Занятие 2. Знакомство с Microsoft Certificate Server

(Продолжительность занятия 25 минут)

Microsoft Certificate Server предоставляет набор легко настраиваемых служб для выпуска цифровых сертификатов и управления ими. Это занятие познакомит Вас с Microsoft Certificate Server, его возможностями и архитектурой.

Изучив материал этого занятия, Вы сможете:

• перчислить ситуации где может понадобиться Microsoft Certificate Server;
• описать возможности Microsoft Certificate Server;
• рассказать об архитектуре Microsoft Certificate Server;

Microsoft Certificate Server позволяет организациям выпускать, обновлять и отзывать цифровые сертификаты, не обращаясь к внешним сертифицирующим органам. С помощью Certificate Server организация способна управлять всеми процессами, связанными с выпуском, сопровождением и отзывом сертификатов, а также их форматом и содержимым. Кроме того, Certificate Server регистрирует все транзакции, позволяя администратору отслеживать, контролировать и подвергать аудиту все запросы сертификатов.

Конфигурации Certificate Server

Microsoft Certificate Server разработан для Web-приложений, требующих применения аутентификации и защищенных соединений на основе протокола Secure Sockets Layer (SSL), Он также поддерживает и другие приложения, работающие с сертификатами: защищенную электронную почту (например, средства протокола Secure/Multipurpose Internet Mail Extensions, S/MIME), защищенные системы платежей (например, технология Secure Electronic Transaction, SET) и цифровые подписи (например, Microsoft Authenticode™). В случае применения SSL организация вправе использовать сервер сертификатов для выдачи сертификатов клиента и сервера в стандартном формате Х.509 3.0. Сертификатами может ведать как один сервер, так и целая их иерархия.

Обычно Microsoft Certificate Server принимает запрос на сертификат стандартного формата криптографии с открытым ключом (Public-Key Cryptography Standards, PKCS) #10, проверяет данные этого запроса и выдаете соответствующий сертификат (или набора сертификатов) стандарта Х.509 в формате PKCS #7. Если пользователь хочет получить сертификат для Web-обозревателя, ему достаточно посетить Web-узел и зарегистрироваться: пользователь заполняет HTML-форму идентификационной информацией (включая его имя, почтовый и электронный адрес), после чего генерируется пара ключей и открытый ключ пересылается сертифицирующему органу в формате PKCS #10. Если вся идентификационная информация удовлетворяет критериям сертифицирующей организации, Certificate Server создает сертификат и пересылает его обозревателю пользователя.

Сертификаты в корпоративных интрасетях

Certificate Server применяется и для аутентификации пользователей корпоративной интрасети; в результате они смогут подключаться к корпоративным узлам по Интернету, не опасаясь утечки информации. Ниже приведены примеры таких ситуаций.

• Офисы подразделений — в этом случае применение сертификатов позволяет рассматривать Интернет в качестве глобальной корпоративной сети или дополнения к ней.
• Отношения поставщик/производитель — применение сертификатов позволяет предоставить доступ к интрасети группам пользователей организациипартнеров.

Сертифицирующая организация использует специальные стратегии для каждого конкретного случая, в том числе для:

• удаленных вызовов аутентифицированных процедур для создания запросов на сертификаты и рассылки сформированных сертификатов;
• подтверждения факта выдачи конкретного сертификата данной организацией; для этого информация полей Issuer Organization и Issuer Organizational Unit сертификата сопоставляются с той, что хранится в файле сервера сертифицирующей организации;
• подтверждения соответствия имени зарегистрированного владельца сертификата и имени, указанного в поле Subject Common Name запроса сертификата.

Этот набор операций составляет типовую модель стратегии автономной авторизации, которая приемлема в случаях, когда требуется высокая надежность авторизации пользователей.

