Link-uri către alte materiale din această serie:
- Instalați Autoritatea de Certificare - Concluzii
În primul rând, este necesar să se definească sarcinile care pot necesita punerea în aplicare a PKI:
Dacă toate cele de mai sus nu este nevoie, nu aveți nevoie de PKI, de asemenea.
Într-unul din posturile mele anterioare am condus o discuție privind ierarhii PKI Talk scheme de autoritate de certificare ierarhie. Pe baza acestui material am podbeorm schema pentru instalare noastre, care vor fi descrise în acest material. Pe baza scrierii pe link-ul, am respins imediat opțiunea-un singur nivel de ierarhie. Ierarhia pe două nivele arată foarte atractiv:
În principiu, în cazul în care rețeaua este suficient de concentrată, un astfel de sistem ar fi perfect pentru multe ocazii. Și în cazul în care rețeaua este distribuită geografic, cu ramuri mari (site-uri) în fiecare astfel de ramură pot fi adăugate la un alt certificat CA și a obține doar un astfel de sistem:
Crearea unei ierarhii cu 3 nivele va implica deja împărțirea în activități CPS regiunile iererhii (Certificat de Practici) și sunt supuse la diverse politici de management de tip server CA. Este destul de un cântec lung, și să nu vorbim despre asta. Prin urmare, ne vom concentra pe o ierarhie pe două niveluri cu o singură autoritate de certificare rădăcină (Root CA) și o CA. emitent (emitentă CA).
Microsoft acceptă două tipuri de CAs - autonomă și Enterprise. De obicei, administratorii sunt folosite pentru a instala CA Enterprise și din motive evidente, nu utilizați autonomă CA. Cum se deosebesc?
În ceea ce privește caracteristicile CA autonomă arată ponosit puțin mai mult decât plin. Dar acest tip de CA are un puternic avantaj - aceasta nu depinde de disponibilitatea domeniului. Se pare că - gunoi. Domenii chiar ei conduc și pedale și tot ceea ce nu funcționează aveți nevoie, fără un domeniu! Dar să ne uităm la situația dintr-o parte diferită. CAs nivel superior (rădăcină și primul nivel-subordonat CAs) sunt, de obicei durată foarte mare - de la 10 la 20 de ani. Este foarte des domenii AD și păduri trăiesc mult mai puțin, deoarece acestea sunt în mod constant restruktuirutsya, redenumiți, migra, etc. O autoritate de certificare într-un domeniu (Enteprprise CA) ne privează de unele dintre caracteristicile, cum ar fi domeniul redenumire, și complică procesul de restructurare a domeniilor și a pădurilor. Din acest motiv, Enterprise CA are puțină valabilitate a certificatelor lor - 5 - 10 ani maxim. Practic, în cazul în care există independent de autoritatea de certificare domeniu AD (CA autonomă în cadrul grupului de lucru) este mult mai ușor de a migra și a pădurilor restrurizatsiyu AD, deoarece aceste procese nu afectează CA rădăcină, și elimină problemele de construire a unei noi ierarhii PKI. Într-o astfel de situație este suficient pentru a schimba Centrul de certificare a nivelurilor 2 și 3 (acesta din urmă este, de obicei Enterprise CA). Acesta este motivul pentru care CA rădăcină este recomandabil să se instaleze un domeniu, într-un grup de lucru.
autoritate de certificare întreprindere (după cum sugerează și numele) nu este absolut similar cu CA autonomă în capacitățile sale. În primul rând Enterprise CA necesită disponibilitatea domeniului pentru a stoca informațiile dvs. acolo, și modelul de certificat. Acest tip de CA are un potențial foarte mare pentru eliberarea și menținerea certificatelor. Enterprise CA nu necesită generarea de cereri de fișiere de la clienți, și vă permite să solicite certificate prin intermediul certificatelor MMC certificate de completare snap-in și în mod automat distribuie în întreaga pădure AD cu minim utilizatorul final. Cel mai adesea, această parte se reduce la instituirea politicilor de administrator autoenrollment'a și totul. În plus, Enterprise CA pot publica certificate pentru proprietățile conturilor de utilizatori și computere.
Cu toate acestea, în funcție de domeniu face ca unele restricții în viața lor. Deoarece unitățile de telefonie mobilă domenii suficiente și pot fi modificate, Enterprise CA au o perioadă relativ scurtă de valabilitate a certificatelor lor - 5 - 10 ani maxim. În cazul Enterprise Root CA, ștergerea domeniului duce automat la prăbușirea întregii ierarhie PKI și va trebui să construiască de la zero, ceea ce poate duce la dificultăți mari în anexa in problemele actuale de eliminare domeniu. Acesta este motivul pentru care compania nu a stabilit o CA rădăcină la Enterprise CA, și numai CA emitentă, care publică deja certificate pentru utilizatorii finali și în cazul în care toate posibilitățile vosstrebovan Enterprise CA. Deși o companie foarte mică va fi suficientă atunci când CA rădăcină este instalat pe Enterprise CA și are o perioadă de valabilitate a certificatului de 5 ani.
În această serie de articole, vom folosi avantajele ambelor tipuri de CA. CA rădăcină va utiliza CA autonomă în cadrul grupului de lucru și pentru CA emitentă va utiliza Enterprise CA într-un domeniu Active Directory. În același timp, autonomă CA nu va emite certificate pentru utilizatorii finali, dar numai pentru alte CAs.
Pentru cât timp vor emite certificate pentru fiecare tip de CA? 20 de ani mi se pare prea rece, pentru că după 20 de ani, compania poate schimba totul este rece și dacă afacerea dvs. nu este legată de furnizarea de servicii de certificate digitale, 20 de ani, probabil, prea mult timp. Dar 10 ani pentru rădăcină și emiterea ar fi suficientă. Nu cred că, după 10 ani, toți vor muri. La doar 10 ani mai târziu (de fapt, un pic mai devreme, după 8-9 ani), va trebui să faceți upgrade ambele certificate CA și toată viața va merge mai departe. Costurile de modernizare a certificatelor CA minime, deoarece nu sunt necesare modificări pentru a face în configurația.
Acest lucru am scris deja destul de mult:
Puteți lua în considerare, de asemenea, folosind OCSP (Online Certificate Stare Protocol). Deși, de obicei, și OCSP este folosit doar pentru Enterprise CA, nimic nu împiedică utilizarea sa pentru CA. rădăcină Având în vedere creșterea numărului de clienți care rulează Windows Vista și de mai sus, acest lucru va fi un eksperiens bun și vă voi arăta cum poate fi pus în aplicare.
Pe baza celor de mai sus, putem formula cerințele software pentru ierarhia noastră PKI:
Aceasta încheie introducerea și în secțiunile următoare, va trebui să închideți instalarea și configurarea AC.