Руководство по Microsoft pki (Часть 1)




Скачать 324.06 Kb.
НазваниеРуководство по Microsoft pki (Часть 1)
страница1/3
Дата23.09.2012
Размер324.06 Kb.
ТипРуководство
  1   2   3

Краткое руководство по Microsoft PKI (Часть 1)



Версия для печати





Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.







Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В этой статье, состоящей из трех частей, я кратко расскажу вам, как устанавливать, проектировать и отлаживать PKI (Public Key Infrastructure – инфраструктуру открытого ключа) с помощью служб сертификатов Microsoft Certificate Services в операционной системе Windows Server 2003. Я расскажу вам о наиболее часто встречающихся подводных камнях, а также о лучших рекомендациях по построению и работе с PKI на платформе Microsoft, а также сфокусируюсь на основах построения правильной и гибкой PKI с самого начала.

Для чего вам нужна PKI

Несколько лет назад все говорили о 2000 годе, как о годе PKI. Многие верили, что основной рынок был, наконец, готов воспользоваться всеми теми преимуществами, которые могла предложить PKI. Однако, как вы, вероятно, догадались, сертификаты и PKI в действительности не пользовались особой популярностью. Это было просто недостаточно сексуально в управлении для прессы и технического персонала (которые одновременно являлись единственными людьми, которые могли увидеть значимость PKI). Однако, по прошествии времени PKI снова стала одной из самых горячих тем, как для большого, так и для среднего бизнеса, хотя в этот раз мы можем наблюдать менее амбициозный и более реалистичный подход к использованию сертификатов (certificate) и PKI среди администраторов IT и людей, принимающих бизнес решения. Сдвиг в сторону безопасности, когда безопасность и усовершенствование Интернет и технологий мобильных коммуникаций стали частью работы многих компаний, означает, что сертификаты и PKI более готовы для основного рынка бизнеса в настоящее время, чем когда-либо ранее.

Так что же такое PKI и почему необходимо о ней заботиться, можете задать вы такой вопрос? В своей основе все это сводится к управлению сертификатами (certificate management). Как вы можете заметить, сертификаты сегодня повсюду, и часто их используют, даже не беспокоясь об их существовании. Некоторые наиболее часто встречающиеся сценарии, когда используются сертификаты (по порядку):

  • Шифрование диска и файлов (сертификаты используются для защиты симметричного крипто ключа symmetric crypto key)

  • Многофакторная аутентификация (Multifactor authentication) с помощью смарт карт

  • IPSec

  • Цифровая подпись (Digital signature)

  • Аутентификация RADIUS и 802.1x authentication

  • Беспроводные сети (Wireless networks)

  • NAP (Network Access Control) и NAQ (Network Access Quarantine) соответственно для подписи кода и драйверов

  • SSL/TLS для защиты HTTP трафика

Как вы видите, сертификаты используются во многих местах, и их основное назначение для усиления безопасности вашей инфраструктуры и решений IT. Но если вы посмотрите на наш список, представленный выше, то сможете представить, что необходимо управлять большим количеством сертификатов, в зависимости от того, какими преимуществами вы хотите воспользоваться в своей инфраструктуре, и как вы захотите их реализовать. Именно тут вам и может помочь PKI. PKI – это просто способ центрального управления, выпуска, обновления и аннулирования сертификатов, а также способ построения вашего маршрута доверия. Сертификаты и PKI, о которых мы расскажем в этой статье работают на X.509 v3, что значит, мы можем разносторонне использовать сертификаты, что мы и рассмотрим подробнее во второй части этой статьи.

Важно:
Перед тем, как мы продолжим, я бы хотел немного рассказать о терминах, которые будут использоваться этой статье. Цель этой статьи заключается в том, чтобы кратко познакомить вас с самыми важными областями, чтобы вы с минимальными усилиями могли получить базовые знания о PKI. Однако, построение PKI может быть большим проектом, и если вы слишком серьезно относитесь к безопасности и такие вещи, как передача ролей (role delegation) и совместимость с FIPS-140 очень важна для вас, то вы должны более подробно рассмотреть на ссылки, приведенные в конце этой статьи. Помня обо всём об этом, давайте начнем и перейдем на фазу планирования.

