windows Component.
Примечание После установки ЦС компьютер нельзя переименовать, присоединить к домену или исключить из его состава. При установке ЦС предприятия но наличие Active Directory, компьютер с ЦС должен быть домена Windows 2000.
Таблица 16-5. Страница Certification Authority Type Selection (Тип центра сертификации) Параметр Enterprise root CA Установка корневого центра сертификации предприятия (корневой ЦС предприятия) Enterprise subordinate CA подчиненного центра сертификации (подчиненный ЦС ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Таблица 16-5.
Параметр Stand-alone root CA корневого центра (изолированный корневой сертификации Stand-alone subordinate А Установка изолированного центра сертификации подчиненный ЦС) Advanced options этого флажка позволяет настраивать (Дополнительные возможности) нительные параметры на Public and Key Selection (Пара открытого и закрытого Таблица 16-6. Страница Public and Private Key Selection (Пара открытого и закрытого ключей) Параметр Описание Cryptographic service В этом выбирается поставщик службы provider для генерации отрытого и закрытого (Поставщик для сертификата ЦС. Этот же CSP управляет и закрытый ключ. CSP по умолчанию Ч Microsoft Base Crypto graphic Provider или Microsoft Enhanced Cryptographic в зависимости от того, какие технологии криптографии версия Windows 2000 Ч или запрещенные к экспорту Если для управления и хранения зак рытых ключей Вы предпочитаете другой поставщик CSP, пример аппаратный, следует выбрать его в этом списке Hash algorithms В этом укажите алгоритм необходимый (Алгоритм хеширования) для цифрового сертификатов ЦС. По выбран алгоритм обеспечивающий самую надежную криптографическую Key length Выберите длину ключа из списка или введите длину закрытого ключа) и открытого ключей. По умолчанию ный ключ для Microsoft Base Cryptographic Provider и 1 024 Ч Microsoft Enhanced Provider.
на ключа выбирается из диапазона 384 - 16 381 бит. Для I [С используйте ключ длиной по мере 1 024 бит. В случае больше длина, тем длинней безопасный срок ключа. Следует использовать ключи макси мальной длины, соответствующие ограничениям CSP по хране нию ключей, при которых производительность ЦС не ется допустимого уровня Use existing keys Установив этот флажок, Вы получите возможность выбрать (Использовать закрытый ключ из списка существующих ключей. Этот флажок существующие ключи) обычно применяют при восстановлении центра сертификации Use the associated Этот флажок позволяет выбрать сертификат, связанный с certificate ществующим закрытым ключом, используемым ЦС.
(Использовать если не установлен флажок Use existing keys.
связанный сертификат) обычно используемый при восстановлении центра сертификации Импорт закрытого нет в списке Use existing Import (Импорт) keys. Например, закрытый ключ для восстанавливаемого ЦС зачастую импортируется из архива просмотреть сертификат, связанный с выбранным View Certificate (Просмотр закрытым в списке Use existing keys 734 ЧАСТЬ 2 Безопасность в распределенных системах Таблица 16-7. Страница СА Identifying Information ЦС (Сведения о центре ) Параметр Описание СА name (Имя ЦС) Информация, которая однозначно идентифицирует создаваемый ЦС.
Organization Эти данные размещаются в сертификате ЦС в поле Subject (Субъект) параметра СА name используется системой Windows Organizational unit для идентификации ЦС, поэтому оно должно быть среди (Подразделение) всех ЦС организации. Значения всех остальных полей могут совпа Locality дать всех ЦС. Другие программы для идентификации поиска и (Город) обращения к ЦС обычно используют поле Subject (Субъект) State or province (Область) Country/region (Страна/регион) E-mail (Электронная почта) СА description Описание данного центра сертификации (не обязательно) (Описание ЦС) Validity duration Срок действия сертификата корневого ЦС. со списком содер (Срок действия) жит три значения: Years (лет), Months (месяцев) и Weeks (недель).
Срок действия по сертификата корневого ЦС Ч 2 года.