Возможности Certificate Server

Возможности Certificate Server делают его весьма полезным для организаций, которые предпочитают не связываться с внешними сертифицирующими органами и заинтересованы в гибком механизме управления сертификатами, способном адаптироваться к их нуждам. Вот основные преимущества Certificate Server: независимость от стратегий и от транспорта, соответствие криптографическим стандартам, управление личными ключами и высокая надежность.

Независимость от стратегий

Сертификаты выдаются на основе стратегии, определяющей критерии, которым должен соответствовать проситель. Например, для предоставления коммерческих сертификатов иногда требуется личное присутствие соискателя сертификата, необходимое как гарантия его подлинности. В ином же случае позволено выдавать сертификат на основании запроса по электронной почте. Агентство, эмитирующее кредитные карты, иногда предпочитает свериться с базой данных и переговорить по телефону с соискателем прежде, чем выдать ему карту.

Стратегии реализуются модулями, которые разрабатываются на языках Java, Microsoft Visual Basic или Microsoft C/C++, функции Certificate Server отделены от любых изменений в стратегии, вносимых сертифицирующей организацией, что позволяет локализовать коррективы в коде модуля стратегии сервера.

Независимость от транспорта

Сертификаты можно запрашивать и пересылать любым способом. Certificate Server принимает запросы от соискателей и рассылает им сертификаты с помощью HTTP, RPC, файлов на диске и иными способами.

Транспорты поддерживаются промежуточными приложениями и динамически подключаемыми библиотеками выходных модулей (exit module DLL), обычно написанными на языках C/C++. Промежуточные приложения и модули изолируют функции Certificate Server от деталей реализации конкретного транспорта.

Соответствие стандартам

Certificate Server принимает стандартные запросы формата PKCS #10 и выдает сертификаты формата Х.509 версий 1.0 и 3.0. Поддержку сертификатов других форматов обеспечивают модули, называемые обработчиками расширений (extension handlers). Certificate Server работает с клиентами и обозревателями сторонних производителей, а также с Web-серверами, функционирующими под управлением программных продуктов других разработчиков. Certificate Server способен хранить сертификаты в любой базе данных или службе каталогов, поддерживаемой соответствующим модулем.

Управление ключами

Надежность системы сертификации зависит от того, насколько хорошо защищены личные ключи. Структура Certificate Server гарантирует, что никто не сможет получить несанкционированный доступ к информации о личных ключах. Для управления ключами Certificate Server использует Microsoft CryptoAPI, тем самым изолируя конфиденциальные данные. Кроме того, CryptoAPI допускает применение самых разных средств для генерации и защиты ключей — от программных модулей до аппаратных систем, что позволяет выбрать тот уровень управления ключами, который соответствует потребностям организации.

Высокая надежность

Certificate Server полностью реализует все преимущества средств обеспечения надежности и безопасности ОС Windows NT Server. Архитектура Windows NT гарантирует защиту операционной системы и приложений друг от друга с помощью структурированной обработки исключений и файловой системы Windows NT (NTFS). Встроенные средства обеспечения безопасности Windows NT сертифицированы Министерством обороны США по категории С2.

Архитектура Certificate Server

Архитектура Microsoft Certificate Server состоит из ядра сервера, обрабатывающего запросы сертификатов, и модулей, связывающихся с этим ядром для выполнения своих задач.

Ядро сервера

Ядро сервера — основной компонент Certificate Server. Оно выполняет роль диспетчера в отношении всех запросов, поступающих от входных модулей, управляя потоком информации между компонентами в процессе обработки запроса и формирования сертификата. На каждой стадии обработки ядро сервера, взаимодействуя с различными модулями, обеспечивает выполнение действий, необходимых на данной стадии обработки запроса.

Брокер

Брокер — это компонент архитектуры, который получает от клиентов запросы на новые сертификаты и передает их ядру сервера. Брокер состоит из двух частей: приложения-посредника, действующего от имени клиента, и клиентского интерфейса Certificate Server, который обеспечивает связь между приложением-посредником и ядром сервера.

