Развертывание служб сертификации
В данном разделе раскрываются следующие темы по развертыванию служб сертификации Windows 2000:
- Организация иерархии центров сертификации (СА)
- Использование изолированного центра сертификации (CA) для Вашего автономного корневого центра сертификации (CA)
- Аппаратные поставщики служб криптографии
- Период публикации списка CRL
- Рекомендации по выбору конфигурации аппаратного обеспечения
Организация иерархии центров сертификации (СА)
Поскольку Вы создаете иерархию, то необходимо сначала создать ее вершину, а затем спускаться вниз. Поэтому для начала создайте корневой центр сертификации (CA). Если в качестве корневого центра сертификации (CA) в Вашей организации используется коммерческий центр сертификации (CA) третьей стороны, то его создавать не нужно, т.к. он уже существует. А вся ответственность по обеспечению его безопасности ложится на обслуживающую его третью сторону.
Если Вы все же решили создать собственный корневой центр сертификации (CA), то первичное требование, которое должно соблюдаться, это то, что он должен быть безопасен. То, насколько он должен быть безопасным определяется тем, что именно находится под угрозой и каков возможный масштаб нападения.
Наиболее часто корневой центр сертификации (CA) используют автономно, поместив его в хранилище или в другое безопасное место, и используют его только для выпуска небольшого количества сертификатов (безопасный корневой центр сертификации (CA) используется только для выдачи сертификатов подчиненным центрам сертификации (СА)). Компьютер, который используется как безопасный корневой центр сертификации (CA) не должен быть членом какого-либо домена и вообще не должен иметь сетевой карты. Такая физическая защита гарантирует, что корневой центр сертификации (CA) невозможно будет просто взломать, и что те работающие в сети подчиненные центры сертификации (CA), которые стали ненадежными, можно будет безопасно отозвать.
Физическую безопасность можно будет усилить введением высокого уровня процедур безопасности, таких, как требования нескольких одновременных операторов для взаимного подтверждения действий.
Использование изолированного центра сертификации (CA) для Вашего автономного корневого центра сертификации (CA)
Выполняя свои функции в сети Windows 2000, изолированные центры сертификации (CA) могут быть настроены на работу автономно (без непосредственного подключения к сети). Задача автономных центров сертификации (СА) – обрабатывать запросы, поступающие от подчиненных центров сертификации (СА). Хотя такая конфигурация является более безопасной, это увеличивает административную нагрузку. Во время установки подчиненного центра сертификации (CA), создается запрос на сертификат, подписанный по стандарту PKCS-10 (Public Key Cryptography Standards, PKCS). Данный запрос сертификата должен быть вручную перенесен с помощью сменных носителей на автономный центр сертификации (CA). При получении такого запроса автономный центр сертификации (CA) создает сообщение по стандарту PKCS-7, в котором содержится указанный в запросе PKCS-10 сертификат центра сертификации (CA). Установка подчиненного центра сертификации (CA) завершится только тогда, когда сообщение по стандарту PKCS-7 будет физически перенесено назад на подчиненный центр сертификации (CA). (Для получения дополнительной информации о семействе стандартов PKCS для шифрования открытым ключом, обратитесь к разделу "Стандарты шифрования с открытым ключом " в Приложении Б).
Кроме того, администраторы должны вручную публиковать сертификаты и списки CRL в Active Directory, а также вручную регулярно обновлять списки CRL (это определяется сроком действия списков CRL). Для получения информации о том, как это выполняется, обратитесь к разделу "DSStore-Новое средство для инфраструктуры открытых ключей Windows 2000" ("DSStore-New Tool for Windows 2000 PKI") официального документа "Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт" (EN) (ссылка на этот документ дана в разделе "Дополнительная информация"), или можете обратиться к разделу справки Windows 2000, посвященному автономным корневым центрам сертификации (СА).
Важно
Убедитесь, что перед выдачей автономным корневым центром сертификации (CA) сертификата подчиненному центру сертификации (CA) Вы изменили AIA-расширения и положения CDP (в соответствии со значениями, отображенными приложением DSStore) в оснастке Центр сертификации (CA). (Для получения информации о важности этих расширений сертификата обратитесь к разделу "Приложение A. Формирование цепочек сертификатов в Windows 2000").