Краткое руководство Microsoft PKI. Часть 1. Планирование
- Краткое руководство Microsoft PKI. Часть 2. Проектирование
В этой серии из четырех частей мы дадим вам краткий обзор того, как спроектировать, установить и устранить неполадки PKI (инфраструктуры открытых ключей) на основе служб сертификации Microsoft в Windows Server 2003. Мы покажем вам некоторые распространенные ловушки и лучшие практики создания и эксплуатации PKI на базе Microsoft, где мы с самого начала сосредоточимся на основах построения правильной и гибкой PKI.
Зачем вам нужна PKI
Несколько лет назад все говорили о 2000 году как о годе PKI. Многие считали, что основной рынок наконец-то готов воспользоваться всеми преимуществами PKI. Однако, как вы, наверное, догадались, сертификаты и PKI так и не получили широкого распространения. Это просто не было достаточно привлекательным для руководства, чтобы его переварить, а технический персонал (который в то время был единственным, кто мог видеть ценность PKI) был не очень хорош в том, чтобы представить бизнес-обоснование руководству. Однако с течением времени PKI снова стала одной из самых горячих тем как в крупных, так и в средних компаниях, хотя на этот раз среди ИТ-администраторов и лиц, принимающих бизнес-решения, существует гораздо менее амбициозный и более реалистичный подход к использованию сертификатов и PKI. Сдвиг в ландшафте безопасности, когда безопасность и усовершенствования в Интернете и технологиях мобильной связи стали бизнес-фактором для многих компаний, означает, что сертификаты и PKI сейчас более готовы для основного делового рынка, чем когда-либо.
Так что же такого особенного в PKI, спросите вы, и почему вас это должно волновать? Ну, в основном все сводится к управлению сертификатами. Видите ли, сертификаты повсюду, куда бы вы ни посмотрели сегодня, и часто они используются, даже не беспокоясь об их существовании. Вот некоторые из наиболее распространенных сценариев использования сертификатов (в произвольном порядке):
- Шифрование дисков и файлов (сертификаты используются для защиты симметричного криптоключа)
- Многофакторная аутентификация, например смарт-карты
- IPSec
- Цифровая подпись
- RADIUS и аутентификация 802.1x
- Беспроводные сети
- NAP (контроль доступа к сети) и NAQ (карантин доступа к сети) для соответствия
- Подписание кода и драйверов
- SSL/TLS для защиты HTTP-трафика
Как видите, сертификаты используются во многих местах, и их основная цель — повысить безопасность вашей ИТ-инфраструктуры/решений. Но если вы также посмотрите на наш список выше, то вы, вероятно, можете себе представить, что это также означает, что вам, возможно, придется администрировать множество сертификатов, в зависимости от того, какие функции вы хотите использовать в своей инфраструктуре и как вы решите их реализовать.. Здесь может помочь PKI. PKI — это просто способ централизованного управления выпуском, обновлением и отзывом сертификатов и создание собственного пути доверия. Сертификаты и PKI, которые мы рассмотрим в этой серии статей, основаны на X.509 v3, а это означает, что мы можем делать довольно интересные вещи с использованием сертификатов, которые мы подробнее рассмотрим во второй части этой серии статей..
Важный:
Прежде чем мы двинемся дальше, я хотел бы сделать заявление об отказе от ответственности в отношении того, что мы рассмотрим в этой серии статей. Цель этой серии статей состоит в том, чтобы дать вам краткий обзор наиболее важных областей, чтобы вы с минимальными усилиями могли в кратчайшие сроки запустить и запустить основу PKI, которая является одновременно масштабируемой и управляемой. Однако создание PKI может быть большим проектом, и если вы очень заботитесь о безопасности ИТ-администратора и для вас важны такие вещи, как делегирование ролей и соответствие FIPS-140, то вы можете более внимательно изучить ссылки, которые у нас есть. предоставлены в конце этой статьи. Имея это в виду, давайте перейдем прямо к делу и приступим к этапу планирования.
Планирование PKI
Хорошо, я признаю, что, представляя этап планирования в нашей первой статье, мы не сразу переходим к техническим аспектам, на что вы, возможно, надеялись. Тем не менее, часть планирования очень важна, и мы покажем вам, как выполнить планирование с наименьшими усилиями, показав, на каких областях вам следует сосредоточиться. Самая распространенная ошибка, которую совершают компании при установке Microsoft Certificate Services (и, таким образом, при создании PKI), заключается в том, что они игнорируют часть планирования и, таким образом, тратят гораздо больше как с точки зрения ресурсов, так и денег, когда понимают, что, возможно, упустили из виду некоторые важные проблемы, когда они вошли в меню «Добавить/удалить компоненты Windows» на своем сервере под управлением Windows 2000 или Windows 2003 и поставили галочку напротив компонентов служб сертификации.
Области, которые вы должны учитывать при планировании вашей будущей PKI:
- Проверьте, обновлена ли ваша политика безопасности и готова ли она для PKI.
- Создайте одну или несколько политик сертификатов
- Создайте заявление о практике сертификата
Давайте подробнее рассмотрим каждую из вышеперечисленных областей.
