Содержание
- 2. Общие сведения о сертификатах Сертификат (цифровой сертификат, сертификат открытого ключа) представляет собой цифровой документ, подтверждающий соответствие
- 3. Служба сертификации, интегрированная с Active Directory с распределенной службой безопасности
- 4. Создание сертификата Сертификаты изготавливаются центром сертификации, который может быть любой доверяемой службой или объектом, желающим проверить
- 5. Этапы процесса запроса и выпуска сертификата 1. Генерация пары ключей. Претендент генерирует пару из открытого и
- 6. Классы центров сертификации Службы сертификации предусматривают два варианта политик, разрешающих использование двух классов ЦС: корпоративного и
- 7. Корпоративный ЦС На предприятии корневые ЦС обладают самой высокой степенью доверия. В домене Windows 2000 может
- 8. Изолированный ЦС Организация, которая предполагает выпускать сертификаты для пользователей или компьютеров, расположенных за ее пределами, должна
- 9. Типы центров сертификации Корпоративный корневой ЦС Считается корнем иерархии ЦС в организации. Его устанавливают, если ЦС
- 10. Развертывание центра сертификации Ключевые этапы: • Установка домена Windows 2000; • Интеграция службы Active Directory; •
- 11. Защита центра сертификации • Физическая зашита. ЦС на предприятии являются объектами с высоким доверием, поэтому их
- 12. Регистрация сертификата Процесс получения цифрового сертификата называют его регистрацией. Инфраструктура открытых ключей (PKI) Windows 2000 поддерживает
- 13. Обновление сертификата Концепция обновления сертификатов похожа на регистрацию и использует преимущество доверительных отношений, которым отличаются существующие
- 14. Восстановление сертификата и ключа Пары открытых ключей и сертификаты имеют большое значение. При утрате в результате
- 15. Процедура выдачи сертификата После представления объекту сертификата как средства его (субъекта сертификата) идентификации объект должен выразить
- 17. Скачать презентацию
Общие сведения о сертификатах
Сертификат (цифровой сертификат, сертификат открытого ключа) представляет собой
Общие сведения о сертификатах
Сертификат (цифровой сертификат, сертификат открытого ключа) представляет собой
Сертификат может состоять из открытого ключа, подписанного доверенным объектом. Наиболее широко используемые структура и синтаксис цифровых сертификатов определены в документе ITU-T Recommendation X.509. На рис. 13-2 показан сертификат, используемый для проверки подлинности отправителя сообщения электронной почты.
- Сертификат X.509 содержит информацию, определяющую пользователя, организацию, выпустившую сертификат, серийный номер сертификата, срок его действия, ими и подпись запрашивающей стороны и имя субъекта (или польюватсля). В качестве субъекта могут выступать физическое лицо, школа, коммерческая или другая организация, в том числе ЦС.
Служба сертификации, интегрированная с Active Directory с распределенной службой безопасности
Служба сертификации, интегрированная с Active Directory с распределенной службой безопасности
Создание сертификата
Сертификаты изготавливаются центром сертификации, который может быть любой доверяемой службой
Создание сертификата
Сертификаты изготавливаются центром сертификации, который может быть любой доверяемой службой
Этапы процесса запроса и выпуска сертификата
1. Генерация пары ключей. Претендент генерирует
Этапы процесса запроса и выпуска сертификата
1. Генерация пары ключей. Претендент генерирует
2. Сбор требуемой информации. Претендент собирает всю информацию, необходимую ЦС для выдачи сертификата. Она может включать адрес электронной почты претендента, свидетельство о рождении, отпечатки пальцев или другие нотариально заверенные документы, подтверждающие подлинность претендента. ЦС со строгими идентификационными требованиями выпускают сертификаты с высокой степенью доверия. О самих ЦС говорят, что они имеют высокую, среднюю или низкую степень доверия.
3. Запрос сертификата. Претендент посылает в ЦС запрос на сертификат, состоящий из своего открытого ключа и необходимой дополнительной информации. Запрос на сертификат может быть зашифрован с использованием открытого ключа ЦС. Запросы разрешается посылать по электронной почте, посредством обычной почты или курьерской службы, например при необходимости нотариального заверения самого запроса.
4. Проверка информации. Чтобы удостовериться в том. что претендент получит сертификат, ЦС применяет любые необходимые правила политик. В соответствии с идентификационными требованиями политика и процедуры верификации ЦС влияют на степень доверия выпускаемых им сертификатов.
5. Создание сертификата. ЦС создает и подписывает цифровой документ, содержащий открытый ключ претендента и другую необходимую информацию. Подпись ЦС подтверждает привязку имени субъекта к его открытому ключу. Подписанный документ и является сертификатом.
6. Отправка или рассылка сертификата. ЦС отправляет претенденту сертификат или помещает его в каталог.
Классы центров сертификации
Службы сертификации предусматривают два варианта политик, разрешающих использование двух
Классы центров сертификации
Службы сертификации предусматривают два варианта политик, разрешающих использование двух
ЦС организованы иерархически: наиболее доверенный ЦС находится ближе к вершине. Windows 2000 PKI поддерживает иерархическую модель ЦС. В ней может быть множество не связанных между собой иерархий. Совместное использование всеми ЦС общего родителя верхнего уровня не требуется.
Корпоративный ЦС
На предприятии корневые ЦС обладают самой высокой степенью доверия. В
Корпоративный ЦС
На предприятии корневые ЦС обладают самой высокой степенью доверия. В
Организация устанавливает корпоративный ЦС для выдачи сертификатов своим пользователям или компьютерам. Нет необходимости устанавливать ЦС в каждом домене организации. Например, пользователи дочернего домена могут обратиться к ЦС в родительском домене. Модуль политики корпоративного ЦС предписывает порядок обработки и выпуска сертификатов. Необходимая этим модулям информация о политике хранится централизованно в Windows 2000 Active Directory.