Установите срок действия в соответствии с выбранным жизненным циклом сертификата. Этот параметр недоступен при установке под чиненного ЦС, так как срок определяет родительский ЦС Expires on Дата срока действия сертификата корневого ЦС в соот ветствии со сроком, в поле Validity duration Таблица 16-8. Страница Data Storage Location (Размещение хранилища данных) Параметр Описание Certificate database По умолчанию база данных сертификатов и журнал размещаются в (БД сертификатов) где Ч диска, Certificate log на котором установлен ЦС. Здесь можно указать другое местоположе (Журнал базы ние для этих данных. Для этого введите новый путь и имя в данных олях Certificate database Ч для базы данных и Certificate log Ч для сертификатов) журнала или щелкните кнопку Browse (Обзор) и укажите новое местоположение Store configuration Установите этот флажок, чтобы сохранить информацию конфигура in ции в общей папке, после чего введите путь и имя папки в поле a shared folder Shared folder или щелкните кнопку Browse (Обзор) и (Сохранить укажите существующую Членам локальной группы Administrators сведения о конфи- (Администраторы) предоставляется полный доступ к этой папке, а гурации в общей членам группы Everyone (Все) Ч доступ для чтения. К общей папке, панке) содержащей информацию о центрах сертификации, обращаются необходимости пользователи. Эта возможность полезна только установке изолированного ЦС и отсутствии Active Directory Preserve existing Установите этот флажок, чтобы сохранить существующую базу дан certificate database ных сертификатов. Он доступен только при повторном применении (Сохранить ключа и сертификата из существующей конфи существующую гурации ЦС. Этот флажок обычно применяется при восстановлении базу данных центра сертификации сертификатов) ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Таблица 16-9. Страница СА Certificate Request (Запрос сертификата ЦС) (только подчиненные ЦС) Параметр Send the request directly to Введите имя родительского ЦС или щелкните а СА already on the network Browse (Обзор) и выберите ЦС из списка, (Отправлять запрос напрямую Запрос на сертификат подчиненного ЦС отправляется в ЦС, имеющийся в сети) этот ЦС. При запросе в ЦС сертификат выдается не сразу Ч только после одобрения его ратором. После завершения установки ЦС Вы должны ус тановить сертификат ЦС средствами оснастки Authority (Центр сертификации) Save the request to a file Установите этот переключатель, чтобы сохранить (Сохранять запрос в файле) в файле, и введите путь и имя файла в поле Request file (Файл запроса) или Browse (Обзор) и укажите местоположение файла. Эта функция позволяет сохранить запрос на сертификат файл запроса, который в дальней используется для автономного запроса сертификата в изолированном ЦС. Сертификат ЦС не устанавливается автоматически Ч эту операцию Вам средствами оснастки Certification (Центр серти фикации) Конфигурирование центров сертификации Authority (Центр сертификации) конфигуриро вать ЦС, когда требуется;
Х установить сертификат ЦС;
Х конфигурировать параметры модуля выхода;
Х параметры модуля Х определить расписание публикации списков сертификатов;
Х изменить разрешения и делегировать управление центром сертификации;
Х по особому требованию обеспечить поддержку проверки отозванных катов браузеров Netscape через Интернет.
Подробнее об использовании консоли Certification Authority Ч в справочной сис теме служб сертификации.
Установка сертификата ЦС Если в процессе установки сертификат для подчиненного ЦС в изо лированном ЦС, Вы обязаны получить и установить его. Он необходим для серти ЦС, который не может работать, пока на нем не сертификат ЦС. Выполнять эти операции на корневом или ЦС, получивших сер тификат в ЦС предприятия при установке, не требуется.
Для получения ЦС воспользуйтесь Web-страницей Submit a Saved Request (Выдача сохраненного запроса) Ч одной из страниц подачи заявок на сер тификаты через Интернет, чтобы отправить файл запроса на сертификат, ный во время установки. На странице Issued Certificate выдан) щелкните кнопку Install this certification path (Загрузить путь ции ЦС), чтобы загрузить файл с путем сертификации. Далее средствами оснастки 736 ЧАСТЬ 2 Безопасность в распределенных системах Certification Authority (Центр сертификации) путь сертификации из фай ла и сертифицируйте ЦС.
Для установки сертификата ЦС средствами консоли Certification Authority те правой кнопкой мыши узел ЦС, в контекстном All Tasks (Все задачи) и щелкните Install (Установить сертификат ЦС). ус тановит сертификат ЦС, ЦС, и запустит службу ЦС.
Настройка параметров модуля политики Дополнительная параметров модуля политики не требуется, санные в разделе параметры по Вас В противном слу чае средствами консоли Certification Authority: щелкните кнопкой мыши ЦС и контекстном выберите Properties (Свойства). В открывшемся окне свойств ЦС перейдите на вкладку Policy Module (Модуль по литики) и щелкните кнопку Configure В диалоговом Properties (Свойства) измените параметров. В следующих описаны пара метры на странице свойств модуля политики.
Вкладка по умолчанию) изолированных центрах умолчанию установлен Set the certificate request to pending (Присвоить сертификату состояние ожидания) запрос размещается в очереди отложенных сертификатов до его администратором. пере ключатель Automatically approve the certificate requests (Всегда выдавать серти фикат), чтобы изолированный ЦС автоматически удовлетворял за просы и выпускал сертификаты. Однако имейте в виду, что такая конфигурация со здает риск для безопасности и не рекомендуется. В ЦС пред приятия переключатель Set the certificate request to pending недоступен.
Вкладка Х.509 Extensions (расширения Х 509) Нажимая кнопки Add (Добавить) и Remove (Удалить), Вы можете изменять точки распространения CRL, указанные в списке Distribution Points CRL [Точки распро странения списков отзыва Например, чтобы предоставить пользователям удобный доступ к спискам добавьте в качестве точки распространения общие папки или страницы на внутреннем Web-узле. ЦС записывает об этих точках во все выпускаемые сертификаты. Это при ложениям, Internet Explorer, проверять отозванные сертификаты, На стройте модуль выхода ЦС на публикацию всех во все добавленные в список точки распространения Чтобы отключить точку распространения CRL в списке Distribution Points CRL, достаточно сбросить флажок, расположенный рядом с Add (Добавить) и Remove (Удалить) можно изменить состав точек рас сертификатов, указанных в списке Authority Information Access (До ступ к информации о центрах сертификации). Например, чтобы предоставить пользователям удобный доступ к сертификатам, добавьте в качестве точки распро странения папки или URL-адрес страницы на внутреннем Серти фикаты, выпускаемые данным ЦС, публикуются в точках распростра нения сертификатов. Кроме того, ЦС размещает об этих точках в сертификат. Чтобы отключить точку распространения сертификатов в списке Authority Information Access, достаточно сбросить флажок рядом с ее именем. При просмотре пути сертификата, данным ЦС, в диалоговом Cer tificate (Сертификат) на вкладке Certification Path (Путь сертификации) |то есть ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 при сертификата в пути сертификации и нажатии View (Просмотр система, пытаясь обнаружить соответствующий сертификат, про точки распространения в указанном в списке Authority In formation Access, Настройка параметров модуля выхода Дополнительно настраивать параметры модуля выхода не надо, если в этом разделе параметры по Вас удовлетворяют. В случае, чтобы модули выхода средствами консоли Certification Authority, ните правой кнопкой мыши узел ЦС и меню выберите Properties (Свойства). В открывшемся свойств ЦС перейдите на вкладку Exit Modules (Модуль кнопками Add (Добавить) и Remove (Удалить) настройте список активных модулей выхода Active exit modules моду ли выхода). Если Вы применяете модуль разработки или сто ронних его как активный.
Дополнительные модули выхода устанавливаются, когда сертификаты и публикуются в местах, указанных в стандартном выхода тия или изолированного ЦС. Например, на Web-странице или каталогов стороннего поставщика.
Независимо от установленных модулей сертификаты не публикуются, если место публикации в запросе не Модули выхода позволяют публиковать сертификаты в местах, в Чтобы настроить параметры модуля средствами консоли Certification Authority, щелкните правой кнопкой мыши узел ЦС и контекстном меню выберите Properties (Свойства). В диалоговом окне свойств ЦС перейдите на вкладку Exit Modules (Модуль выхода). Укажите модуль и щелкните кнопку Configure В диалоговом окне Properties (Свойства) измените ния параметров.
Таблица 16-10. Параметры модуля выхода Параметр Описание Allow certificate publication По умолчанию в модуле выхода предприятия to Active Directory этот флажок установлен. его, если (Разрешить публикацию сертификатов или CRL в Active Directory не тре в Active буется. Этот флажок в стандартном модуле выхода Allow certificate publication to По умолчанию модуле the file system да этот флажок Сбросьте его, если (Разрешить сертификатов или в файловой системе сертификатов в По умолчанию в стандартном модуле файловой системе) предприятия он Установите этот требуется сертификаты или списки в файловой системе Если на ЦС предприятия работает модуль выхода с пара метрами по сертификаты публикуются Active Directory. На изолиро ванном ЦС активный стандартный модуль выхода с параметрами по публикует сертификаты в локальной файловой системе.
738 ЧАСТЬ 2 распределенных системах Планирование публикации списков отозванных Дополнительно настраивать списков CRL не если опи в этом параметры по умолчанию Вас При настройке следующих правил:
Х планируйте а не еженедельную публикацию если число от сертификатов велико или если требуется усилить безопасность цен информации, защищенной системой открытого ключа;
Х планируйте публикацию раз в две недели или раз в месяц, если число от зываемых сертификатов невелико;
Х отключите автоматическую публикацию CRL на ЦС автономного режима, на пример на изолированном ЦС или изолированном промежуточном ЦС, и публикуйте списки CRL вручную.