Проверьте, обновлена ли ваша политика безопасности и готова ли она для PKI.
Брайан Комар, автор превосходной книги «Microsoft Windows Server 2003 PKI и безопасность сертификатов» (см. ссылку в конце этой статьи), а также автор нескольких технических документов Microsoft и провел сеансы по различным темам Microsoft PKI, часто заявляет, что « PKI обеспечивает соблюдение политик безопасности вашей организации», что, на мой взгляд, говорит само за себя. Убедитесь, что в вашей компании есть политика безопасности, соответствующая бизнес-стратегии вашей компании и ИТ-стратегии. Затем согласуйте эту стратегию с приложениями и службами безопасности, которые будут зависеть от сертификатов. Поскольку политика безопасности должна быть одобрена руководством или даже членами правления (в конце концов, эти люди несут ответственность за бизнес-стратегию вашей компании), у вас, по сути, будет зеленый свет, чтобы приступить к реализации PKI. Если вам не повезло, и ваша компания не имеет корпоративной политики безопасности, рассмотрите возможность просмотра следующих URL-адресов для вдохновения и примеров различных политик безопасности, включая различные образцы корпоративной политики безопасности, основанные на стандарте ISO 17799.
Проект политики безопасности SANS
RFC 2196, «Руководство по безопасности сайта»
Проект Open Directory — образцы политик безопасности
Создайте одну или несколько политик сертификатов
Я признаю это. Политики — не самая захватывающая вещь в мире, но, тем не менее, они по-прежнему очень важны. И если вы хотите избежать всех юридических проблем, связанных с вашей PKI, вам лучше подумать о наличии политики сертификатов (CP). Политика сертификатов описывает, как и кто будет выдавать и распространять сертификаты субъекту (т. е. субъектам, являющимся пользователями, компьютерами, устройствами и т. д.). Это может быть сложной задачей, хотя это очень важно, но не волнуйтесь. Просто следуйте инструкциям ниже, и вы будете на пути к созданию политики сертификатов для вашей PKI.
- Просмотрите RFC 3647, который вы можете найти здесь.
- Затем взгляните на то, как должна выглядеть отличная политика сертификатов, хотя эта политика, вероятно, более подробная, чем то, что вам может понадобиться.
Политика сертификатов X.509 для Министерства обороны США (DoD)
Создайте Заявление о практике сертификации
Мы почти закончили с частью планирования, но нам все еще нужно создать Заявление о практике сертификации (CPS). CPS очень похож на политику сертификатов, за исключением того, что он фокусируется на безопасности центра сертификации (ЦС) во время операций и управлении сертификатами, выпущенными ЦС. CPS обычно намного короче политики безопасности и содержит информацию о том, кто несет ответственность в случае, если сертификат не может адекватно защитить то, что он должен защищать. Примером может быть безопасное соединение SSL/TLS, когда клиент вводит номер своей кредитной карты. Другими областями, которые (как минимум) должны быть включены в CPS, являются то, как проверка, обновление и аннулирование обрабатываются ЦС, ответственным за выдачу сертификатов. Вы можете рассматривать CPS как соглашение между пользователем сертификата и компанией, которая отвечает за выдавший его ЦС. И, как вы уже догадались, у нас также есть несколько отличных образцов для CPS, которые могут показаться вам знакомыми.
- Как и в случае с политикой сертификатов ранее, вы также можете просмотреть RFC 3647 для информации о CPS, которую вы можете найти здесь.
- И для вдохновения взгляните на CDP VeriSign здесь
В отличие от политики сертификатов, CPS всегда должен быть общедоступным, чтобы пользователь сертификатов всегда имел доступ к CPS. В каждом сертификате, который выдает ваш ЦС, должна быть ссылка, указывающая на место, где опубликован CPS. Мы подробно рассмотрим его в последних двух статьях.
Последнее слово
Мы дали вам краткий обзор некоторых из наиболее важных вопросов, которые следует принять во внимание на этапе планирования создания PKI на основе Microsoft, однако важно, чтобы вы рассмотрели информацию в этой статье с критической точки зрения, если вы хотите построить PKI в среде с высоким уровнем безопасности. Помните, что эта серия статей служит кратким руководством, которое поможет вам за очень короткое время настроить и запустить великолепную PKI на базе Microsoft. Если вам нужны все крутые и кровавые детали с точки зрения планирования, дизайна и установки, вам следует внимательно изучить все превосходные ресурсы ниже. В следующей статье мы более подробно рассмотрим различные варианты проектирования и установки, основанные на передовом опыте.
Внешние ресурсы
Все отличные статьи Microsoft PKI собраны в одном месте, которое вы можете найти на веб-портале Microsoft PKI.
http://www.microsoft.com/pki
Хотите узнать, как Microsoft использует PKI, тогда ознакомьтесь с IT Showcase — Deploying PKI Inside Microsoft.
http://www.microsoft.com/technet/itsolutions/msit/security/deppkiin.mspx
И это отличная книга — Microsoft Windows Server 2003 PKI и безопасность сертификатов.
http://www.microsoft.com/mspress/books/6745.asp
- Краткое руководство Microsoft PKI. Часть 2. Проектирование