Планирование PKI

Итак, я соглашусь, что при знакомстве с фазой планирования в нашей первой статье, мы еще не обладаем достаточным багажом технических знаний, на который вы может быть надеялись. Но кроме всего прочего, фаза планирования очень важно, и мы расскажем вам о том, как пройти эту фазу с минимальными усилиями, показав вам области, на которых вам стоило бы сфокусироваться. Самую частую ошибку компании допускают при установке служб сертификатов Microsoft Certificate Services (и таким образом устанавливают PKI), и она заключается в том, что они игнорируют фазу планирования, в результате чего им приходится потратить гораздо больше ресурсов и денег, когда понимают, что упустили из виду некоторые важные проблемы, когда перешли к меню Add/Remove Windows Components на своем сервере с операционной системой Windows 2000 или Windows 2003 и поставили галочку напротив компонентов служб сертификатов Certificate Services.

Области, которые необходимо рассмотреть при планировании вашей будущей PKI, следующие:

  • Проверить, обновляется ли ваша политика безопасности (security policy) и готова ли она для PKI

  • Создать одну или несколько политик для сертификатов (certificate policies)

  • Создать предложение для сертификата

Давайте подробнее рассмотрим все эти области

Проверьте, обновляется ли ваша политика безопасности (security policy) и приготовьтесь к PKI

Брайен Комар (Brian Komar), который является автором превосходной книги "Microsoft Windows Server 2003 PKI and Certificate Security" (смотрите ссылку в конце статьи) и который написал несколько статей для Microsoft и давал лекции по различным субъектам Microsoft PKI, часто говорит, что: "PKI усиливает политики безопасности в вашей организации". Это утверждение, на мой взгляд, очень хорошо все выражает. Убедитесь, что в вашей компании существует политика безопасности (security policy), которая направлена на бизнес и стратегию IT. Затем необходимо подготовить эту стратегию для приложений и служб безопасности, которые будут зависеть от сертификатов (certificates). Т.к. политики безопасности необходимо согласовать с управляющими или даже с главами (в конце концов, эти люди отвечают за бизнес стратегию вашей компании), то у вас зажжется зеленый цвет, и вы можете приступить к вашей реализации PKI. Если вы достаточно несчастливы, и в вашей компании нет корпоративной политики безопасности (security policy), то вы можете прейти по следующей ссылке и посмотреть примеры различных политик безопасности, включая примеры политик безопасности, которые работают по стандарту ISO 17799 standard.

The SANS Security Policy Project
RFC 2196, "Site Security Handbook"
Open Directory Project – Security policy samples

Создание одной или нескольких политик для сертификатов (Certificate Policies)

Я согласен. Политике это не самая волнительная вещь в мире, но кроме всего прочего, они по-прежнему очень важны. И если вы хотите избежать всех проблем с вашей инфраструктурой PKI, то лучше правильно создать политику для сертификата Certificate Policy (CP). Политика для сертификата (certificate policy) описывает, как и кто выпускает и распределяет сертификаты для субъектов (т.е. субъектами могут быть пользователи, компьютеры, устройства и т.д.). Это может быть очень сложная задача, хотя и очень важная, но не волнуйтесь. Просто выполните шаги, представленные ниже, и вы будете на правильном пути к созданию политики сертификата для вашей PKI.

  1. Взгляните на RFC 3647, которую вы можете найти здесь

  2. Затем посмотрите, как должна выглядеть хорошая политика для сертификата (certificate policy), хотя эта политика, вероятно, будет более детальной, чем та, которая понадобится вам.
    The X.509 Certificate Policy for the United States Department of Defense (DoD)

Создание предложения для сертификата

Мы почти закончили с этапом планирования, но нам все еще нужно создать предложение Certificate Practice Statement (CPS). Это предложение CPS очень похоже на политику для сертификата Certificate Policy, за исключением того, что она фокусируется на безопасности полномочий сертификатов Certificate Authority (CA) во время операций и управления сертификатами, выпущенных CA. CPS обычно гораздо короче, чем политика безопасности Security Policy и содержит информацию относительно того, кто отвечает в случае, если сертификат не может адекватно защитить то, что он должен защищать. Примером может служить безопасное соединение SSL/TLS, если пользователь вводит номер своей кредитной карты. Другие области (как минимум), которые должны быть включены в CPS – это как обрабатывается проверка, обновление и аннулирование CA, ответственным за выпуск сертификатов. Вы можете рассматривать CPS, как соглашение между пользователем сертификата и компанией, которая отвечает за выпуск CA. И как вы уже могли догадаться, у нас есть несколько великолепных примеров для CPS, которая может показаться вам знакомой.

