După cum știți, sunt necesare certificate pentru autentificarea fiabilă, crearea conexiunilor SSL, trimiterea mesajelor S / MIME și a altor acțiuni menite să asigure securitatea. Cu fiecare an, utilizarea certificatelor este în creștere, iar pentru a îndeplini noile cerințe, Microsoft a revizuit serios vechiul serviciu Certificate Services.
- Autorități de certificare (CA) - această componentă vă permite să instalați și să configurați centre de certificare root (root) sau subordonate (sau centre de certificare), care servesc la emiterea de certificate utilizatorilor, computerelor și serviciilor.
- Înscrierea pe web este necesară pentru a solicita certificate și pentru a prelua informații despre certificate revocate prin intermediul unui browser web.
- Responderul online permite clienților să primească informații despre starea unui certificat fără a primi liste de revocări.
- Serviciul de înregistrare a dispozitivelor prin rețea (NDES) este utilizat de routere și alte dispozitive de rețea fără conturi în domeniu pentru obținerea certificatelor. Serviciul Network Enrollment Service utilizează protocolul SCEP (Simple Certificate Enrollment Protocol) elaborat de Cisco. Extensia NDES pentru IIS este configurată prin cheile de registry HKEY_LOCAL_ROOT \ Software \ Microsoft \ Cryptography \ MSCEP.
- Certificatul Web pentru înscrierea în certificat permite clienților să aplice automat certificate și să le primească prin HTTPS.
- Certificatul de înregistrare a politicii de certificare vă permite să definiți politici pentru înregistrarea automată a certificatelor și transferarea acestora către clienți prin HTTPS. În timp ce serviciul Web primește informații despre politicile de la AD prin intermediul protocolului LDAP.
Opțiuni de instalare și gestionare pentru AD CS
Instalarea AD CS se face prin adăugarea de roluri în modulul snap-in Server Manager. Ca și înainte, fișierul de configurare CAPolicy.inf este utilizat pentru a configura setările de instalare, care trebuie să fie în% SYSTEMROOT%. Dacă aveți nevoie să instalați două componente ale Autorității de certificare și ale Serviciului de înscriere a certificatelor pe server, trebuie să faceți acest lucru în două etape, deoarece nu puteți selecta instalarea componentei Web Service atunci când instalați CA.
Enterprise PKI vă permite să monitorizați simultan starea și disponibilitatea mai multor AC-uri, să verificați starea certificatelor CA, disponibilitatea AIA (Access Information Information) și listele de revocare. Cu ajutorul semnelor multi-colorate, se poate evalua disponibilitatea și starea PKI. Pkiview este convenabil de utilizat atunci când mai multe CA sunt implementate în organizație și informații despre ele pot fi obținute din mai multe surse care lucrează pe diferite protocoale.
Șabloane de certificate
Utilizând șabloanele de certificate, puteți determina formatul și conținutul certificatului eliberat și puteți seta permisiuni pentru solicitarea de certificate pentru utilizatori și computere. Numai CA-urile Enterprise pot utiliza șabloane de certificate.
Noi metode de solicitare a certificatelor
Apropo, cum obțin utilizatorii și calculatoarele certificate? Cu alte cuvinte, cum pot aplica un certificat și îl pot instala pe un computer? Poți, bineînțeles, să creezi manual o solicitare PKCS # 10 și să folosești linia de comandă și certreq pentru a transmite cererea către CA, dar nu există întotdeauna ocazia de a explica utilizatorilor cum să facă acest lucru. Dacă utilizatorul este un utilizator de domeniu și conectat la rețeaua corporativă, puteți utiliza politicile de grup pentru a configura transmiterea și prelucrarea automată a aplicațiilor. În consecință, utilizatorul nu poate nici măcar să bănuiască că a instalat un nou certificat sau a actualizat vechiul certificat.