Изолированный ЦС
Организация, которая предполагает выпускать сертификаты для пользователей или компьютеров, расположенных
Изолированный ЦС
Организация, которая предполагает выпускать сертификаты для пользователей или компьютеров, расположенных
Автономный ЦС имеет относительно простой заданный по умолчанию модуль политики и не хранит информацию удаленно. Поэтому изолированному ЦС не нужна служба Active Directory.
Типы центров сертификации
Корпоративный корневой ЦС
Считается корнем иерархии ЦС в организации. Его
Типы центров сертификации
Корпоративный корневой ЦС
Считается корнем иерархии ЦС в организации. Его
Корпоративный подчиненный ЦС
Выпускает сертификаты, действующие в пределах организации. Не является самым доверенным ЦС в организации и подчинен другому ЦС в иерархии.
Изолированный корневой ЦС
Является корнем доверительной иерархии ЦС. Для него требуются административные полномочия на локальном сервере. Организации необходимо установить изолированный корневой ЦС, если он будет выпускать сертификаты за пределы корпоративной сети организации, и необходимо, чтобы он был корневым.
Изолированный подчиненный ЦС
Функционирует как отдельный сертификационный сервер или .в составе доверительной иерархии ЦС. Устанавливается для выдачи сертификатов объектам за пределами организации.
Развертывание центра сертификации
Ключевые этапы:
• Установка домена Windows 2000;
• Интеграция службы Active
Развертывание центра сертификации
Ключевые этапы:
• Установка домена Windows 2000;
• Интеграция службы Active
• Выбор несущего сервера;
• Назначение имен;
• Генерация ключей;
• Сертификация ЦС;
• Политика выпуска.
После установки корневого ЦС разрешается установить промежуточный или подчиненный ЦС.
Защита центра сертификации
• Физическая зашита. ЦС на предприятии являются объектами с
Защита центра сертификации
• Физическая зашита. ЦС на предприятии являются объектами с
• Управление ключами. Закрытый ключ ЦС является основой для доверия в процессе сертификации. Его необходимо защищать от внешних вторжений. Криптографические аппаратные модули (доступ к службам сертификации при помощи CryptoAPI CSP) обеспечивают надежное хранение ключей и отделение выполнения криптографических операций от работы остального ПО сервера. Это существенно уменьшает вероятность компрометации ключа ЦС.
• Восстановление. Выход из строя ЦС (например, из-за отказа оборудования) создает ряд административных и оперативных проблем и предотвращает аннулирование существующих сертификатов. Службы сертификации поддерживают резервное копирование экземпляра IJC в целях его восстановления. Это важная часть всего процесса управления ЦС.
Регистрация сертификата
Процесс получения цифрового сертификата называют его регистрацией. Инфраструктура открытых ключей
Регистрация сертификата
Процесс получения цифрового сертификата называют его регистрацией. Инфраструктура открытых ключей
Обновление сертификата
Концепция обновления сертификатов похожа на регистрацию и использует преимущество доверительных
Обновление сертификата
Концепция обновления сертификатов похожа на регистрацию и использует преимущество доверительных
Обновление идет в основном на ЦС. Запрос на обновление обрабатывается более эффективно, потому что нет необходимости проверять уже существующий сертификат. В настоящий момент обновление поддерживается в Windows 2000 PKI для автоматически зарегистрироаанных сертификатов. В других системах обновление рассматривается как новый запрос на регистрацию.
Восстановление сертификата и ключа
Пары открытых ключей и сертификаты имеют большое значение.
Восстановление сертификата и ключа
Пары открытых ключей и сертификаты имеют большое значение.
При экспорте сертификата средствами диспетчера пользователь вправе также экспортировать и связанную с ним пару ключей. При этом информация экспортируется в зашифрованном (наосноне пароля пользователя) сообщении PKCS #12. Затем его можно импортировать в свою или другую систему или восстановить сертификат и ключи.
Пару ключей можно экспортировать средствами CSP, например, на базе Microsoft, если во время генерации набора ключей пометить флажок экспорта. CSP сторонних фирм могут поддерживать или не поддерживать экспорт закрытого ключа.
Для программных CSP с неэкспортируемыми ключами альтернативой служит полное резервное копирование образа системы, включая всю информацию реестра.
Процедура выдачи сертификата
После представления объекту сертификата как средства его (субъекта сертификата)
Процедура выдачи сертификата
После представления объекту сертификата как средства его (субъекта сертификата)
• Генерация ключа. Претендент, запрашивающий сертификат, генерирует пару из открытого и закрытого ключей. Исключением является создание персональных цифровых сертификатов, для которых ЦС сам генерирует открытый и закрытый ключи и рассылает их.конечным пользователям.
• Проверка соответствия политике. Претендент предоставляет дополнительные сведения, необходимые для выдачи сертификата (например, удостоверение личности, номер налогоплательщика, адрес электронной почты и т. п.). Требуемые для выдачи сертификата данные определяются ЦС.
• Рассылка открытых ключей и информации. Претендент высылает в адрес ЦС открытые ключи и необходимую информацию (часто зашифрованную открытым ключом ЦС).
• Проверка информации. Для проверки возможности приема претендентом сертификата ЦС применяет любые требуемые правила политики.
• Создание сертификата. ЦС создает цифровой документ со всей необходимой HHI формацией (открытые ключи, дата истечения срока действия и другие данные) и подписывает его своим закрытым ключом.
• Рассылка сертификата. ЦС посылает сертификат претенденту или публикует его в хранилище. Сертификат загружается в систему пользователя.