Что нового в службах сертификации Windows Server 2003?

Одной из самых замечательных функций, представленных в Windows 2000, была возможность легко настроить и поддерживать внутреннюю инфраструктуру открытых ключей (PKI) с помощью программного обеспечения служб сертификации, встроенного в серверные продукты Windows 2000. Многие компании воспользовались возможностью создать собственную структуру для выдачи цифровых сертификатов и управления ими вместо использования иногда дорогостоящих публичных центров сертификации или в качестве дополнения к ним.

Теперь, с выпуском Windows Server 2003, Microsoft предоставила ряд расширений и улучшений для этой популярной функции. В этой статье мы рассмотрим новые функции служб сертификации, включенные в выпуски Standard, Enterprise и Datacenter Server 2003 (веб-версия не включает службы сертификации, поскольку предназначена для работы только в качестве веб-сервера).

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/windows/win2003/pkiwire/SWLAN.asp

Службы сертификации и администрирование на основе ролей

Новая функция администрирования на основе ролей, включенная в Windows Server 2003, может использоваться для разделения ролей администраторов, ответственных за управление и обслуживание Центра сертификации (ЦС). Это обеспечивает дополнительную безопасность и позволяет вам использовать диспетчер авторизации (обсуждается в моей статье, состоящей из двух частей, под названием «Диспетчер авторизации и администрирование на основе ролей в Windows Server 2003» на этом сайте).

В Windows 2000 все администраторы ЦС могли выполнять все задачи, связанные с управлением ЦС, но администрирование на основе ролей обеспечивает более детальный контроль.

Вы можете назначать роли администраторам ЦС на основе конкретных задач, которые они выполняют, и связывать определенные параметры безопасности с каждой ролью. Например, вы можете дать некоторым администраторам возможность выпускать сертификаты и управлять ими, назначив разрешения, необходимые для этой задачи, одной роли, а другим администраторам разрешить управлять разрешениями ЦС, назначив разрешения, необходимые для этой задачи, другой роли. Другие администраторы в третьей роли могут управлять журналом аудита и безопасности. Такое разделение полномочий затрудняет нарушение безопасности одним человеком. Если вы включите функцию разделения ролей, которая доступна в редакциях Enterprise и Datacenter (это делается путем редактирования реестра) , каждому пользователю может быть назначена только одна роль ЦС. По умолчанию пользователям может быть назначено несколько ролей.

Администрирование на основе ролей работает как с автономными, так и с корпоративными центрами сертификации. По умолчанию в автономном ЦС учетной записи локального администратора назначается роль администратора ЦС. В ЦС предприятия администраторы домена и администраторы предприятия также являются администраторами ЦС. Три роли ЦС, назначенные Microsoft:

• Администратор ЦС: может настраивать и поддерживать ЦС, обновлять сертификаты ЦС и назначать все остальные роли ЦС. Эта роль имеет самый высокий уровень полномочий в ЦС.
• Диспетчер сертификатов: может утверждать запросы на регистрацию и отзыв сертификатов, выдавать сертификаты и управлять ими.
• Оператор резервного копирования: на самом деле это роль операционной системы, но она имеет отношение к администрированию ЦС, поскольку эта роль может создавать резервные копии и восстанавливать ЦС.
• Аудитор: это еще одна роль операционной системы, которая может настраивать, просматривать и вести журнал безопасности.

Вы можете использовать оснастку Certification Authority MMC для назначения ролей CA Administrator и Certificate Manager.

Автоматическая регистрация для пользователей

Службы сертификатов Windows 2000 поддерживали автоматическую регистрацию для компьютерных сертификатов и сертификатов EFS, но не для пользовательских сертификатов. Автоматическая регистрация позволяет автоматически выдавать сертификаты для целей, указанных администратором. В Windows Server 2003 это удобство было распространено на пользовательские сертификаты.

У администратора больше контроля, чем при регистрации вручную, а процесс проще и прозрачнее для пользователя. Параметры автоматической подачи задаются в шаблоне сертификата для типа сертификата, который будет выдан посредством автоматической подачи. От пользователя не требуется никакого взаимодействия или даже осведомленности о процессе (это называется «тихая» автоматическая регистрация). Вы также можете настроить шаблон сертификата так, чтобы он предлагал пользователю в процессе регистрации (например, ввести PIN-код для сертификатов смарт-карт).

Разрешение на автоматическую регистрацию, а также разрешения на чтение и регистрацию должны быть назначены субъектам, прежде чем они смогут использовать эту функцию для автоматической регистрации. Администраторы добавляют пользователей или группы, которым они хотят предоставить эти разрешения, при настройке вкладки «Безопасность» на странице « Свойства » шаблона сертификата.

Дельта CRL

Список отозванных сертификатов (CRL) является важной частью служб сертификации. Это список всех отозванных сертификатов, который часто публикуется ЦС, чтобы все объекты PKI, которые зависят от действительности сертификатов, выпущенных этим ЦС, имели актуальную информацию о сертификатах, которые не более действителен. Этот список реплицируется по всей PKI.

В большой PKI список отзыва сертификатов может быть довольно большим файлом, и частая публикация его новой версии может использовать большую пропускную способность сети в процессе репликации и создавать нагрузку на клиентов, которые должны ее загружать. В Windows Server 2003 появилась концепция «дельта» CRL. В математике дельта относится к изменению переменной. Дельта-CRL содержит только те изменения статуса отзыва, которые были сделаны с момента последней публикации, вместо повторной публикации всего CRL (с внесенными изменениями). Это особенно сокращает время обработки для приложений, которые используют формат, отличный от структуры CRL, для хранения информации об отзыве. Разностные CRL реализованы в Windows Server 2003 в соответствии со стандартом Интернета, указанным в RFC 2459, сертификате инфраструктуры открытых ключей Internet X.509 и профиле CRL (см. http://www.cis.ohio-state.edu/cgi-bin/). rfc/rfc2459.html#sec-5.2.4).

Когда клиент загружает разностный CRL, он объединяется с самым последним «базовым» (полным) CRL, который обычно кэшируется локально на клиентском компьютере.

ПРИМЕЧАНИЕ . Клиентское приложение должно знать и иметь возможность использовать Delta CRL; в противном случае клиент будет продолжать загружать базовый CRL каждый раз при обновлении, даже если вы публикуете разностные CRL. Если у вас есть клиенты, которые не могут использовать разностные CRL, вам нужно настроить ЦС так, чтобы он также публиковал полный CRL одновременно с публикацией разностного CRL. Разностные CRL поддерживаются всеми приложениями, использующими CryptoAPI в Windows XP и Server 2003.

Квалифицированное подчинение

Подчинение ЦС позволяет создать иерархию ЦС с корневым ЦС, выдающим сертификаты подчиненным, и подчиненными, выдающими сертификаты пользователям, компьютерам и службам (у вас также могут быть промежуточные уровни подчинения). Windows Server 2003 расширяет эту возможность с помощью новой функции, называемой квалифицированным подчинением, которая позволяет вам определять определенные пространства имен, для которых подчиненный ЦС может выдавать сертификаты, определять конкретные допустимые варианты использования сертификатов, выдаваемых подчиненным ЦС, и создавать доверительные отношения между различными иерархиями ЦС..

Это дает вам гораздо больший контроль над тем, что может и что не может делать каждый подчиненный ЦС. Ограничивая пространство имен, вы можете контролировать, какие пользователи и компьютеры могут получать сертификаты от каких ЦС. Кроме того, вы можете использовать различающиеся имена Active Directory (DN), доменные имена DNS, имена электронной почты, имена участников-пользователей (UPN) или IP-адреса для определения конкретных пользователей и компьютеров, которые могут получать сертификаты от ЦС. Вы можете либо указать, что определенные имена будут включены, либо указать, что определенные имена будут исключены. Например, вы можете захотеть, чтобы конкретный подчиненный ЦС выдавал сертификаты только пользователям в определенном домене. Вы можете настроить как списки включения, так и списки исключений, но если одно и то же имя указано в обоих списках, исключение имеет приоритет.

Ограничения, отличные от ограничений, основанных на именах, применяются посредством политик приложений и выдачи.

Как корпоративные, так и автономные ЦС могут быть признаны подчиненными ЦС. Квалифицированные подчиненные предприятия могут идентифицировать пользователей по атрибутам пользователя Active Directory, тогда как автономные квалифицированные подчиненные будут использовать информацию, предоставленную пользователем на веб-странице запроса сертификата, чтобы определить, можно ли выдать сертификат.

Резюме

Новые функции служб сертификатов, обсуждаемые в этой статье, включают в себя наиболее полезные и впечатляющие улучшения в Windows Server 2003. Среди других улучшений:

• Новая команда -dspublish для утилиты certutil.exe, позволяющая опубликовать сертификат CA или CRL в Active Directory из командной строки.
• Архивирование и восстановление ключей, что упрощает восстановление ключей, связанных с выданными сертификатами, в случае их утери.
• Аудит событий для событий ЦС (только для ЦС Enterprise и Datacenter Edition).
• Возможность редактирования шаблонов сертификатов.

В совокупности все эти усовершенствования служб сертификатов составляют еще одну причину для перехода на Windows Server 2003.