Чтобы расписание публикации CRL средствами Certification Authority, щелкните правой кнопкой мыши узел Revoked Certificates (Отозванные сертифи каты) и в контекстном меню щелкните Properties (Свойства). В диалоговом окне Properties: Revoked Certificate (Свойства: Отозванные сертификаты) настройте параметры публикации CRL. Они описаны в таблице Таблица 16-11. Параметры публикации CRL Описание Publish Interval выбирается из (Интервал множества: Hours (часов), Days (дней), Weeks Months публикации) цев) или Years (лет). для CRL каждые две не дели введите 2 и к поле со выберите Weeks (недель) Next Publish Отображает дату и время следующей запланированной публикации списка CRL обновление) Disable Scheduled Этот флажок включает или отключает автоматическую публикацию Publishing CRL данном С (Отключить публикацию по. :
Х.
View Current CRL Просмотр самого последнего данного ЦС (Просмотр текущего Конфигурация выпускаемых сертификатов При установке ЦС предприятия политика поддерживает выпуск сер тификатов типов: Administrator Domain Controller домена), Computer Basic EFS шифрование EFS Recovery Agent (Агент восстановления EFS), User Certification Authority (Подчиненный центр сертификации) и Web Server (Веб-сервер). Политика выпуска настраивается для каждого ЦС в соответствии с потребностями организации.
Для выпуска сертификатов других типов, кроме стандартных, следует добавить эти типы в политику выпуска средствами консоли Certification Authority. Эта же кон соль используется для отмены в политике выпуска отдельных видов сертификатов.
Например, можно сконфигурировать политику выпуска па корневом или ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 точном для выпуска только сертификатов подчиненного или вы пускающий добавив в политику выпуска сертификат Trust List Signing (Под писывание списка доверия) и удалив Subordinate Certification Authority. Вы вправе заставить ЦС выпускать только сертификаты Enrollment Agent (Агент по или Smart Card Logon (Вход со смарт-картой), или Smart Card User (Пользователь со смарт-картой) - два поддерживают смарт-карт.
Чтобы добавить тип сертификата в политику с помощью оснастки Cer tification Authority, щелкните кнопкой Policy Settings (Парамет ры политики). В контекстном меню выберите подменю New (Создать) и команду Certificate to Issue (Выдаваемый сертификат). В диалоговом окне Certificate Template (Выбор шаблона сертификатов) укажите один или несколько шаблонов сертификатов и щелкните ОК Ч они будут добавлены в политику ликации.
Когда Вы выбираете узел параметров политики ЦС, типы сертификатов, поддер живаемые центром сертификации, в области сведений. Чтобы удалить сертификата из политики публикации, выберите шаблон и нажмите клави шу Delete;
или щелкните кнопкой мыши шаблон сертификата и в контекст меню выберите Delete (Удалить).
Разрешения на получение сертификатов управляются индивидуально списками каждого из шаблонов (подробнее Ч в разделе стандартных разре шений сертификатов (по далее в этой главе) Certification Authority. Это позволяет запретить отдельным или группам получать в данном ЦС сертификаты типов.
Изменение конфигурации безопасности центра сертификации По умолчанию члены локальных групп Administrators (Администраторы) и Users (Прошедшие проверку), а также Domain Admins (Администра торы домена) и Enterprise Admins (Администраторы предприятия) обладают раз решением Enroll (Заявка) и поэтому уполномочены запрашивать сертификаты в ЦС.
То есть по умолчанию все пользователи домена вправе запрашивать в СА сертифи каты им Кроме того, члены локальной группы и глобальных групп Domain Admins и Enterprise Admins обладают на ЦС разрешени ем Manage (Управление). Дополнительно настраивать не надо, если кон безопасности ЦС по умолчанию удовлетворяет Вашим потребностям.
Чтобы настроить параметры средствами консоли Certification Au щелкните правой кнопкой мыши узел ЦС и контекстном выберите Properties (Свойства). В открывшемся диалоговом окне свойств ЦС перейдите на вкладку Security (Безопасность) и измените параметров. Используйте кнопки Add (Добавить) и Remove (Удалить) для изменения пользователей и групп в списке Permissions (Разрешения).
Чтобы изменить основные разрешения, выберите группу или учетную запись пользо вателя из списка и установите или снимите соответствующие флажки Allow решить) или Deny рядом с записями основных разрешений в Permissions.
Чтобы дополнительные разрешения, щелкните кнопку Advanced (Допол нительно). В диалоговом окне Permissions (Разрешения) посредством кнопок Add и Remove список групп безопасности и записи 740 ЧАСТЬ 2 Безопасность в распределенных системах Для изменения разрешений группы или учетной записи пользователя выберите ее в списке и щелкните кнопку View/Edit менить).
В 16-12 разрешения для ЦС, которые в дополни тельном диалоговом окне Permissions (Разрешения).
Pages: | 1 | ... | 11 | 12 | 13 | 14 | 15 | Книги, научные публикации