Что такое служба ролей центра сертификации?
В этой статье содержатся сведения о службе ролей центра сертификации для служб сертификатов Active Directory при развертывании в операционной системе Windows Server.
Центр сертификации (ЦС) отвечает за подтверждение личности пользователей, а также за подтверждение подлинности компьютеров и организаций. Центр сертификации выполняет аутентификацию объектов и подтверждает их подлинность выпуском сертификата с цифровой подписью. Центр сертификации также может управлять сертификатами, осуществлять их отзыв и продление.
Центр сертификации может быть следующим:
- Организация, которая обращается к удостоверению конечного пользователя.
- Сервер, используемый организацией для выдачи сертификатов и управления ими.
Установив службу роли центра сертификации для служб сертификатов Active Directory (AD CS), можно настроить сервер Windows Server в качестве ЦС.
Общие сведения о типах центров сертификации
Windows Server поддерживает четыре различных типа ЦС:
- Корпоративный корневой ЦС.
- Корпоративный подчиненный ЦС.
- Автономный корневой ЦС.
- Автономный подчиненный ЦС.
Корпоративные и автономные центры сертификации
ЦС предприятия интегрированы с доменными службами Active Directory (AD DS). Они публикуют сертификаты и списки отзыва сертификатов в AD DS. Корпоративный ЦС использует сведения, хранящиеся в AD DS, включая учетные записи пользователей и группы безопасности, для утверждения или запрета запросов на сертификаты. ЦС предприятия используют шаблоны сертификатов. При выдаче сертификата ЦС предприятия использует информацию из шаблона с целью создания сертификата с атрибутами, соответствующими этому типу сертификатов.
Чтобы обеспечить автоматическое утверждение сертификатов и автоматическую регистрацию сертификатов пользователей, используйте ЦС предприятия для выдачи сертификатов. Эти возможности доступны, только если инфраструктура ЦС интегрирована с Active Directory. Кроме того, только ЦС предприятия могут выдавать сертификаты, обеспечивающие вход по смарт-картам, так как для этого требуется автоматическое сопоставление сертификатов смарт-карт с учетными записями пользователей в Active Directory.
Автономные ЦС не требуют AD DS, и они не используют шаблоны сертификатов. Если используются изолированные ЦС, вся информация о типе запрошенного сертификата должна включаться в запрос на сертификат. По умолчанию, все запросы на сертификаты, отправленные в изолированные ЦС, помещаются в очередь ожидания, пока администратор ЦС не утвердит их. Вы можете настроить автономные центры сертификации для автоматического выдачи сертификатов при запросе, но это менее безопасно, и это не рекомендуется, так как запросы не проходят проверку подлинности.
Вы должны использовать автономные центры сертификации для выдачи сертификатов при использовании службы каталогов, отличной от Майкрософт, или при недоступности AD DS. В организации можно использовать как корпоративные, так и автономные центры сертификации.
Корневые и подчиненные центры сертификации
ЦС предприятия и изолированные ЦС можно настроить как корневые или подчиненные. Подчиненные ЦС, в свою очередь, можно настроить как промежуточные (также называемые ЦС политик) или выдающие.
Корневой ЦС — это ЦС, который находится в верхней части иерархии сертификации, где все цепочки сертификатов завершаются. Если сертификат корневого ЦС присутствует на клиенте, корневой ЦС является доверенным безоговорочно. Вне зависимости от того, используются ли ЦС предприятия или изолированные ЦС, необходимо назначить корневой ЦС.
Так как корневой ЦС является лучшим ЦС в иерархии сертификации, поле "Тема" сертификата имеет то же значение, что и поле издателя. Аналогичным образом, так как цепочка сертификатов завершается при достижении самозаверяющего ЦС, все самозаверяющие ЦС являются корневыми. Решение о назначении ЦС доверенным корневым ЦС может приниматься на уровне всего предприятия или локально отдельными ИТ-администраторами.
Корневой ЦС служит основной, на которой строится модель отношений доверия центров сертификации. Он гарантирует, что открытый ключ субъекта соответствует информации в поле субъекта сертификатов, выдаваемых им. Различные ЦС также могут проверять эту связь с помощью различных стандартов; Поэтому важно понимать политики и процедуры корневого центра сертификации, прежде чем доверять этому центру, чтобы проверить открытые ключи.
Корневой ЦС — это самый важный ЦС в вашей иерархии. Если его безопасность нарушена, то безопасность всех ЦС в иерархии и всех выданных ими сертификатов также считается нарушенной. Чтобы максимально повысить безопасность корневого ЦС, его можно не подключать к сети и использовать подчиненные ЦС для выдачи сертификатов другим подчиненным ЦС или конечным пользователям. Отключенный корневой ЦС также называется автономным корневым ЦС.
ЦС, которые не являются корневыми ЦС, считаются подчиненными. Первый подчиненный ЦС в иерархии получает сертификат из корневого ЦС. Первый подчиненный ЦС может использовать этот ключ для выдачи сертификатов, подтверждающих целостность другого подчиненного ЦС. Такие подчиненные ЦС высокого уровня называются промежуточными ЦС. Промежуточный ЦС является подчиненным по отношению к корневому, но выступает в качестве центра сертификации более высокого уровня для одного подчиненного ЦС или нескольких.
Промежуточный ЦС часто называется ЦС политики, так как обычно используется для разделения классов сертификатов, различающихся по политикам. Например, разделение на основе политик может осуществляться в соответствии с такими характеристиками, как уровень достоверности, предоставляемый ЦС, или географическое местонахождение ЦС. ЦС на основе политик может быть подключен к сети или отключен от нее.
Закрытые ключи центра сертификации
Закрытый ключ — это часть удостоверения ЦС, которую необходимо защищать от несанкционированного доступа. Многие организации защищают закрытые ключи ЦС с помощью аппаратного модуля безопасности (HSM). Если HSM не используется, закрытый ключ хранится на компьютере ЦС.
ЦС, не подключенные к сети, должны находиться в безопасных расположениях. Выдающие ЦС используют закрытые ключи при выдаче сертификатов, поэтому эти ключи должны быть доступны, когда ЦС работает. В любом случае ЦС и его закрытые ключи должны быть физически защищены.
Аппаратные модули безопасности
Использование аппаратного модуля безопасности (HSM) может повысить безопасность ЦС и инфраструктуры закрытых ключей (PKI).
Модуль HSM — это специальное устройство, управление которым осуществляется независимо от операционной системы. HSM предоставляют безопасное аппаратное хранилище ключей ЦС, а также выделенный криптографический процессор для ускорения операций подписывания и шифрования. Операционная система использует модуль HSM посредством интерфейсов CryptoAPI. При этом модуль HSM выступает в роли устройства-поставщика служб шифрования (CSP).
HSM обычно являются адаптерами PCI, но они также доступны как сетевые (модуль), последовательные устройства и USB-устройства. Если организация планирует развернуть два ЦС или более, вы можете установить один сетевой модуль HSM, который будет использоваться несколькими ЦС.
Перед настройкой всех ЦС с ключами, которые должны храниться на HSM, необходимо установить и настроить устройства HSM.