Проектирование инфраструктуры открытых ключей (PKI) и ее развертывание в Windows 2000
В данном разделе описываются проблемы, связанные с организацией и развертыванием служб сертификации Windows 2000. В разделе представлены следующие две темы:
- Проектирование иерархии центров сертификации (СА)
- Развертывание служб сертификации
Для получения детальной информации об устранении проблем с развертыванием обратитесь также к разделу "Оптимизация развертывания инфраструктуры открытых ключей (PKI)" ("Optimizing PKI Deployment") официального документа "Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт" (EN) (ссылка на данный документ дана в разделе "Дополнительная информация").
Проектирование иерархии центров сертификации (СА)
При проектировании иерархии центров сертификации (СА) вначале необходимо определить количество центров сертификации (СА) и их расположение. В данном разделе описываются общие принципы построения иерархии центров сертификации (СА) в Вашей организации. Информация представлена в следующих темах:
- Емкость базы данных центра сертификации (CA)
- Сетевое соединение
- Делегирование административных полномочий
- Облегчение реорганизации предприятия
- Доступность служб
- Публикация сертификатов
Емкость базы данных центра сертификации (CA)
Microsoft провела тестирование серверов, на которых были запущены службы сертификации Windows 2000 с базами данных, количество сертификатов в которых превышало один миллион. В течение длительного времени обычный пользователь использует несколько сертификатов в зависимости от используемых приложений, срока действия сертификатов и т.д.
Принято считать, что один центр сертификации (CA) Windows 2000 рассчитан на поддержку 250.000 пользователей. Нет никаких практических ограничений на общее количество серверов со службами сертификации, которые может поддерживать лес Windows 2000. Следовательно, службы сертификации Windows 2000 могут поддерживать любое количество пользователей в лесу Windows 2000.
Даже при такой емкости, хранилище базы данных, используемое службами сертификации работает с частью своей известной емкости хранения, а количество сертификатов, поддерживаемых одним центром сертификации (СА) в следующих выпусках ОС Windows 2000 Server будет значительно увеличено.
Сетевое соединение
Клиентам Windows 2000 или веб-клиентам для подачи заявки на сертификат центру сертификации (CA) Windows 2000 требуется наличие DCOM соединения. (DCOM представляет собой средство передачи сообщений, с помощью которого распределенные приложения могут осуществлять вызов процедур, доступных на компьютерах в сети). Для того, чтобы пользователи могли использовать веб-клиент для подачи заявок на сертификат, необходимо наличие веб-соединения между пользователями и сервером IIS, и DCOM соединения между сервером IIS и центром сертификации (СА).
Делегирование административных полномочий
Если административная модель Вашей организации является высоко децентрализованной, то Вы можете отразить эту децентрализацию в иерархии центров сертификации (СА). Кроме того, иерархия центров сертификации (СА) может охватывать несколько лесов Windows 2000: подчиненный центр сертификации (CA) может находиться в том же домене, что и родительский, в дочернем по отношению к родительскому домену, или в домене отдельного леса. После создания подчиненного центра сертификации (CA) Вы можете делегировать полномочия на управление им группе администраторов, закрепив за ними ответственность за центр сертификации (CA) с помощью групповой политики. В данном случае единственным правом, которым будет обладать вышестоящий центр сертификации (CA), будет возможность отзыва сертификата подчиненного центра сертификации (CA).
Облегчение реорганизации предприятия
Наличие нескольких центров сертификации (СА) в отличие от только одного центра сертификации (CA) в организации упрощает администрирование, поскольку Вы можете в этом случае "перемещать центр сертификации (CA)". Сегодня много предприятий продаются и покупаются корпорациями. Для того, чтобы нормально распоряжаться такими корпоративными приобретениями, требуется реорганизация ИТ-инфраструктуры к тому виду, который бы соответствовал всем этим изменениям. Использование служб сертификации Windows 2000 позволяет упростить задачи по реорганизации инфраструктур открытых ключей (PKI), когда все пользователи принадлежат одному центру сертификации (CA), поскольку добавление центра сертификации (CA) с его пользователями в иерархию или удаление из нее происходит относительно просто. Однако, невозможно переместить подгруппу пользователей одного центра сертификации (CA) на новый центр сертификации (CA) без принудительной подачи запроса на сертификат нового центра сертификации (CA). Это приводит к значительному увеличению стоимости и неудобству изменений. Поэтому необходимо принимать во внимание эти факторы при планировании структуры центров сертификации (СА).
Доступность служб
Центры сертификации (CA) Windows 2000 (как и в случае с контроллерами домена) обеспечивают высокую доступность, если их используется несколько. Организация нескольких центров сертификации (СА) гарантирует, что в лесу будет хотя бы один центр сертификации (СА), способный обработать запросы подачи заявок.
Публикация сертификатов
При использовании служб сертификации Windows 2000 сертификаты пользователей публикуются в объекте пользователя в том домене, членом которого является пользователь. Чтобы опубликовать сертификат в объекте пользователя в Active Directory центр сертификации (CA) должен иметь доступ к контроллеру домена в домене пользователя. Поэтому, не только пользователь должен иметь сетевой доступ к центру сертификации (CA) для того, чтобы сделать запрос, но и центр сертификации (CA) должен иметь сетевой доступ к контроллеру домена в домене пользователя.