  1. Точно также, как в случае с политикой сертификатов Certificate Policy, вы можете посмотреть на информацию RFC 3647 для CPS, которую вы можете найти здесь

  2. И для вдохновения, посмотрите на VeriSign CDP здесь

В отличие от политики сертификатов Certificate Policy, CPS необходимо всегда делать общедоступной, чтобы пользователь сертификата всегда имел доступ к CPS. В каждом сертификате, выпущенном вашей CA должны быть ссылка, которая указывает место, где опубликовано CPS. Более подробно мы рассмотрим это в следующих двух статьях.

Заключительное слово

Мы предоставили вам краткий обзор некоторых самых важных проблем, на которые стоит обратить внимание в время фазы планирования построения Microsoft PKI, однако, очень важно, чтобы вы посмотрели на информацию, приведенную в этой статье с критической точки зрения, если вы хотите построить PKI в высоко безопасной среде. Помните, что эта серия статей служит лишь кратким руководством, чтобы помочь вам понять великолепие Microsoft PKI в очень короткий срок. Если вы хотите узнать все детали и тонкости планирования, дизайна и установки, то вы должны взглянуть на ссылки на ресурсы, приведенные ниже. В следующей статье мы более подробно рассмотрим различные настройки для дизайна и установки, основываясь на лучших рекомендациях.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Краткое руководство по Microsoft PKI -Часть 2: Проектирование



Версия для печати





Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.



  1   2   3

Похожие:

Руководство по Microsoft pki (Часть 1) iconРоссия, 117312 Москва, ул. Вавилова, д. 47А тел.: (495) 221-10-70
Во время обучения слушатели смогут на практике реализовать решения для защиты приложений и служб с поддержкой pki, например, Microsoft...
Руководство по Microsoft pki (Часть 1) iconРуководство по планированию сайтов и решений в Microsoft SharePoint Server 2010, часть 2
Автор: рабочая группа серверов и системы Microsoft Office ()
Руководство по Microsoft pki (Часть 1) iconРуководство по планированию сайтов и решений в Microsoft SharePoint Server 2010, часть 1
Автор: рабочая группа серверов и системы Microsoft Office ()
Руководство по Microsoft pki (Часть 1) iconДейт К. Дж. Руководство по реляционной субд db2
Кен Хендерсон, Профессиональное руководство по Microsoft sql server: структура и реализация
Руководство по Microsoft pki (Часть 1) iconКнига представляет собой практическое руководство по созданию серверов Web в глобальной сети Internet или в глобальных корпоративных сетях Intranet.
Отдельная глава посвящена установке и настройке серверов Microsoft Information Server и Microsoft Peer WebServices в среде операционной...
Руководство по Microsoft pki (Часть 1) iconЧто такое хранилище данных
В качестве примеров реализации мы будем использовать в основном olap-технологии фирмы Microsoft (главным образом Analysis Services...
Руководство по Microsoft pki (Часть 1) iconРуководство по продукту Краткая информация
Краткая информация. Данный документ содержит базовую информацию для знакомства с Microsoft Exchange Server 2010, включая описание...
Руководство по Microsoft pki (Часть 1) iconРоссийский государственный торгово-экономический университет (ргтэу)
Учебный курс предназначен для того, чтобы, изучив его, студенты всех специальностей научились работать с программами, входящими в...
Руководство по Microsoft pki (Часть 1) iconМетодические указания «искусство презентаций microsoft power point 2000/2003» форматирование содержания презентации
Разработано Т. В. Санкиной, сертифицированным специалистом Microsoft (Microsoft Office Specialist)
Руководство по Microsoft pki (Часть 1) iconМетодические указания «искусство презентаций microsoft power point 2000/2003» работа с компьютерным тренажером
Разработано Т. В. Санкиной, сертифицированным специалистом Microsoft (Microsoft Office Specialist)
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница