Návrh a implementace služby AD CS

Dokončeno

Je důležité zajistit optimální návrh interní certifikační autority. Váš návrh bude mít významný dopad na zabezpečení a provozní aspekty vašeho prostředí infrastruktury veřejných klíčů.

Návrh hierarchie založené na AD CS

Před implementací služby AD CS byste nejprve měli navrhnout hierarchii certifikační autority. V rámci návrhu byste měli rozhodnout, kolik úrovní certifikační autority potřebujete a jaký bude účel certifikační autority v každé vrstvě. Nedoporučujeme vytvářet hierarchii certifikační autority hlouběji než tři úrovně, pokud není v komplexním, vysoce zabezpečeném nebo distribuovaném prostředí. Hierarchie certifikační autority mají nejčastěji dvě úrovně, přičemž kořenová certifikační autorita je na nejvyšší úrovni a podřízená, která vydává certifikační autoritu na druhé úrovni. Obvykle používáte kořenovou certifikační autoritu k sestavení hierarchie certifikační autority. V takovém případě zůstane kořenová certifikační autorita offline, zatímco při vydávání a správě certifikátů spoléháte na podřízenou certifikační autoritu.

Poznámka:

Hierarchie víceúrovňové certifikační autority není povinná. V případě menších a méně složitých prostředí můžete implementovat pouze kořenovou certifikační autoritu. V takovém případě kořenová certifikační autorita také poskytuje funkce vystavování a správy certifikátů.

Mezi složitější návrhy certifikačních autorit patří:

• Hierarchie certifikačních autorit s certifikační autoritou zásad Certifikační autority zásad jsou podřízené certifikační autority, které se nacházejí přímo pod kořenovou certifikační autoritou a nad jinými podřízenými certifikačními autoritami v hierarchii certifikační autority. Certifikační autority zásad slouží k vydávání certifikátů certifikační autority podřízeným certifikačním autoritám. Certifikáty certifikační autority odrážejí zásady a postupy, které organizace implementuje k zabezpečení infrastruktury veřejných klíčů, procesů, které ověřují identitu držitelů certifikátů, a procesy, které vynucují postupy, které spravují certifikáty. Certifikační autorita zásad vydává certifikát jenom jiným certifikačním autoritám. Certifikační autority, které tyto certifikáty obdrží, musí dodržovat a vynucovat zásady definované certifikační autoritou zásad. Používání certifikačních autorit zásad není povinné, pokud jiné oddíly, sektory nebo umístění vaší organizace nevyžadují různé zásady a postupy vystavování. Organizace může například implementovat jednu certifikační autoritu zásad pro všechny certifikáty, které interně vydává zaměstnancům a jiné certifikační autoritě zásad pro všechny certifikáty, které vydává dodavatelům.
• Hierarchie certifikačních autorit s vztahem důvěryhodnosti křížové certifikace V tomto scénáři jsou dvě nezávislé hierarchie certifikačních autorit interoperabilní, když certifikační autorita v jedné hierarchii vydá křížově certifikovaný certifikát certifikační autority certifikační autoritě do certifikační autority v jiné hierarchii. Když to uděláte, vytvoříte vzájemnou důvěru mezi různými hierarchiemi certifikační autority.

Samostatné a podnikové certifikační autority

Při používání služby AD CS můžete nasadit dva typy certifikačních autorit: samostatné a podnikové. Tyto typy certifikačních autorit nejsou o hierarchii, ale o funkcích a integraci se službou AD DS. Samostatná certifikační autorita nezávisí na službě AD DS. Podniková certifikační autorita vyžaduje, aby služba AD DS poskytovala další funkce, jako je automatické registrace. Automatické zápisy umožňují uživatelům domény a zařízením připojeným k doméně automaticky registrovat certifikáty po povolení automatické registrace certifikátů prostřednictvím zásad skupiny.

Následující tabulka obsahuje podrobnosti o nejvýznamnějších rozdílech mezi samostatnými a podnikovými certifikačními autoritami.

Charakteristický

Samostatná certifikační autorita

Podniková certifikační autorita

Typické použití

Pro offline certifikační autority obvykle používáte samostatnou certifikační autoritu.

Certifikační autoritu organizace obvykle používáte k vydávání certifikátů uživatelům, počítačům a službám. Nemůžete ho použít jako offline certifikační autoritu.

Závislosti služby AD DS

Samostatná certifikační autorita nezávisí na službě AD DS.

