Иллюстрированный самоучитель по настройке Windows 2000/2003

Инфраструктура открытых ключей

Интерфейс CryptoAPI

Надежность операций шифрования и управления закрытыми ключами в Windows 2000 обеспечивается, кроме служб сертификатов, интерфейсом Microsoft CryptoAPI версии 2. CryptoAPI – это интерфейс прикладного программирования Windows 2000, обеспечивающий выполнение криптографических операций для операционной системы Windows и работающих под ее управлением приложений. Его функционирование позволяет приложениям шифровать и подписывать данные и обеспечивает сохранность закрытых ключей. Непосредственное выполнение операций шифрования осуществляется независимыми модулями, называемыми поставщиками службы криптографии (Cyptographic Service Providers, CSP).

Разработчики могут использовать CryptoAPI для интеграции служб сертификатов с существующими базами данных и службами каталогов сторонних производителей. CryptoAPI также поддерживает индивидуальные способы защиты электронных документов.

Использование сертификатов для аутентификации внешних пользователей

Часто бывает необходимо предоставить внешним пользователям защищенный доступ к данным, опубликованным на веб-сайте, свободный доступ к которому закрыт. Наиболее типичные случаи – доступ к внешним сетям для корпоративных партнеров, доступ одних отделов предприятия к страницам других отделов в интрасети или выборочный доступ для определенной части пользователей.

Windows 2000 позволяет предоставлять защищенный доступ внешним пользователям путем их аутентификации с помощью инфраструктуры открытых ключей и Active Directory. Это происходит следующим образом. Доступ открывается при создании в Active Directory учетной записи для внешних пользователей, позволяющей работать с соответствующими ресурсами в сети. Внешний пользователь для подтверждения своей подлинности должен предоставить сертификат, выданный центром сертификации, присутствующим в списке доверенных сертификатов для сайта, домена или подразделения Active Directory, в котором создана учетная запись. Когда пользователь входит в систему, система сопоставляет его сертификат с учетной записью и определяет, к какой части внутренней сети он может иметь доступ. Процесс аутентификации скрыт от внешнего пользователя.

Использование инфраструктуры открытых ключей в Windows 2000

Инфраструктура открытых ключей, кроме идентификации внешних пользователей, используется при выполнении таких задач по обеспечению безопасности, как:

  • Защита сообщений электронной почты с помощью Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • Создание цифровых подписей для защищенных транзакций.
  • Защита веб-соединений с помощью Secure Sockets Layer (SSL) или Transport Layer Security (TLS).
  • Подписывание исполняемого кода при его передаче по открытым сетям.
  • Поддержка локального или удаленного входа в сеть.
  • Выполнение аутентификации по протоколу IPSec для клиентов, не использующих протокол Kerberos, а также в случаях передачи паролей с общим секретом при соединениях IPSec.
  • Шифрование файлов при помощи файловой системы EFS в Windows 2000.
  • Защита учетных данных с помощью смарт-карт.

Некоторые из этих задач, связанные, например, с EFS, IPSec и смарт-картами, рассматриваются в данной статье.

Примечание
За дополнительными сведениями об использовании инфраструктуры открытых ключей в Windows 2000 обращайтесь к Технической библиотеке на веб-узел
http://www.microsoft.com/windows2000/techinfo/default.asp.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.