Инфраструктура открытых ключей
Интерфейс CryptoAPI
Надежность операций шифрования и управления закрытыми ключами в Windows 2000 обеспечивается, кроме служб сертификатов, интерфейсом Microsoft CryptoAPI версии 2. CryptoAPI – это интерфейс прикладного программирования Windows 2000, обеспечивающий выполнение криптографических операций для операционной системы Windows и работающих под ее управлением приложений. Его функционирование позволяет приложениям шифровать и подписывать данные и обеспечивает сохранность закрытых ключей. Непосредственное выполнение операций шифрования осуществляется независимыми модулями, называемыми поставщиками службы криптографии (Cyptographic Service Providers, CSP).
Разработчики могут использовать CryptoAPI для интеграции служб сертификатов с существующими базами данных и службами каталогов сторонних производителей. CryptoAPI также поддерживает индивидуальные способы защиты электронных документов.
Использование сертификатов для аутентификации внешних пользователей
Часто бывает необходимо предоставить внешним пользователям защищенный доступ к данным, опубликованным на веб-сайте, свободный доступ к которому закрыт. Наиболее типичные случаи – доступ к внешним сетям для корпоративных партнеров, доступ одних отделов предприятия к страницам других отделов в интрасети или выборочный доступ для определенной части пользователей.
Windows 2000 позволяет предоставлять защищенный доступ внешним пользователям путем их аутентификации с помощью инфраструктуры открытых ключей и Active Directory. Это происходит следующим образом. Доступ открывается при создании в Active Directory учетной записи для внешних пользователей, позволяющей работать с соответствующими ресурсами в сети. Внешний пользователь для подтверждения своей подлинности должен предоставить сертификат, выданный центром сертификации, присутствующим в списке доверенных сертификатов для сайта, домена или подразделения Active Directory, в котором создана учетная запись. Когда пользователь входит в систему, система сопоставляет его сертификат с учетной записью и определяет, к какой части внутренней сети он может иметь доступ. Процесс аутентификации скрыт от внешнего пользователя.
Использование инфраструктуры открытых ключей в Windows 2000
Инфраструктура открытых ключей, кроме идентификации внешних пользователей, используется при выполнении таких задач по обеспечению безопасности, как:
- Защита сообщений электронной почты с помощью Secure/Multipurpose Internet Mail Extensions (S/MIME).
- Создание цифровых подписей для защищенных транзакций.
- Защита веб-соединений с помощью Secure Sockets Layer (SSL) или Transport Layer Security (TLS).
- Подписывание исполняемого кода при его передаче по открытым сетям.
- Поддержка локального или удаленного входа в сеть.
- Выполнение аутентификации по протоколу IPSec для клиентов, не использующих протокол Kerberos, а также в случаях передачи паролей с общим секретом при соединениях IPSec.
- Шифрование файлов при помощи файловой системы EFS в Windows 2000.
- Защита учетных данных с помощью смарт-карт.
Некоторые из этих задач, связанные, например, с EFS, IPSec и смарт-картами, рассматриваются в данной статье.
Примечание
За дополнительными сведениями об использовании инфраструктуры открытых ключей в Windows 2000 обращайтесь к Технической библиотеке на веб-узел http://www.microsoft.com/windows2000/techinfo/default.asp.