Podniková certifikační autorita spoléhá na službu AD DS jako svou konfiguraci a registrační databázi. Podniková certifikační autorita také používá službu AD DS k publikování certifikátů a jejich metadat.

Metody žádosti o certifikát

Uživatelé mohou požadovat certifikáty ze samostatné certifikační autority pouze pomocí ruční procedury nebo webové registrace.

Uživatelé můžou požádat o certifikáty od certifikační autority organizace pomocí ruční registrace, webové registrace, automatického zápisu, registrace jménem a webových služeb.

Metody vystavování certifikátů

Správce certifikační autority musí všechny žádosti schválit ručně.

Certifikační autorita může vydávat certifikáty nebo zamítat vystavování certifikátů automaticky na základě vlastní konfigurace definované správcem certifikační autority.

Podniková kořenová certifikační autorita je nejběžnější volbou při nasazování jedné certifikační autority v prostředí služby AD DS. Pokud nasadíte dvouvrstvou hierarchii s podřízenou certifikační autoritou v prostředí služby AD DS, měli byste zvážit použití samostatné kořenové certifikační autority jako kořenové certifikační autority. To vám umožní převést ho do offline režimu, aniž by to mělo vliv na proces správy certifikátů pro uživatele domény a zařízení připojená k doméně.

Dalším aspektem je typ instalace operačního systému. Desktopové prostředí i scénáře instalace jádra serveru podporují službu AD CS. Jádro serveru minimalizuje potenciální škodlivé hackery a režii na údržbu operačního systému, což z něj dělá optimální volbu pro SLUŽBU AD CS v podnikovém prostředí.

Kromě toho byste měli mít na paměti, že po nasazení certifikační autority libovolného typu na tento počítač nemůžete měnit názvy počítačů, název domény ani členství v doméně počítače. Proto je důležité nakonfigurovat tato nastavení před nasazením.

Existují také některé aspekty specifické pro nasazení offline samostatné kořenové certifikační autority:

• Než vydáte podřízený certifikát od kořenové certifikační autority, ujistěte se, že jste zadali aspoň jeden distribuční bod seznamu odvolaných certifikátů (CDP) a umístění AIA, které bude dostupné pro všechny klienty. Důvodem je to, že ve výchozím nastavení má samostatná kořenová certifikační autorita na sobě umístěné cdP a AIA. Proto když odinstalujete kořenovou certifikační autoritu z sítě, kontrola odvolání selže, protože umístění CDP a AIA budou nepřístupná. Při definování těchto umístění byste měli do tohoto umístění ručně zkopírovat informace seznamu CRL a AIA.
• Nastavte dobu platnosti pro seznamy CRL, které kořenová certifikační autorita publikuje na dlouhou dobu, například na jeden rok. To znamená, že budete muset kořenovou certifikační autoritu jednou za rok zapnout, abyste mohli publikovat nový seznam CRL, a pak ho budete muset zkopírovat do umístění, které je klientům k dispozici. Pokud to neuděláte, po vypršení platnosti seznamu CRL kořenové certifikační autority se také nezdaří kontroly odvolání všech certifikátů.
• Pomocí zásad skupiny publikujte kořenový certifikát certifikační autority do důvěryhodného úložiště kořenové certifikační autority na všech serverech a klientských počítačích. Musíte to udělat ručně, protože samostatná certifikační autorita to nemůže udělat automaticky, na rozdíl od podnikové certifikační autority. Kořenový certifikát certifikační autority můžete také publikovat do služby AD DS pomocí nástroje příkazového řádku certutil.

Ukázka

Následující video ukazuje, jak:

• Nakonfigurujte požadavky pro kořenovou certifikační autoritu organizace.
• Nasaďte kořenovou certifikační autoritu organizace.

Hlavními kroky v procesu jsou:

1. Vytvořte prostředí SLUŽBY AD DS. Vytvořte doménovou strukturu SLUŽBY AD DS s jednou doménou.
2. Nakonfigurujte požadavky pro kořenovou certifikační autoritu organizace. Nainstalujte požadovanou roli serveru a služby role serveru.
3. Nasaďte kořenovou certifikační autoritu organizace. Nakonfigurujte nastavení kořenové certifikační autority organizace.

---

Kontrola znalostí

1.

Které z následujících tvrzení týkajících se instalace kořenové certifikační autority služby AD CS enterprise je správné?

Můžete upravit hashovací algoritmus kryptografie certifikační autority.

Před spuštěním instalace musíte vytvořit privátní klíč.

Při instalaci podnikové certifikační autority musíte do instalace zahrnout webovou službu zápisu certifikátů.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.