Инфраструктура открытых ключей в Windows Server 2016. Часть 1. Предварительный этап::Журнал СА 1-2.2018
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6141
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6852
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4134
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2975
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3780
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3788
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6280
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3133
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3432
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7245
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10615
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12334
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13966
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9098
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4592
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Инфраструктура открытых ключей в Windows Server 2016. Часть 1. Предварительный этап

Архив номеров / 2018 / Выпуск №1-2 (182-183) / Инфраструктура открытых ключей в Windows Server 2016. Часть 1. Предварительный этап

Рубрика: Администрирование /  ИТ-инфраструктура

Леонид Шапиро ЛЕОНИД ШАПИРО, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, shapiro_leonid@yahoo.com

Инфраструктура открытых ключей
в Windows Server 2016. Часть 1. Предварительный этап

Внедрение собственной инфраструктуры открытых ключей часто становится одной из задач, которую приходится решать ИТ-отделам предприятия

Причины этого вполне объяснимы: тут и вопросы безопасной аутентификации, защиты передаваемых и хранимых данных, потребность в использовании электронной цифровой подписи и другое. Далеко не всегда эти задачи могут быть решены средствами внешних поставщиков, несмотря на очевидную тенденцию развития облачных решений.

Как бы там ни было, задача внедрения и поддержания собственных инфраструктур осталась, а раз так, то стоит разобраться с особенностями ее внедрения. Впрочем, прежде чем говорить о внедрении, имеет смысл обсудить вопросы правильного использования и проектирования. Журнал не раз затрагивал эту тему в своих публикациях, поэтому мы можем просто сослаться на ранее опубликованную статью, которая поможет читателю ознакомиться с этой темой [1]. Великолепным источником является руководство Брайана Комара [3], которое поможет получить глубокие знания предмета.

Кроме того, разумно ознакомиться и с первоисточником, если мы говорим о внедрении решения на основе PKI Microsoft, так как разработчик предлагает полное руководство по проектированию [2].

Мы же продолжим эту тему рассказом о внедрении инфраструктуры открытых ключей для некоторой организации и предложим читателю некоторый бизнес-кейс из реальной практики, который поможет лучше понять процедуру внедрения и пройти все ее шаги.

Типовой сценарий

Пусть у нас есть организация, имеющая два основных центра обработки данных и несколько филиалов. Современные тенденции ведения бизнеса предполагают наличие не только стационарных пользователей, но и мобильных. Многие сотрудники компании применяют в своей работе не только обычные рабочие места, но и мобильные устройства. Предполагается необходимость взаимодействия с партнерами и заказчиками, с предоставлением им доступа к некоторым ресурсам компании. Служба каталога предприятия традиционно использует службу каталога на основе Microsoft Active Directory Domain Services. Структурная схема типового ЦОД предприятия может выглядеть так, как это показано на рис. 1. Конечно, говоря о центре обработки данных, мы делаем некоторое преувеличение, скорее здесь мы можем говорить о штаб-квартире и крупных филиалах. Поддержка собственного дата-центра в настоящем понимании этого термина оказывается под силу далеко не всем, но в некотором приближении будем считать, что говорим о ЦОД.

Рисунок 1. Структурная схема типового ЦОД предприятия

Рисунок 1. Структурная схема типового ЦОД предприятия

Внедрение корпоративной PKI обусловлено ростом потребности в обеспечении безопасности внутри предприятия. Подобное краткое описание нередко оказывается типовой историей для многих компаний. Так как же внедрить PKI для такой организации?

Как я уже упоминал выше, с проектированием решения можно познакомиться в статьях [1] и [2]. Обычно в подобной ситуации мы будем говорить о двухуровневой иерархии, состоящей из корневого отключенного от сети центра сертификации (Stand-Alone Root CA) и подчиненного издающего корпоративного центра сертификации. Не исключено, а скорее всего обязательно будет присутствовать потребность в использовании и публичных удостоверяющих центров, например, для обеспечения возможности работы внешних клиентов компании.