Clienții care nu fac parte din domeniu sau nu au acces direct la rețea cu CA pot solicita certificatul prin intermediul interfeței web. Componenta Web Enrollment, care este necesară pentru aceasta, a fost prezentă mai devreme, dar a fost reproiectată în mod substanțial. Vechea bibliotecă XEnroll.dll, care a fost scrisă cu mulți ani în urmă și a fost completată cu funcții și bug-uri noi, a fost înlocuită cu una nouă - CertEnroll.dll, pentru că era mai ușor să scrii de la zero decât să rezolvi ceea ce era. Înscrierea pe Web vă permite să trimiteți aplicații în format PKCS # 10 sau să creați cereri interactiv prin browser, depunerea automată a aplicațiilor nu este acceptată.
Dacă doriți să evitați solicitările către CA pentru noi certificate de pe Internet, dar există clienți care trebuie să actualizeze certificatele când sunt, de exemplu, în călătorii de afaceri, atunci puteți utiliza numai modul numai pentru reînnoire. În acest caz, clienții de la prima primire a certificatului trebuie să se afle în aceeași rețea cu CA, iar în cazul actualizării certificatelor, aceștia pot beneficia de înscrierea în CA Web.
Politicile pentru aceste servicii sunt configurate prin Politica de grup sau pe client, prin intermediul modulului snap-in Certificate.
Liste de comentarii vs. Responder online
La verificarea validității unui certificat, acesta verifică, printre altele, perioada de valabilitate și starea revocării. Certificatul poate fi retras, atât în cazul compromisului cheie, cât și când se schimbă informații despre proprietar, de exemplu, o schimbare a poziției sau a prenumelui. În mod tradițional, informațiile despre certificatele revocate sunt plasate în CRL (lista de revocare a certificatelor)). Pentru a afla dacă certificatul a fost revocat, trebuie să obțineți o listă de revocare și să verificați certificatul. Dacă organizația are un număr mare de certificate, lista va crește rapid și clienții vor aștepta descărcarea listei la verificarea stării certificatului. În plus față de listele obișnuite, există și diferențe (Delta CRL), care conțin doar informații despre certificate ale căror statusuri au fost modificate din lista precedentă de revizii. Delta CRL rezolvă parțial problemele cu volumul listelor de revocări, dar nu rezolvă toate problemele legate de relevanța informațiilor. Din moment ce listele sunt publicate la un anumit interval, poate exista o situație în care certificatul a fost deja revocat și informațiile despre acesta în LCR nu sunt încă disponibile.
OCSP sprijină clienții, începând cu Windows Vista. Acestea pot fi configurate utilizând noua setare a setărilor politicii de grup (fila Revocare fila Setări validare cale validare).
Spre deosebire de utilizarea listelor de revocare, trebuie să fie instalat și configurat primul Responder online. Pentru aceasta, efectuați următorii pași:
concluzie
În primul rând, a căutat sprijin pentru noi protocoale și algoritmi criptografici. Protocolul OCSP, care a fost prezent timp de mulți ani în alte produse software, a ajuns în sfârșit la serverul de operare Microsoft. Astfel, administratorii și programatorii au diferite opțiuni pentru a verifica starea certificatelor revocate, ceea ce vă permite să alegeți între viteza, volumul de date și relevanța informațiilor. Un factor important este apariția suportului pentru algoritmi pe curbele eliptice. Din păcate, nu sunt sprijinite standardele rusești, ci standardele americane, dar se așteaptă ca un altul să fie ciudat.
În al doilea rând, multe biblioteci (de exemplu, Crypto API și XEnroll.dll) sunt rescrise de la zero, motiv pentru care puteți spera să scapi de greșelile și problemele vechi și să așteptați altele noi.
În al treilea rând, modalitățile de solicitare și de obținere a certificatelor s-au extins semnificativ. Acum, certificatele pot primi ambele dispozitive de rețea fără a scrie în domeniu, iar utilizatorii fără acces direct la rețea din CA.
În fine, fanii automatizării și scenariilor nu sunt lăsați fără atenție - obiecte și funcții noi îi vor permite să-și realizeze fanteziile.
Distribuiți acest articol cu prietenii dvs.:
Articole similare
Trimiteți-le prietenilor: