Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Инфраструктура сертификата

Как правило, инфраструктура сертификата настраивается на использование одного корневого ЦС в трехуровневой иерархии, состоящей из корневого ЦС, промежуточных ЦС и выдающих ЦС. При использовании VPN-подключений выдающие ЦС настроены для выдачи сертификатов компьютеров или сертификатов пользователей. Вместе с сертификатом пользователя или компьютера на VPN-клиент одновременно устанавливаются сертификаты выдающего ЦС, промежуточного ЦС и корневого ЦС. Вместе с сертификатом компьютера на сервер проверки подлинности одновременно устанавливаются сертификаты выдающего ЦС, промежуточного ЦС и корневого ЦС. ЦС, выдающий сертификат компьютера для сервера проверки подлинности, может отличаться от ЦС, выдающего сертификаты для VPN-клиентов. В этом случае VPN-клиент и компьютер сервера проверки подлинности должны иметь все необходимые сертификаты для проверки сертификатов при помощи IPSec и EAP-TLS. При развертывании инфраструктуры сертификата учитывайте следующие рекомендации:

  • Спланируйте инфраструктуру сертификата до начала развертывания центров сертификации.
  • Корневой ЦС должен быть автономным и подписанным ключом, защищенным при помощи аппаратного модуля безопасности HSM (Hardware Security Module, HSM). Ключ должен храниться в надежном месте для того, чтобы свести к минимуму возможность компрометации ключа.
  • Организации не должны выдавать сертификаты пользователям или компьютерам непосредственно при помощи корневого ЦС. Вместо этого рекомендуется развернуть:
    1. Автономный корневой ЦС.
    2. Автономные промежуточные ЦС.
    3. Автономные выдающие ЦС.

    Данная инфраструктура ЦС обеспечивает гибкость и изолирует корневой и промежуточные ЦС от попыток скомпрометировать их закрытые ключи злоумышленниками. Автономные корневые и промежуточные ЦС не обязательно должны являться ЦС Windows 2000. Выдающие ЦС могут подчиняться промежуточным ЦС сторонних производителей.

  • Выполняйте архивирование базы данных ЦС, сертификатов и ключей ЦС, чтобы предотвратить потерю критических данных. Архивирование ЦС должно производиться регулярно (ежедневно, еженедельно, ежемесячно) в зависимости от количества сертификатов, выдаваемых за определенный период времени. Чем больше выдается сертификатов, тем чаще должно производиться архивирование ЦС.
  • Вы должны пересмотреть принципы разрешений безопасности и контроля доступа, так как центры сертификации предприятия выдают сертификаты, основанные на разрешениях безопасности для запроса сертификатов.

Если Вы хотите воспользоваться преимуществами автоматической подачи заявок на сертификаты компьютера и заявок на сертификаты при помощи оснастки Сертификаты (Certificates), используйте службы сертификации (Certificate Services) Windows 2000 и создайте выдающий ЦС предприятия.

Для получения дополнительной информации обратитесь к разделам Контрольный список: внедрение центров сертификации и инфраструктуры открытого ключа для интрасети (Checklist: Deploying certification authorities and PKI for an intranet) и Контрольный список: Создание иерархии сертификации с автономным корневым центром сертификации (Checklist: Creating a certification hierarchy with an offline root certification authority) справки Windows 2000 Server.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.