Разумеется, возможны и другие варианты, которые мы обсудим в этом цикле статей, но в качестве, скажем так, типового и наиболее часто встречающегося имеет смысл рассматривать именно этот. Более сложные иерархии с использованием дополнительных уровней иерархии с использованием промежуточных серверов политик Policy CA встречаются только для крупных компаний, где требования к политикам сертификатов могут варьироваться, что и приводит к усложнению структуры. Таким образом, типовая структурная схема может выглядеть так, как это показано на рис. 2.

Рисунок 2. Типовая структурная схема

Рисунок 2. Типовая структурная схема

Предварительный этап

Этап подготовки развертывания, с точки зрения практических аспектов, будет состоять из настройки точек распространения (Distribution Point), добавления дополнительной записи на сервере DNS и подготовки файлов capolicy.inf, определяющих начальную настройку и параметры работы серверов сертификатов. Наиболее часто используемыми точками распространения являются HTTP и LDAP. Первый вариант обусловлен его универсальностью для любого типа клиента, второй – удобством поиска и доступа для типового клиента Active Directory. Соответственно, администратор сталкивается с задачами:

  • настройки места хранения файлов сертификатов, списка отзыва и заявления поставщика, прав доступа на этот или эти ресурсы;
  • установки и настройки сервера веб для выполнения роли Distribution Point для PKI;
  • добавления специальной записи на корпоративном DNS-сервере, которая обеспечит поиск необходимых ресурсов;
  • обеспечения отказоустойчивости и доступности как самих издающих серверов сертификатов, так и точек распространения, причем, говоря о них, не следует забывать о необходимости своевременной синхронизации данных между веб-серверами, выполняющими эту роль. Например, публикация нового CRL-файла означает необходимость предоставления доступа к нему с помощью любого сервера веб-фермы, выполняющего роль Distribution Point, но к этому мы еще вернемся несколько позже.

Администратору необходимо создать каталог для хранения вышеуказанных файлов и предоставить к нему доступ требуемым группам пользователей, то есть если предполагается «внутреннее» использование, то выбираются соответствующие группы, обычно речь идет о группе Users, поскольку, как правило, работают с сертификатами все пользователи компании, если же мы говорим о необходимости работы внешних пользователей, то придется использовать группу everyone.

Кроме того, встроенной группе Cert Publishers [4] необходимо предоставить права для изменений внутри этой папки. Это требуется для правильного подхода при построении строгой ролевой модели.

На веб-сервере создается виртуальный каталог, указывающий на соответствующий ресурс в хранилище. Необходимо удостовериться в том, что активна опция Directory Browsing (см. рис. 3), и если предусматривается использование разностных списков отзыва (Delta CRL), которые в имени файлов используют символ «+», то потребуется обеспечить так называемый Double Escaping, что также подразумевает дополнительную настройку на веб-сервере (см. рис. 4).

Рисунок 3. Активация опции Directory Browsing

Рисунок 3. Активация опции Directory Browsing

Рисунок 4. Дополнительная настройка на веб-сервере

Рисунок 4. Дополнительная настройка на веб-сервере

Наконец, необходимо создать на сервере DNS запись CNAME [5], которая позволит клиенту находить требуемый ресурс (см. рис. 5).

Рисунок 5. Создание на сервере DNS записи CNAME

Рисунок 5. Создание на сервере DNS записи CNAME

Следующий шаг предварительного этапа настройки – подготовка файла начальной конфигурации удостоверяющего центра – capolicy.inf [6].

Файл capolicy.inf

Если нас не устраивают параметры по умолчанию, а обычно они нас не устраивают, нам нужно создать файл capolicy.inf на всех удостоверяющих центрах еще до развертывания самой службы сервера сертификатов. Именно этот файл и будет определять параметры начальной настройки, а также параметры поведения при обновлении сертификата самого сервера сертификатов. Этот файл обязательно должен быть размещен в папке %Systemroot% (обычно это C:\Windows) еще до установки сервиса. Использование иного имени или места размещения приведет к игнорированию этого файла, и сервер сертификатов будет установлен с параметрами «по умолчанию».

