Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся сведения о службе ролей центра сертификации для служб сертификатов Active Directory при развертывании в операционной системе Windows Server.
Центр сертификации (ЦС) отвечает за подтверждение личности пользователей, компьютеров и организаций. ЦС проверяет подлинность сущности и обращается к этой идентификации путем выдачи цифрового подписанного сертификата. ЦС также может управлять, отзывать и обновлять сертификаты.
Центр сертификации может быть следующим:
- Организация, которая подтверждает удостоверение личности конечного пользователя.
- Сервер, используемый организацией для выдачи сертификатов и управления ими.
Установив службу ролей центра сертификации служб сертификатов Active Directory (AD CS), сервер Windows можно настроить в качестве ЦС.
Общие сведения о типах центров сертификации
Windows Server поддерживает четыре различных типа ЦС:
- Корпоративный корневой Центр сертификации.
- Корпоративный подчиненный ЦС.
- Автономный корневой ЦС.
- Автономный вторичный центр сертификации.
Корпоративные и автономные центры сертификации
Корпоративные ЦС интегрированы с доменными службами Active Directory (AD DS). Они публикуют сертификаты и списки отзыва сертификатов (CRL) в AD DS. Корпоративный ЦС использует сведения, хранящиеся в AD DS, включая учетные записи пользователей и группы безопасности, для утверждения или запрета запросов на сертификаты. Корпоративные ЦС используют шаблоны сертификатов. При выпуске сертификата ЦС Enterprise использует сведения в шаблоне сертификата для создания сертификата с соответствующими атрибутами для этого типа сертификата.
Если вы хотите включить автоматическое утверждение сертификатов и автоматическую регистрацию сертификатов пользователей, используйте корпоративные центры сертификации для выдачи сертификатов. Эти функции доступны только в том случае, если инфраструктура ЦС интегрирована с Active Directory. Кроме того, только корпоративные ЦС могут выдавать сертификаты, которые позволяют войти в систему смарт-карт, так как этот процесс требует автоматического сопоставления сертификатов смарт-карт с учетными записями пользователей в Active Directory.
Автономные ЦС не требуют AD DS, и они не используют шаблоны сертификатов. При использовании автономных ЦС все сведения о запрошенном типе сертификата должны быть включены в запрос сертификата. По умолчанию все запросы на сертификаты, отправленные в автономные центры сертификации, хранятся в очереди ожидания, пока администратор ЦС не утвердит их. Вы можете настроить автономные центры сертификации для автоматического выдачи сертификатов при запросе, но это менее безопасно, и это не рекомендуется, так как запросы не проходят проверку подлинности.
Вы должны использовать автономные центры сертификации для выдачи сертификатов при использовании службы каталогов, отличной от Майкрософт, или при недоступности AD DS. В организации можно использовать как корпоративные, так и автономные центры сертификации.
Корневые и подчиненные центры сертификации
Корпоративные и автономные ЦС можно настроить как корневые ЦС или как подчиненные ЦС. Подчиненные ЦС могут быть дополнительно настроены как промежуточные ЦС (также называемые ЦС политики) или выдающие ЦС.
Корневой ЦС — это ЦС, который находится в верхней части иерархии сертификации, где все цепочки сертификатов завершаются. Если сертификат корневого ЦС присутствует на клиенте, корневой ЦС считается безусловно доверенным. Независимо от того, используется ли корпоративный или автономный ЦС, необходимо назначить корневой ЦС.
Так как корневой ЦС является лучшим ЦС в иерархии сертификации, поле "Тема" сертификата имеет то же значение, что и поле издателя. Аналогичным образом, поскольку цепочка сертификатов завершается, когда она достигает самозаверяющего ЦС, все самозаверяемые ЦС являются корневыми центрами сертификации. Решение о назначении ЦС в качестве доверенного корневого ЦС можно сделать на уровне предприятия или локально отдельным ИТ-администратором.
Корневой ЦС служит основополагающей основой для построения модели доверия вашей инфраструктуры центра сертификации. Он гарантирует, что открытый ключ субъекта соответствует информации о личности, показанной в поле субъекта в сертификатах, которые он выдает. Различные ЦС также могут проверять эту связь с помощью различных стандартов; Поэтому важно понимать политики и процедуры корневого центра сертификации, прежде чем доверять этому центру, чтобы проверить открытые ключи.
Корневой ЦС является самым важным ЦС в иерархии. Если корневой ЦС скомпрометирован, все центры сертификации в иерархии и все сертификаты, выданные им, считаются скомпрометированы. Вы можете максимально повысить безопасность корневого ЦС, сохранив его от сети и используя подчиненные ЦС для выдачи сертификатов другим подчиненным ЦС или конечным пользователям. Отключенный корневой ЦС также называется автономным корневым ЦС.
ЦС, которые не являются корневыми ЦС, считаются подчиненными. Первый подчиненный ЦС в иерархии получает свой сертификат ЦС от корневого ЦС. Первый подчиненный ЦС может использовать этот ключ для выдачи сертификатов, которые проверяют целостность другого подчиненного ЦС. Эти выше подчиненные ЦС именуются также промежуточными ЦС. Промежуточный ЦС подчинен корневому ЦС, но он служит более высоким центром сертификации для одного или нескольких подчиненных ЦС.
Промежуточный ЦС часто называют ЦС по политике, так как он обычно используется для разделения классов сертификатов, разделяемых политиками. Например, разделение политик включает уровень гарантии, который предоставляет ЦС, или географическое расположение ЦС, чтобы различать разные популяции конечных пользователей. Удостоверяющий центр может находиться в сети или в автономном режиме.
Закрытые ключи центра сертификации
Закрытый ключ является частью идентичности УЦ, и он должен быть защищен от компрометации. Многие организации защищают закрытые ключи ЦС с помощью аппаратного модуля безопасности (HSM). Если HSM не используется, закрытый ключ хранится на компьютере центрального сертификационного центра.
Автономные ЦС должны храниться в безопасных расположениях и не должны быть подключены к сети. Выдающие ЦС используют свои закрытые ключи при выдаче сертификатов, поэтому закрытый ключ должен быть доступен (в сети) во время работы ЦС. Во всех случаях удостоверяющий центр и его закрытый ключ должны быть физически защищены.
Аппаратные модули безопасности
Использование аппаратного модуля безопасности (HSM) может повысить безопасность ЦС и инфраструктуры закрытых ключей (PKI).
HSM — это выделенное аппаратное устройство, управляемое отдельно от операционной системы. HSM предоставляют безопасное аппаратное хранилище ключей ЦС, а также выделенный криптографический процессор для ускорения операций подписывания и шифрования. Операционная система использует HSM через интерфейсы CryptoAPI, а HSM функционирует как устройство поставщика криптографических услуг (CSP).
HSM обычно являются адаптерами PCI, но они также доступны как сетевые устройства, последовательные устройства и USB-устройства. Если организация планирует реализовать два или более ЦС, можно установить единый сетевой модуль HSM и поделиться им между несколькими ЦС.
Перед тем как настроить любые ЦС с ключами, которые необходимо хранить в HSM, вы должны сначала установить и настроить модули HSM.