Инфраструктура сертификата
Как правило, инфраструктура сертификата настраивается на использование одного корневого ЦС в трехуровневой иерархии, состоящей из корневого ЦС, промежуточных ЦС и выдающих ЦС. При использовании VPN-подключений выдающие ЦС настроены для выдачи сертификатов компьютеров или сертификатов пользователей. Вместе с сертификатом пользователя или компьютера на VPN-клиент одновременно устанавливаются сертификаты выдающего ЦС, промежуточного ЦС и корневого ЦС. Вместе с сертификатом компьютера на сервер проверки подлинности одновременно устанавливаются сертификаты выдающего ЦС, промежуточного ЦС и корневого ЦС. ЦС, выдающий сертификат компьютера для сервера проверки подлинности, может отличаться от ЦС, выдающего сертификаты для VPN-клиентов. В этом случае VPN-клиент и компьютер сервера проверки подлинности должны иметь все необходимые сертификаты для проверки сертификатов при помощи IPSec и EAP-TLS. При развертывании инфраструктуры сертификата учитывайте следующие рекомендации:
- Спланируйте инфраструктуру сертификата до начала развертывания центров сертификации.
- Корневой ЦС должен быть автономным и подписанным ключом, защищенным при помощи аппаратного модуля безопасности HSM (Hardware Security Module, HSM). Ключ должен храниться в надежном месте для того, чтобы свести к минимуму возможность компрометации ключа.
- Организации не должны выдавать сертификаты пользователям или компьютерам непосредственно при помощи корневого ЦС. Вместо этого рекомендуется развернуть:
- Автономный корневой ЦС.
- Автономные промежуточные ЦС.
- Автономные выдающие ЦС.
Данная инфраструктура ЦС обеспечивает гибкость и изолирует корневой и промежуточные ЦС от попыток скомпрометировать их закрытые ключи злоумышленниками. Автономные корневые и промежуточные ЦС не обязательно должны являться ЦС Windows 2000. Выдающие ЦС могут подчиняться промежуточным ЦС сторонних производителей.
- Выполняйте архивирование базы данных ЦС, сертификатов и ключей ЦС, чтобы предотвратить потерю критических данных. Архивирование ЦС должно производиться регулярно (ежедневно, еженедельно, ежемесячно) в зависимости от количества сертификатов, выдаваемых за определенный период времени. Чем больше выдается сертификатов, тем чаще должно производиться архивирование ЦС.
- Вы должны пересмотреть принципы разрешений безопасности и контроля доступа, так как центры сертификации предприятия выдают сертификаты, основанные на разрешениях безопасности для запроса сертификатов.
Если Вы хотите воспользоваться преимуществами автоматической подачи заявок на сертификаты компьютера и заявок на сертификаты при помощи оснастки Сертификаты (Certificates), используйте службы сертификации (Certificate Services) Windows 2000 и создайте выдающий ЦС предприятия.
Для получения дополнительной информации обратитесь к разделам Контрольный список: внедрение центров сертификации и инфраструктуры открытого ключа для интрасети (Checklist: Deploying certification authorities and PKI for an intranet) и Контрольный список: Создание иерархии сертификации с автономным корневым центром сертификации (Checklist: Creating a certification hierarchy with an offline root certification authority) справки Windows 2000 Server.