Развертывание служб сертификации
Аппаратные поставщики служб криптографии
Традиционно организации используют аппаратные поставщики служб криптографии (CSP) для повышения производительности путем переноса выполнения операций шифрования на специализированное оборудование. Первичной задачей служб сертификации является обеспечение безопасности материала закрытого криптографического ключа. Защита материала ключа с помощью специализированного, устойчивого ко взлому аппаратного обеспечения, усиливает его безопасность, а также безопасность центра сертификации (CA) и сертификатов, которые он выпускает. Для таких центров сертификации (СА), как автономные центры сертификации (CA) и других важных центров сертификации (СА), рекомендуется использовать аппаратный поставщик CSP.
Период публикации списка CRL
В Вашей организации необходимо установить баланс между необходимостью частой (насколько это необходимо) публикации информации в списках CRL и в связанной с этим большой нагрузкой на сеть и на сервер.
Частая публикация списков CRL увеличивает нагрузку на сервер. Увеличение нагрузки вызвано тем, что клиенты вынуждены загружать список CRL каждый раз, когда он публикуется заново по истечении своего срока действия.
Чем чаще центр сертификации (CA) публикует список CRL в Active Directory, тем быстрее становятся известны изменения в состоянии сертификатов. Несмотря на это, всякий раз, когда срок действия списка CRL истекает и он публикуется вновь, публикуется заново и полный список отозванных сертификатов, даже если никаких изменений не произошло. Частая публикация списка CRL увеличивает объем трафика в сети, поскольку данные Active Directory реплицируются на все контроллеры домена в лесу. (Для получения информации о том, как репликация влияет на публикацию списка CRL, обратитесь к рассмотренному ранее разделу "Списки отзыва сертификатов". Для получения информации о решении проблем, вызванных репликацией в среде инфраструктуры открытых ключей Windows 2000, обратитесь к разделу "Задержка, вызванная репликацией Active Directory" ("Latency Caused by Active Directory Replication") в официальном документе "Решение проблем при развертывании инфраструктуры открытых ключей (PKI) Windows 2000 и входе в систему с помощью смарт-карт" (EN) (ссылка на этот документ дана в разделе "Дополнительная информация").
Баланс между необходимостью частой публикации и минимизацией влияния на инфраструктуру должен быть изначально заложен при проектировании и вводе в эксплуатацию иерархии центров сертификации (CA). Для большинства сертификатов нет необходимости часто публиковать их состояние в списке отзыва, поскольку они не представляют большой угрозы. Такие сертификаты могут выдаваться центрами сертификации (СА), у которых период публикации списка CRL довольно большой (например, одна неделя). Особо ценные сертификаты могут выдаваться другими центрами сертификации (СА), у которых период публикации списка CRL более короткий (один день). Обычно в организации используется несколько сертификатов, имеющих особую ценность, благодаря чему список CRL имеет маленький размер. Выдача более значимых сертификатов с коротким сроком действия (от трех до шести месяцев), после того, как отозванные сертификаты будут удалены из списков CRL, также способствует установлению баланса между частотой публикации и нагрузкой на сеть и сервер.
Рекомендации по выбору конфигурации аппаратного обеспече ия
Сертификаты и публикация сертификатов включает в себя множество аспектов, поэтому рекомендации по выбору конфигурации аппаратного обеспечения могут быть только общими. В Таблице 1 представлены ориентировочные размеры служб сертификации.
Таблица 1 – Общие рекомендации по выбору конфигурации аппаратного обесп чения для служб сертификации.
Размер службы | Минимальный объем физической памяти | Рекомендуемый объем физической памяти | Ожидаемый размер базы данных |
Сертификаты, размером до 10 кБ | 64 MБ | 128 MБ | До 200 кБ |
Сертификаты, размером 10-100 кБ | 128 MБ | 256 MБ | 200 кБ-2 ГБ |
Сертификаты, размером 100 кБ-1 MБ | 256 MБ | 512 MБ | 2-20 ГБ |
Размер базы данных 1-20 кБ (килобайт) на каждый запрос.
Заключение
Обеспечение безопасности при передаче информации, как по внутренним, так и по внешним каналам связи, особенно через сеть Интернет, является важным аспектом современных систем, работающих в сети. Инфраструктура открытых ключей Windows 2000 и службы сертификации, предоставляют необходимые для этого службы безопасности, включая проверку доказательства происхождения, конфиденциальности и целостности данных.
Службы сертификации Windows 2000 используют центры сертификации (CA) и сертификаты, выдаваемые ими, для проверки и аутентификации каждой из сторон, участвующей в процессе электронного обмена данными. В данном документе описывается, как службы сертификации Windows 2000, инфраструктура открытых ключей и использование криптографии способствует безопасному обмену информации через сеть Интернет, другие внешние сети и интрасети.