Архитектура брокера открыта, что позволяет создавать брокеры для обработки запросов сертификатов от клиентов различных типов, на базе различных транспортов и для реализации различных стратегий. В частности, Internet Information Server 4.0 — это брокер, предоставляющий своим клиентам услуги по протоколу HTTP. Брокер способен также отслеживать состояние сделанного запроса и получать конфигурационную информацию Certificate Server.

База данных сервера

Certificate Server ведет базу данных, в которой регистрируется статус запросов и учитываются все выданные и отозванные сертификаты. База данных состоит из двух частей: журнала сервера и очереди сервера.

• Журнал сервера хранит все сертификаты, выданные сервером, и списки отозванных сертификатов. Это позволяет администратору отслеживать и подвергать аудиту деятельность сервера, а также архивировать эти сведения. Кроме того, ядро сервера хранит в журнале информацию о запланированных отзывах сертификатов перед ее публикацией в списках отзыва и все запросы сертификатов за заданный администратором период времени — они полезны в случае возникновения каких-либо проблем с выдачей сертификата. Для администрирования журнала сервера предназначена утилита Certificate Administration Log Utility, которая подробно описана на следующем занятии.
• Очередь сервера содержит информацию о состоянии запроса на всех стадиях его обработки сервером (поступление, выбор данных, авторизация, подпись и выдача сертификата). Для администрирования очереди сервера предназначена утилита Certificate Administration Queue Utility — она подробно описана в следующем занятии.

Средства администрирования

Microsoft Certificate Server снабжен Web-ориентированным административным инструментарием, обеспечивающим доступ к данным в базе данных сервера. Эти средства включают утилиты Certificate Administration Log Utility и Certificate Administration Queue Utility, предназначенные для администрирования данных в журнале и очереди сервера соответственно. Интерфейс администрирования позволяет создавать дополнительные административные средства. Вы познакомитесь с этим инструментарием на следующем занятии.

Модуль стратегии

Модуль стратегии содержит набор правил, определяющих ход выдачи, обновления и отзыва сертификатов. Все запросы, полученные ядром сервера, сначала передаются модулю стратегии для проверки их правомочности. Кроме того, модуль стратегии выделяет из запроса дополнительную информацию и устанавливает соответствующие свойства сертификата.

Обработчики расширений

В тандеме с модулем стратегии они отвечают за создание специализированных расширений сертификатов. Каждый обработчик расширений выступает в роли шаблона для расширений, которые должны присутствовать в сертификате. Модуль стратегии загружает соответствующий обработчик расширений, когда в этом возникает необходимость.

Выходные модули

Выходные модули отвечают за публикацию (в частности, рассылку) сформированных сертификатов и списков отзыва посредством выбранных транспортов и протоколов. По умолчанию сервер уведомляет каждый установленный выходной модуль о выпуске нового сертификата или списка отзыва.

Средства поддержки интерфейса модели компонентных объектов, которыми снабжен Microsoft Certificate Server, позволяют создавать специализированные выходные модули для различных транспортов, протоколов и параметров доставки. Например, выходной модуль протокола LDAP способен передавать службе каталогов все клиентские (но не серверные) сертификаты, определяя с помощью СОМ-интерфейса тип выданного сервером сертификата. Такой модуль позволяет Certificate Server публиковать сертификаты в любом каталоге, совместимом с протоколом LDAP.

Резюме

Microsoft Certificate Server позволяет управлять использованием сертификатов в Вашей организации, не прибегая к услугам внешних сертифицирующих органов. Certificate Server полностью использует преимущества встроенных средств обеспечения надежности и защиты ОС Windows NT Server, гарантируя невозможность несанкционированного доступа к информации о личных ключах. Certificate Server может хранить сертификаты в любой базе данных или службе каталогов, поддерживаемой соответствующим выходным модулем. Функции Microsoft Certificate Server отделены от стратегий и совместимы с любым транспортным механизмом.