tajemnice certyfikatów cz.2 - przypisanie klienta do konkretnego CA
takie pytanie na rozgrzewke: jesli jest kilka issuing CA w domenie, skad klient wie do którego sie zglosic?
podobne, ale troche trudniejsze: jak zmusic klienta do skorzystania z konkretnego CA?
scenariusz: duza korporacja, która posiada wiele oddzialów na calym swiecie. projekt PKI zaklada, zeby uzytkownicy dostawali certyfikaty z autoenrollmentu. lokalizacje polaczone sa ze soba róznymi laczami. chcemy zaprojektowac strukture tak, aby uzytkownicy z danej lokalizacji geograficznej dostawali certy z CA 'gdzies w poblizu'. zdefiniowanie CA w Azji i powiedzenie ze 'to w poblizu' moze brzmiec troche smiesznie (; ale zalózmy ze podzial na kontynenty wystarczy.
najpierw wiec trzeba odpowiedziec na pytanie pierwsze - jak klient wybiera CA? po pierwsze w GPO definiuje sie wlasciwosci enrollmentu... w zasadzie to sie go po prostu wlacza. klient sprawdza w AD [zakladam scenariusz z pelna integracja z AD] szablony a nastepnie szuka CA, które dany szablon obsluguje. AFAIK - jest to losowy algorytm i jesli jeden serwer jest niedostepny, skorzysta z innego.
czas wiec na wiecej szczególów, które dadza odpowiedz na drugie pytanie. ukladanke trzeba zlozyc z kilku elementów:
- na kazdym CA publikuje sie szablony, które wydaje - np. jeden CA moze wydawac certyfikaty NAP a inny dla uzytkowników
- szablony maja zdefiniowane uprawnienia. m.in. jest tam uprawnienie 'autoenroll'
- uprawnienia przypisuje sie grupom w AD
finalnie wiec nalezy:
- zalozyc grupy dla regionów - np. 'ASIA', 'EU', 'S_AMERICA' itd.
- utworzyc szablony dla uzytkowników i komputerów dla kazdego regionu - np. 'ASIA Users', 'EU Users'... szablony moga byc niemal identyczne - poza nazwa i uprawnieniami
- nalezy dla szablonów zdefiniowac adekwatne uprawnienia 'autoenroll' dla grup regionalnych
- nalezy utworzyc issuing CA dla regionu i opublikowac na nim konkretny szablon.
jest tez drugi sposób, który jednak uwazam za 'brudny'. 'brudny' bo przypomina raczej workaround niz rozwiazanie i posilkuje sie mechanizmem z zupelnie innej warstwy - sieciowej a nie aplikacyjnej. no i ma swoje skutki uboczne, które moga miec trudne do przewidzenia konsekwencje:
- poniewaz klienci poszukuja pierwszego CA jaki odpowie, publikujacego dany szablon... wystarczy pomiedzy lokalizacjami blokowac ruch sieciowy do pozostalych CA.
eN.
autor: nExoR