Развертывание PKI для удаленного доступа
Компания Contoso может использовать цифровые сертификаты для проверки и проверки подлинности удостоверения каждой стороны, участвующих в электронной транзакции. Цифровые сертификаты также помогают установить доверие между компьютерами и соответствующими приложениями, размещенными на серверах приложений. Удаленный доступ использует сертификаты для проверки удостоверения серверов и предоставления шифрования. Компания Contoso также может использовать сертификаты для проверки подлинности пользователей или компьютеров, входящих в систему для удаленного доступа.
Методы получения сертификатов
В большинстве случаев вы получаете сертификаты из центра сертификации (ЦС). Наиболее важным фактором для ЦС является доверие. Если сертификат выдан доверенным ЦС, этот сертификат является доверенным и может использоваться для проверки подлинности. Если ЦС не является доверенным, то сертификаты, выданные этим ЦС, не могут использоваться для проверки подлинности.
Чтобы получить сертификаты, можно:
- Создайте собственный частный ЦС с помощью Windows Server. Сертификаты, выданные частным ЦС, автоматически доверяются клиентами и серверами Windows, присоединенными к домену. Однако сертификаты, выданные внутренним ЦС, не являются автоматически доверенными ни на каких устройствах, не присоединенных к домену.
- Приобретение сертификатов из общедоступного ЦС. Сертификаты, выданные публичным ЦС, автоматически вызывают доверие почти у всех устройств, независимо от того, присоединены они к домену или нет. Windows не включает средства автоматического развертывания сертификатов из общедоступного ЦС для пользователей или компьютеров.
- Создайте самозаверяющие сертификаты в некоторых приложениях. По умолчанию эти сертификаты являются доверенными только сервером выдачи, а не другими компьютерами в организации.
- Создайте самозаверяющие сертификаты с помощью PowerShell. Вы можете использовать командлет
New-SelfSignedCertificate, чтобы создать новый самозаверяющийся сертификат.
Замечание
Вы используете самозаверяющие сертификаты в небольших и средних организациях, которые используют DirectAccess, настроенные с помощью мастера начальной настройки, что обеспечивает простое развертывание и настройку.
Рекомендации по планированию PKI
Чтобы определить, следует ли реализовать внутренний PKI для удаленного доступа, необходимо спланировать использование сертификатов. Если вы используете сертификаты только на нескольких серверах, стоимость использования общедоступного ЦС низка. Сертификаты из общедоступного ЦС также полезны, если ожидается, что устройства, которые не присоединены к домену, нуждаются в доступе к серверам.
Частный ЦС является полезным в первую очередь для удаленного доступа при выдаче сертификатов клиентским устройствам и отдельным пользователям для проверки подлинности. Например, обычно требуется действительный сертификат компьютера, чтобы разрешить VPN-доступ в качестве второго уровня проверки подлинности за пределами имени пользователя и пароля. Если вы выдаете сертификаты многим компьютерам, то автоматическая регистрация, предоставляемая частным ЦС, имеет важное значение. Существует также значительное сокращение затрат, так как вам не нужно платить за сертификаты, выданные частным ЦС.
В следующей таблице приведены преимущества и недостатки сертификатов, выданных частными и общедоступными центрами сертификации.
| Тип Удостоверяющего Центра | Преимущества | Недостатки |
|---|---|---|
| Частный ЦС | Частный ЦС обеспечивает более широкий контроль над управлением сертификатами и имеет более низкую стоимость по сравнению с общедоступным ЦС. Нет затрат на сертификат. Вы также можете использовать настраиваемые шаблоны и автоматическую регистрацию. | По умолчанию сертификаты частных ЦС не являются доверенными внешними клиентами (веб-браузерами и операционными системами) и требуют большего администрирования. |
| Общедоступный ЦС | Сертификат, выданный общедоступным ЦС, является доверенным многими внешними клиентами (веб-браузерами и операционными системами) и требует минимального администрирования. | Стоимость выше в сравнении с частным ЦС. Затраты рассчитываются за каждый сертификат. Закупка сертификатов также медленнее. |