Рассмотрим структуру и внутреннее содержание файла. Capolicy.inf состоит из нескольких разделов.

  • Version – семейство используемой операционной системы удостоверяющего центра
  • PolicyStatementExtension – заявление поставщика
  • BasicConstrainsExtension – ограничение глубины иерархии УЦ
  • EnhancedKeyUsageExtension – ограничение на выдаваемые типы сертификатов
  • Certsrv_server – параметры обновления сертификата, настройки сертификата УЦ, параметры обновления и срок жизни сертификата, период публикации списка отзыва

Version

Первый раздел [Version] содержит одну строку, говорящую о том, что используется формат Windows NT, он-то нам и нужен, если мы базируемся на Windows Server. Эта строка будет всегда присутствовать в файле, и неважно какой УЦ (корневой или подчиненный) мы разворачиваем.

PolicyStatementExtention

В этом разделе указан путь к заявлению поставщика (Certification Practice Statement или CPS) и определены политики, которые служат для безопасности.

Certification Practice Statement – просто документ, который можно загрузить по заданной ссылке, чтобы с ними ознакомиться. В нашем примере это файл cps.txt.

Обычно в нем указывается, какие меры обеспечения безопасности работы сервиса предприняты его владельцем. В сущности, это своего рода соглашение между потребителем и владельцем сервиса. Наличие этого раздела необязательно с точки зрения функционирования сервера, но правила хорошего тона подразумевают необходимость что-то рассказать о себе.

[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://pki.nwtraders.msft/PKI/cps.txt

Внутри политики содержится Object identifier (OID). Мы не будем останавливаться на этом подробно. С OID вы можете познакомиться по следующей ссылке: https://www.networkworld.com/article/2231566/microsoft-subnet/obtaining-an-oid-for-a-certificate-issuing-policy--capolicy-inf----.html.

В нашем примере OID предоставлен Microsoft: https://technet.microsoft.com/en-us/library/jj125373%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396.

EnhancedKeyUsageExtension

В разделе EnhancedKeyUsageExtension можно ограничить применимость сертификатов, издаваемых центром сертификации. Пример такого раздела представлен ниже.

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.4  ; Secure Email

Перечисляется, какие сертификаты может выдавать данный центр сертификации.

В сертификате это выглядит так, как это представлено на рис. 6.

Рисунок 6. Пример сертификата

Рисунок 6. Пример сертификата

Дополнительную информацию по данному разделу можно найти по ссылке: https://technet.microsoft.com/en-us/library/cc725621%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 описание Application Policies.

Конечно, этот раздел не обязателен, по умолчанию центр сертификации может выпускать любые типы сертификатов.

BasicConstraintsExtension

В разделе BasicConstraintsExtension можно ограничить глубину иерархии центров сертификации, так, например, раздел может иметь следующий вид:

[BasicConstraintsExtension]
Pathlength=1

Это означает, что после этого центра сертификации может быть только один уровень подчиненных. Если ограничение иерархии не требуется, то раздел BasicConstraintsExtension должен иметь вид:

[BasicConstraintsExtension]
Pathlength=0

Не стоит ограничивать глубину иерархии удостоверяющих центров на корневом, поскольку это приводит к снижению гибкости инфраструктуры. Время жизни инфраструктуры обычно весьма значительно, и за этот период многое может измениться. В трехуровневой иерархии центров ее глубина может быть ограничена, например, на втором уровне, и, если даже раздел BasicConstraintsExtension будет отсутствовать в файле УЦ capolicy.inf третьего уровня (издающем), выдать сертификат еще одному УЦ с него будет нельзя. При попытке обработать запрос нижестоящего центра сертификации на получение им сертификата будет выдаваться сообщение об ошибке.

certsrv_server

В разделе certsrv_server представлены параметры сертификата самого удостоверяющего центра.

