Евгений Павленко – практикующий специалист по технологиям Microsoft – о самых важных задачах, которые можно решить при помощи AD CS, включая внедрение HTTPS, настройку VPN и построение IPSec-туннелей.
Windows Server 2012: учимся безопасности передачи данных с помощью AD СS
1. Windows Server 2012:
учимся безопасности
передачи данных с
помощью AD СS
ведущий:
Евгений Павленко
16 сентября 2013
Eugen.Pavlenko@WindowsLive.com
2. Что такое PKI
Инфраструктура открытых ключей (PKI) используется для
распространения и управления цифровыми сертификатами
PKI включает в себя следующие основные компоненты:
•
•
•
•
Центр сертификатов (CA)
Списки отзыва сертификатов (CRL)
Средства управления
Сертификаты
3. Что такое AD CS
Служба сертификации Active Directory (AD CS) выполняет
следующие действия:
•
Предоставляет центр сертификации
•
Предоставляет инструменты для автоматизированного и ручного
управления сертификатов
•
Предоставляет услуги отзыва сертификата
•
Интегрирует центр сертификации с AD DS
5. Интеграция AD DS и AD CS
AD DS и AD CS тесно интегрируются одним из следующих
способов:
•
Сертификаты пользователей и компьютеров могут автоматически
генерироваться
•
Сертификаты для компьютеров и пользователей могут храниться в
AD DS
•
C помощью параметров групповой политики можно предоставлять
списки отзыва сертификатов, настройки доверительных
сертификатов, политику автоматической выдачи сертификатов и т. д.
6. Центр сертификатов
Центр сертификатов (ЦС) – это сервер, который выдаёт
сертификаты:
• Для пользователя
• Для компьютера
• Для сервиса
Сертификаты подтверждают личность и другие атрибуты
хозяина сертификата другим лицам
7. Иерархия ЦС
Иерархия ЦС состоит из корневого центра сертификации и
одного или более уровней подчиненных центров
сертификации
Причины развертывания более одного сервера в иерархии УЦ:
•
Цели использование
•
Организационные подразделения
•
Географические подразделения
•
Балансировка нагрузки
•
Высокая доступность
•
Разграничить административный доступ
8. Сравнение Enterprise СA и Stand-Alone
Enterprise
Можно использовать без AD DS
StandAlone
ü
Публикует сертификаты и CRL в AD
DS
ü
Можно автоматически генерировать
Subject Name
ü
Можно использовать шаблоны
сертификатов
ü
Может быть использован для
создания сертификатов смарт-карт
сертификатов для аутентификации в
домене
ü
Можно использовать автоматическую
регистрацию
ü
9. Что такое сертификат
Сертификат – это файл, который состоит из двух частей
Публичный ключ
Информация о сертификате
• Открытые ключи распространяются на всех клиентов,
которые просят ключ
• Закрытые ключи хранятся только на компьютере, на
котором они были сгенерированы
10. Получение сертификата
запрос
на
подпись
сертификата
Пара
ключей
Публичный
Ключ
Информация
о
субъекте
Публичный
ключ
Приватный
ключ
Сертификат
11. Как работает пара ключей
Текст
Отправитель
Зашифрован
Шифрование
Публичный
ключ
Текст
Дешифрование
Приватный
ключ
Получатель
12. Что такое шаблон сертификата?
Шаблоны сертификатов:
•
•
•
Описывают, какие сертификаты могут быть выданы ЦС
Описывают, для каких целей используется сертификат
Определяют, какие права у пользователя/компьютера есть
14. Отзыв сертификата происходит, когда сертификат
необходимо отозвать до истечения его срока жизни
Клиенты могут узнать, не был ли отозван сертификат, с помощью
следующих методов:
•
•
Online Certificate Status Protocol (OCSP)
Списки отзыва сертификатов (CRL)