  • RenewalKeyLength=4096 – указатель размера ключа центра сертификации, в нашем случае 4096 бит.
  • RenewalValidityPeriodUnits=20 – устанавливается срок действия сертификата УЦ (20 лет).
  • RenewalValidityPeriod=Years – устанавливаются единицы измерения для параметра RenewalValidityPeriodUnits.
  • CRLPeriodUnits=26 – устанавливается периодичность публикации CRL-сертификата УЦ (в представленном примере 26 недель).
  • CRLPeriod=Weeks – устанавливаются единицы измерения для параметра CRLPeriodUnits.
  • CRLOverlapUnits=2 – устанавливается время, в течение которого CRL еще действительны, после наступления момента публикации следующего CRL. Дополнительное время действия CRL, а следовательно, валидности сертификата.
  • CRLOverlapPeriod=Weeks – устанавливаются единицы измерения для параметра CRLOverlapUnit.
  • CRLDeltaPeriodUnits=0 – устанавливается периодичность публикации Delta CRL, 0 означает, что публикация производиться не будет.
  • CRLDeltaPeriod=Hours – устанавливаются единицы измерения для параметра CRLDeltaPeriodUnits
  • LoadDefaultTemplates=0 – 0 означает, что не нужно производить публикацию шаблонов сертификатов, а следовательно, не будет производиться выдача сертификатов на основе этих шаблонов (в том числе автоматическая).
  • AlternateSignatureAlgorithm=1 – настройка УЦ для включения улучшенного алгоритма шифрования, включение поддержки стандарта PKCS#1 V2.1 [7], используемого при подписи сертификата и создании запросов. Нужно учитывать, что данный стандарт не поддерживается старыми операционными системами, такими как Windows 2000, Windows XP, Windows Server 2003.

Ниже представлены примеры содержимого файлов capolicy.inf для двухуровневой архитектуры PKI корневого и издающего удостоверяющих центров

Корневой УЦ

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://pki.nwtraders.msft/PKI/cps.txt
[BasicConstraintsExtension]
Pathlength=1
[certsrv_server]
RenewalKeyLength=4096
RenewalValidityPeriodUnits=20
RenewalValidityPeriod=Years
CRLPeriodUnits=26
CRLPeriod=Weeks
CRLOverlapUnits=2
CRLOverlapPeriod=Weeks
CRLDeltaPeriodUnits=0
CRLDeltaPeriod=Hours
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Подчиненный издающий УЦ

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
URL=http://pki.nwtraders.msft/PKI/cps.txt
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriodUnits=5
RenewalValidityPeriod=Years
CRLPeriodUnits=1
CRLPeriod=Weeks
CRLOverlapUnits=1
CRLOverlapPeriod=Days
CRLDeltaPeriodUnits=1
CRLDeltaPeriod=Days
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Продолжение следует.

  1. Шапиро Л. Проектирование инфраструктуры открытых ключей. Часть 1. Теоретические основы. // «Системный администратор», № 10, 2010 г. – С. 80-87. URL: http://samag.ru/archive/article/1132.
  2. Brian Komar Windows Server 2008 PKI and Certificate Security.
  3. Active Directory Certificate Services (AD CS) Public Key Infrastructure (PKI) Design Guide – https://social.technet.microsoft.com/wiki/contents/articles/7421.active-directory-certificate-services-ad-cs-public-key-infrastructure-pki-design-guide.aspx.
  4. Configure Certificate Publishing in Active Directory Domain Services – https://technet.microsoft.com/en-us/library/cc730861(v=ws.11).aspx.
  5. Add an Alias (CNAME) Resource Record to a Zone – https://technet.microsoft.com/en-us/library/cc772053(v=ws.11).aspx.
  6. Prepare the CAPolicy.inf File – https://technet.microsoft.com/en-us/library/jj125373(v=ws.11).aspx.
  7. Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 – https://www.ietf.org/rfc/rfc3447.txt.

Ключевые слова: инфраструктура открытых ключей, Windows Server 2016.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru