Aktivace a správa certifikační autority v doméně MS …...TECHNICKÝ POPIS AKTIVACE A SPRÁVA CERTIFIKAČNÍ AUTORITY V DOMÉNĚ MS WINDOWS AUTOR MONET+, a. s. Za Dvorem 505,

TECHNICKÝ POPIS

AKTIVACE A SPRÁVA

CERTIFIKAČNÍ AUTORITY V

DOMÉNĚ MS WINDOWS

AUTOR

MONET+, a. s. Za Dvorem 505, Zlín – Štípa

ZPRACOVÁNÍ 20.5.2013

VERZE

ČÍSLO 1.0

Tento dokument zůstává vlastnictvím firmy MONET+, a. s. Duplikace a/nebo předání kterékoli části tohoto dokumentu třetí straně není povoleno bez předchozího písemného souhlasu vedení firmy MONET+ a. s.

TECHNICKÝ POPIS | AKTIVACE A SPRÁVA CERTIFIKAČNÍ AUTORITY V DOMÉNĚ MS WINDOWS 2 z 51

1 OBSAH

1 Obsah ..........................................................................................................2

2 Historie změn ..............................................................................................4

3 Úvod ............................................................................................................5

4 Stav systému před započetím implementačních prací ..............................6

5 Vlastnosti certifikační služby .....................................................................8

6 Postup aktivace certifikační služby ...........................................................9

6.1 Spuštění průvodce přidání role ...................................................................................9

6.2 Úvodní okno průvodce aktivace certifikační služby ................................................. 10

6.3 Výběr služeb role ..................................................................................................... 11

6.3.1 Vydávání certifikátů přes webové rozhraní ................................................................. 11

6.4 Výběr typu instalace certifikační služby ................................................................... 12

6.5 Volba typu CA .......................................................................................................... 13

6.6 Generování klíčů certifikační autority ....................................................................... 14

6.7 Kryptografie certifikační autority .............................................................................. 14

6.8 Název CA ................................................................................................................. 15

6.9 Doba platnosti certifikátu CA ................................................................................... 16

6.10 Úložiště databáze certifikátů .................................................................................... 17

6.11 Instalace webového serveru .................................................................................... 18

6.11.1 Úvodní krok průvodce instalace webového serveru ................................................... 18

6.11.2 Služby role webového serveru ................................................................................... 19

6.12 Spuštění instalace .................................................................................................... 20

6.13 Výsledek instalace ................................................................................................... 20

6.14 Důsledky instalace doménové CA ........................................................................... 21

7 Konfigurace certifikační služby ................................................................ 23

7.1 Konzola pro správu certifikační autority ................................................................... 23

7.1.1 Okno konzoly pro správu certifikační autority ............................................................. 24

7.1.2 Vzdálená správa certifikační služby ........................................................................... 24

7.2 Konfigurační parametry CA ..................................................................................... 24

7.3 Seznam odvolaných certifikátů ................................................................................ 26

7.3.1 Distribuční místo CRL ................................................................................................ 26

7.3.2 Interval publikace a platnosti CRL .............................................................................. 28


7.4 Authority information Access (AIA) .......................................................................... 33

7.5 Šablony certifikátů .................................................................................................... 34

7.6 Role pro správu certifikační autority ........................................................................ 36

7.7 Distribuce kořenového certifikátu CA ....................................................................... 37

8 Provoz a správa certifikační autority ....................................................... 38

8.1 Zastavení a spuštění certifikační služby .................................................................. 38

8.2 Zjištění stavu PKI v doméně .................................................................................... 39

8.3 Mimořádné vydání seznamu odvolaných certifikátů ................................................ 39

8.4 Zálohování CA ......................................................................................................... 40

8.4.1 Zálohování CA pomocí grafického průvodce .............................................................. 41

8.4.2 Zálohování CA pomocí řádkové utility certutil.exe ...................................................... 44

8.4.3 Záloha dalších nastavení certifikační služby .............................................................. 45

8.5 Obnova CA po havárii či destrukci ........................................................................... 46

8.5.1 Obnova databáze CA pomocí grafického průvodce ................................................... 46

8.6 Obnova certifikátu CA .............................................................................................. 49

8.6.1 Obnova certifikátu CA pomocí grafického průvodce ................................................... 50

8.6.2 Obnova certifikátu CA pomocí certutil.exe ................................................................. 51


2 HISTORIE ZMĚN

Verze Datum Popis Provedl

0.1 23.10.2012 První verze, draft J.Kutálek

0.2 1.12.2012 Doplnění zálohování, distribuce kořenového certifikátu apod…

J.Kutálek, M.Langer

0.3 28.12.2012 Vypořádání komentářů a finalizace první verze J.Kutálek

0.4 17.5.2013 Informace o CDP, AIA a PKIView.msc J.Kutálek, M.Langer

1.0 20.5.2012 Finalizace dokumentu k publikaci J.Kutálek

Historie změn dokumentu


3 ÚVOD

Organizace, která chce používat elektronické certifikáty pro zabezpečení svých dat a systémů, potřebuje certifikační autoritu, která by certifikáty vydala:

Organizace může využít služeb externí / komerční certifikační autority. Certifikáty, vydané

z externí certifikační autority jsou však vhodnější pro zabezpečení komunikace s vnějším

světem. (Služby externí certifikační autority jsou navíc většinou placené.)

Pro zabezpečení interní komunikace či interních dat si organizace může zprovoznit vlastní

certifikační autoritu.

Asi nejjednodušší (a ekonomicky nejméně nákladnou) cestou k vlastní certifikační autoritě je: aktivace certifikační služby, která je součástí operačního systému MS Windows Server.

Certifikační autorita, vybudovaná na půdorysu domény MS Windows, může vydávat certifikáty pro:

Bezpečné přihlašování do počítačů (s využitím čipové karty či USB tokenu)

Bezpečný přístup do VPN anebo wifi sítí

Elektronické podepisování e-mailů či dokumentů

Šifrování e-mailů či dokumentů

Šifrování komunikace pomocí IPsec či SSL

Bezpečný přístup na webové servery šifrovaným protokolem HTTPS

a další technologie, zvyšující bezpečnost přístupu k systémům či datům

Tento dokument obsahuje popis aktivace certifikační autority v modelové organizaci. Principy implementace certifikační autority, uvedené v tomto dokumentu, lze aplikovat na organizace různého zaměření, velikosti, apod… Dokument by měl pomoci správcům IT snadno a efektivně zprovoznit certifikační autoritu v jejich vlastní organizaci.


4 STAV SYSTÉMU PŘED ZAPOČETÍM

IMPLEMENTAČNÍCH PRACÍ

Tento dokument popisuje implementaci certifikační autority (Active Directory Certificate Services, ADCS) do prostředí fiktivní organizace s názvem DataFirma, s.r.o.

Obr. 1 Modelový případ implementace certifikační autority do fiktivní organizace DataFirma, s.r.o.

Je popisován modelový případ, který předpokládá následující infrastrukturu organizace:

Jeden server s operačním systémem MS Windows Server 2008 R2 Standard.

Server je hostitelem základních sítových služeb, jako např. DNS.

Server je doménovým řadičem, hostuje doménu datafirma.cz

Klientské stanice s operačním systémem MS Windows 7 Professional, připojené do

domény datafirma.cz.

V tomto dokumentu je popisována aktivace certifikační služby na serveru s operačním systémem MS Windows Server 2008. Certifikační služba je však součástí serverové platformy MS Windows od verze MS Windows Server 2000. Principy a postupy, uvedené v tomto dokumentu, lze použít i na starších verzích klientských i serverových operačních systémů. Některé detaily aktivace certifikační služby se na starších verzích operačního systému mohou lišit.


Zjednodušeně lze výše uvedený stav infrastruktury shrnout: organizace provozuje doménu s Active Directory. Na takovou infrastrukturu lze aplikovat níže uvedený postup a během několika minut zprovoznit certifikační autoritu.

Pro aktivaci certifikační služby se v tomto dokumentu využívá operační systém MS Windows Server 2008 R2 Standard. Na Standard edici nejsou dostupné některé (nadstavbové) funkce (OCSP), ty jsou dostupné až na vyšších (Enterprise) edicích. Srovnání funkcí certifikační služby na různých verzích operačních systémů lze najít např. na: http://social.technet.microsoft.com/wiki/contents/articles/1137.active-directory-certificate-services-ad-cs-overview.aspx

http://social.technet.microsoft.com/wiki/contents/articles/1137.active-directory-certificate-services-ad-cs-overview.aspx

http://social.technet.microsoft.com/wiki/contents/articles/1137.active-directory-certificate-services-ad-cs-overview.aspx


5 VLASTNOSTI CERTIFIKAČNÍ SLUŽBY

Před započetím aktivace certifikační služby je třeba promyslet, jaká konfigurace certifikační služby se nejlépe hodí pro danou organizaci.

Pro modelový případ společnosti DataFirma, s.r.o. je zvolena co nejjednodušší varianta:

Certifikační služba bude aktivována na doménovém řadiči (větší organizace mohou

aktivovat certifikační službu na dedikovaném doménovém serveru).

Aktivujeme pouze jednu certifikační autoritu (větší organizace mohou uvažovat o

vícevrstvé hierarchické struktuře certifikačních autorit)

Klíče certifikační autority budou chráněny prostředky hostitelského operačního

systému (certifikační autorita na platformě MS Windows Server podporuje i vyšší ochranu

klíčů v hardwarovém kryptografickém zařízení)

Více informací o plánování vlastností certifikační autority lze najít např. na: http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx nebo na: http://technet.microsoft.com/en-us/library/cc977699.aspx

Komplexním zdrojem informací je: http://social.technet.microsoft.com/wiki/contents/articles/987.windows-pki-documentation-reference-and-library.aspx

http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

http://technet.microsoft.com/en-us/library/cc977699.aspx

http://social.technet.microsoft.com/wiki/contents/articles/987.windows-pki-documentation-reference-and-library.aspx

http://social.technet.microsoft.com/wiki/contents/articles/987.windows-pki-documentation-reference-and-library.aspx


6 POSTUP AKTIVACE CERTIFIKAČNÍ

SLUŽBY

Pro aktivaci certifikační služby je třeba na hostitelském serveru přidat roli Služba AD CS. Spustí se grafický průvodce, který umožní správci aktivovat certifikační službu. V průběhu aktivace se definují základní parametry certifikační služby. Mezi jednotlivými kroky se postupuje stiskem tlačítka Další. Po dokončení aktivace je obvykle třeba konfigurovat některé parametry certifikační služby.

Zjednodušeně lze říci, že parametry, nastavené v průběhu aktivace certifikační služby, nelze následně měnit. Konfigurační parametry, které se nastavují po dokončení aktivace, lze v průběhu života certifikační služby měnit.

Následující podkapitoly uvádějí postup aktivace certifikační služby pomocí grafického průvodce. Konfigurace dalších parametrů certifikační služby je popsána v kapitole 7.

Další informace o certifikační službě lze najít např. na: http://technet.microsoft.com/en-us/library/cc770357.aspx nebo na: http://technet.microsoft.com/en-us/library/cc753828.aspx

6.1 SPUŠTĚNÍ PRŮVODCE PŘIDÁNÍ ROLE

Aktivaci doménové certifikační autority musí provádět osoba s dostatečnými oprávněními lokálního správce a správce domény. Zjednodušeně se lze řídit pravidlem, že aktivaci doménové CA musí provádět člen skupiny Domain Admins či Enterprise Admins.

V obrazovce Úlohy počáteční konfigurace nebo v menu Role konzoly Správce serveru se spustí průvodce přidání role.

Ve výběru dostupných rolí se zvolí Služba AD CS (Active Directory Certificate Services)




Obr. 2 Výběr nové role serveru: Služba AD CS

6.2 ÚVODNÍ OKNO PRŮVODCE AKTIVACE CERTIFIKAČNÍ

SLUŽBY

V úvodním okně průvodce se zobrazí upozornění, že po aktivaci certifikační služby nelze změnit název a doménu hostitelského počítače.


Obr. 3 Úvodní informace o aktivaci certifikační služby

6.3 VÝBĚR SLUŽEB ROLE

V tomto kroku je třeba zvolit služby, které mají být instalovány jako součást role Služba AD CS. Základní službou, která plní úlohu certifikační autority je: Certifikační autorita. Pokud mají být certifikáty vydávány přes webové rozhraní certifikační služby, je třeba zvolit také službu Webový zápis certifikační autority.

Obr. 4 Výběr instalovaných služeb

Webové rozhraní není pro vydávání certifikátů nezbytné. Vydávání certifikátů lze realizovat i jinými způsoby, než je podání žádosti přes webové rozhraní. (Některé z těchto způsobů jsou popsány v samostatném dokumentu: Životní cyklus certifikátů chráněných v ProID+)

Pokud organizace neplánuje použití webového rozhraní certifikační služby, není třeba instalovat službu Webový zápis certifikační autority ani roli Webový server.

6.3.1 Vydávání certifikátů přes webové rozhraní

Instalace služby Webový zápis certifikační autority je podmíněna instalací / provozem webového serveru IIS. Pokud na hostitelském serveru není dosud služba IIS provozována, je automaticky nabídnuta její instalace:


Obr. 5 Instalace dodatečných služeb – WWW server

Výchozí hodnoty, uvedené v okně Průvodce přidáním rolí lze ponechat a pokračovat stiskem tlačítka Přidat požadované služby rolí.

Více informací o vydávání certifikátů skrze webové rozhraní lze najít např. na: http://technet.microsoft.com/cs-cz/library/dd759243.aspx

6.4 VÝBĚR TYPU INSTALACE CERTIFIKAČNÍ SLUŽBY

Protože se certifikační služba instaluje do prostředí Active Directory, zvolí se možnost Rozlehlá síť. Certifikační autorita je pak integrována do AD a využívá možností AD; toto řešení usnadňuje správu a provoz certifikační autority.

http://technet.microsoft.com/cs-cz/library/dd759243.aspx


Obr. 6 Volba typu instalace

6.5 VOLBA TYPU CA

Certifikační autorita bude instalována jako kořenová; tzn., že nemá nadřízenou certifikační autoritu.

Obr. 7 Volba typu certifikační autority


V organizacích, které provozují více (typů) certifikačních autorit, se obvykle vytváří hierarchie jednotlivých certifikačních autorit. Stromová struktura certifikačních autorit má nadřízené a podřízené CA. CA, která stojí na vrcholu hierarchie, se nazývá kořenová CA. Pro menší organizace je dostačující provoz jediné – kořenové CA.

6.6 GENEROVÁNÍ KLÍČŮ CERTIFIKAČNÍ AUTORITY

Každá certifikační autorita musí mít svůj pár klíčů:

Veřejný klíč je umístěn do certifikátu CA

Soukromým klíčem CA podepisuje vydané certifikáty a CRL

Nově instalované certifikační autoritě je třeba vytvořit nový pár klíčů: volbou Vytvořit nový privátní klíč.

Obr. 8 Volba generování nového páru klíčů certifikační autority

6.7 KRYPTOGRAFIE CERTIFIKAČNÍ AUTORITY

Volba kryptografických parametrů je důležitá pro bezpečnostní charakter certifikační autority:

Zprostředkovatel kryptografických služeb definuje způsob ochrany soukromého klíče CA.

Jako výchozí (softwarová) ochrana klíče se volí uložení v hostitelském operačním systému.


Certifikační služba na platformě MS Windows Server podporuje také vyšší úroveň ochrany

klíče v externím hardwarovém zařízení.

Délka klíče reprezentuje odolnost klíče proti kryptografickým útokům. Pro certifikační

autority se obvykle používají klíče délky 2048 bitů anebo 4096 bitů. Kratší klíče v dnešní

době nemusí zajistit dostatečnou úroveň zabezpečení CA.

Hashovací algoritmus reprezentuje odolnost vydaných certifikátů proti kryptografickým

útokům. Algoritmus SHA1 je v dnešní době již pokládán za zastaralý; je nahrazován

silnějšími algoritmy, např. SHA256. Starší operační systémy a některá technická zařízení

(routery) či aplikace nemusí novější algoritmy podporovat.

Výchozí hodnoty garantují kompatibilitu vydávaných certifikátů se staršími operačními systémy a dalšími zařízeními:

Obr. 9 Definice kryptografických parametrů CA

Hashovací algoritmus SHA1 je vhodné použít zejména se staršími operačními systémy Windows (XP a staršími). V případě používání certifikátů na novějších operačních se doporučuje použití silnějšího algoritmu SHA256.

6.8 NÁZEV CA

Každá certifikační autorita musí mít svůj název. Název certifikační autority se odrazí v certifikátu CA.


Kromě názvu se v certifikátu CA objeví také přípona, která obvykle obsahuje informace o hostitelské doméně.

Obr. 10 Definice názvu CA

V případě existence více certifikačních autorit v jedné doméně musí mít každá CA jedinečný název.

6.9 DOBA PLATNOSTI CERTIFIKÁTU CA

Jako každý certifikát, má i certifikát CA časově omezenou platnost. Před vypršením platnosti je třeba certifikát obnovit – viz také kapitolu 8.6.

Je obvyklé, že se certifikát CA vydává na několik let – typicky 5 či 10 let.


Obr. 11 Nastavení doby platnosti kořenového certifikátu

Dobu platnosti certifikátu CA je nutno nastavit s ohledem na:

Práci spojenou s častou obnovou certifikátu CA.

Délku platnosti vydávaných (klientských) certifikátů.

Certifikační autorita na platformě MS Windows Server nevydá certifikát, jehož platnost by překročila dobu platnosti aktuálního certifikátu CA. Pokud se např. mají vydávat klientské certifikáty s platností 2 roky, je nutno 2 roky před vypršením platnosti obnovit certifikát CA!

6.10 ÚLOŽIŠTĚ DATABÁZE CERTIFIKÁTŮ

Certifikační autorita vytváří během svého působení data, která ukládá do své vnitřní databáze. (Jde především o žádosti a vydané certifikáty.) Databáze CA je uložena v souboru hostitelského operačního systému.

Kromě interní databáze ukládá CA do souboru také protokol databáze certifikátů.


Obr. 12 Umístění databáze certifikátů a protokolu databáze

6.11 INSTALACE WEBOVÉHO SERVERU

Webový server může podporovat certifikační službu dvěma způsoby:

Poskytovat webové rozhraní pro uživatele, kteří potřebují získat certifikát: prostřednictvím

webových stránek mohou požádat o vydání či obnovu certifikátu.

Poskytovat informace o odvolaných certifikátech, resp. o certifikátu certifikační autority (viz

kapitoly 7.3,resp. 7.4)

Instalace webového serveru není nezbytná.

Pokud organizace neplánuje použití webového rozhraní certifikační služby, není třeba webový server instalovat. Viz také kapitolu 6.3.

Instalace webového serveru IIS se zobrazí, pokud před instalací CA nebyl webserver na serveru provozován.

6.11.1 Úvodní krok průvodce instalace webového serveru

Průvodce instalací webového serveru se spustí automaticky, pokud se v průběhu instalace certifikační služby zvolí instalace služby Webový zápis certifikační autority.


Obr. 13 Instalační průvodce IIS

6.11.2 Služby role webového serveru

Předdefinované služby jsou dostatečné pro provoz Webového zápisu certifikační autority i pro případnou distribuci seznamu odvolaných certifikátů.

Obr. 14 Výběr instalovaných služeb pro roli Webový server


6.12 SPUŠTĚNÍ INSTALACE

Nyní jsou všechny parametry instalace certifikační autority nastaveny; tlačítkem Instalovat se spustí instalace.

Obr. 15 Přehled nastavených parametrů před zahájením instalace

V průběhu instalace je mimo jiné:

Generován pár klíčů certifikační autority

Generován certifikát certifikační autority

Vytvořen soubor s interní databází certifikátů

Proveden zápis do Active Directory – zapisují se informace o nově instalované CA

6.13 VÝSLEDEK INSTALACE

Po dokončení instalace zobrazí průvodce výsledek instalačního procesu pro jednotlivé instalované role:


Obr. 16 Výsledek instalačního procesu

Pokud vše dopadlo dobře, je certifikační autorita připravena k použití. Doporučuje se však revidovat a příp. upravit konfigurační parametry CA – viz kapitolu 7.

6.14 DŮSLEDKY INSTALACE DOMÉNOVÉ CA

Instalace doménové (enterprise) CA automaticky zajistí řadu konfiguračních kroků, které by při použití jiného typu certifikační autority bylo třeba provádět separátně (=ručně):

Informace o CA jsou zapsány do Active Directory, v našem modelovém případě je vytvořen

objekt CA DATAFIRMA v podstromu CN=Certification Authorities,CN=Public Key

Services,CN=Services,CN=Configuration,DC=datafirma, DC=cz

Informace o doménové vydávající CA jsou zapsány do Active Directory, v našem

modelovém případě je vytvořen objekt CA DATAFIRMA v podstromu CN=Enrollment

Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=datafirma, DC=cz

Vytvoření vztahu důvěry k certifikátu CA. Certifikát instalované (kořenové) CA je

automaticky přidán do seznamu důvěryhodných CA a prostřednictvím doménových politik

(group policy) distribuován na všechny doménové počítače. (Viz také kapitolu 7.7.)

Certifikát CA je publikován do AD, v našem modelovém případě je vytvořen objekt CA

DATAFIRMA v podstromu CN=AIA,CN=Public Key Services, CN=Services,

CN=Configuration, DC=datafirma, DC=cz; AD pak slouží jako jedno z distribučních míst

certifikátu CA. Viz také kapitolu 7.4.

V AD je vytvořeno distribuční místo seznamu odvolaných certifikátů a je do něj publikováno

CRL, v našem modelovém případě je vytvořen objekt CA DATAFIRMA v podstromu


CN=serv01, CN=CDP,CN=Public Key Services, CN=Services, CN=Configuration,

DC=datafirma, DC=cz; AD pak slouží jako jedno z distribučních míst CRL. Viz také kapitolu

7.3.

V AD je vytvořen (zatím prázdný) kontejner pro uložení certifikátů typu Key Recovery

Agent, který se využívá pro zálohování šifrovacích klíčů. V našem modelovém případě je

vytvořen objekt CA DATAFIRMA v podstromu CN=KRA,CN=Public Key Services,

CN=Services, CN=Configuration, DC=datafirma, DC=cz; V případě, že je v budoucnu

aktivována archivace šifrovacích klíčů, jsou do tohoto kontejneru ukládány certifikáty pro

šifrování archivovaných klíčů.

CA je akceptována doménovými politikami jako CA, která může vydávat certifikáty,

použitelné pro přihlašování čipovou kartou (Smartcard Logon). Certifikát CA je zapsán do

objektu NTAuthCertificates v podstromu CN=Public Key Services, CN=Services,

CN=Configuration, DC=datafirma, DC=cz

Uvedené hodnoty, uložené v AD jsou automaticky aktualizovány také v průběhu života CA, např. při obnově certifikátu CA.

Do registry hostitelského počítače jsou zapsány konfigurační údaje CA. Jsou uloženy v podstromu: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ CertSvc


7 KONFIGURACE CERTIFIKAČNÍ SLUŽBY

Konfigurační parametry certifikační služby lze v průběhu života CA měnit. V následujících podkapitolách jsou uvedeny informace o konfiguraci některých důležitých parametrů CA.

Další informace o konfiguraci certifikační služby lze najít např. na: http://technet.microsoft.com/en-us/library/cc772011.aspx. Informace o dalším užitečném snap-in pro správu certifikační autorit lze najít na: http://technet.microsoft.com/en-us/library/cc771400.aspx

7.1 KONZOLA PRO SPRÁVU CERTIFIKAČNÍ AUTORITY

Správa certifikační služby se provádí pomocí MMC konzoly pro správu certifikační autority. Tu je možné vyvolat různými způsoby, např:

V menu Nástroje pro správu Certifikační autorita

V okně Spustit certsrv.msc

Obr. 17 Konzole správy certifikační autority

Pro správu CA jsou ve výchozím nastavení (po instalaci) potřeba oprávnění doménového administrátora. Správu CA je možné delegovat i specifické roli – viz kapitolu 7.6.




7.1.1 Okno konzoly pro správu certifikační autority

Po otevření konzoly pro správu certifikační služby se otevře okno, rozdělené na dva panely:

V levém panelu je strom složek certifikační autority

Informace v pravém panelu se aktualizují podle vybrané složky ve stromu

Složky certifikační autority jsou následující:

Odvolané certifikáty – obsahuje seznam odvolaných certifikátů

Vystavené certifikáty – obsahuje seznam dosud vydaných certifikátů

Žádosti čekající na vyřízení – obsahuje seznam žádostí o certifikáty, čekající na schválení

či zamítnutí správcem certifikátů. Certifikační autorita podporuje vydávání certifikátů ve

dvou režimech:

Automaticky, ihned po obdržení žádosti.

Manuálně, až po posouzení a schválení žádosti správcem certifikátů. Žádosti, které

dosud správce certifikátů nevyřídil, čekají ve složce žádosti čekající na vyřízení

Zamítnuté žádosti – žádosti, které buď certifikační služba anebo správce certifikátů

zamítnuli (na základě těchto žádostí nebyl vydán certifikát)

Šablony certifikátů – viz kapitolu 7.5

7.1.2 Vzdálená správa certifikační služby

Konzole pro správu certifikační služby je implementována jako snap-in pro MMC. Pomocí MMC konzoly lze provádět správu certifikační služby, hostované na lokálním počítači, ale je také možné spravovat certifikační službu, běžící na jiném než lokálním počítači. Funkci vzdálené správy lze v konzole vyvolat pomocí menu Akce Změnit cílovou certifikační autoritu.

Konzolu pro správu certifikační služby lze spouštět i z klientského operačního systému, na kterém je instalován balíček Remote Server Administration Tools.

7.2 KONFIGURAČNÍ PARAMETRY CA

Chování certifikační autority lze ovlivnit řadou nastavení. Některá nastavení jsou provedena již při instalaci certifikační služby. Jiná nastavení lze měnit editací vlastností CA v konzole pro správu CA.

Okno pro nastavení vlastností CA se vyvolá v kontextové nabídce položky reprezentující název CA (Je třeba kliknout pravým tlačítkem myši na název CA: CA DATAFIRMA).


Obr. 18 Vlastnosti certifikační autority

Okno s vlastnostmi je rozděleno do několika záložek:

Obecné – obsahuje seznam (historii) certifikátů CA, aktuálně používaného

zprostředkovatele certifikačních služeb a používaný hashovací algoritmus

Modul zásad. Modul zásad je program, který (automaticky) kontroluje a vyhodnocuje

přijaté žádosti o certifikáty, doplňuje do žádostí potřebné náležitosti a schvaluje některé

žádosti. Ve výchozím stavu je v certifikační službě konfigurován modul zásad, který

vyhodnocuje žádosti o certifikáty na základě šablon (viz kapitolu 7.5) a dalších údajů

z Active Directory.

Moduly ukončení. Modul ukončení je program, kterým lze žádosti o certifikáty, vydané

certifikáty a CRL zapisovat do externího úložiště. Ve výchozím stavu je v certifikační službě

konfigurován modul ukončení, který publikuje vydaná CRL na distribuční místa (CDP).

Rozšíření – umožňuje definovat adresy (URI), na která jsou publikovány CRL a certifikáty

CA. Viz také kapitoly 7.3.1 a 7.4.

Úložiště – úložiště interní databáze certifikační autority; viz také kapitolu 6.10.

Zabezpečení. Umožňuje definovat oprávnění vůči certifikační službě, např. pro správu CA,

správu certifikátů, použití CA pro vydávání certifikátů. Viz také kapitolu 7.6.


Agenti obnovení. Umožňuje definovat podporu archivace (zálohování) šifrovacích klíčů

v interní databázi CA.

Auditování. Umožňuje definovat seznam událostí, které má certifikační služba zapisovat

do žurnálu operačního systému.

Agenti pro zápis certifikátů. Umožňuje definovat seznamy operátorů, kteří vydávají

certifikáty ostatním (obvykle uživatelům). Této problematice se věnuje samostatný

dokument: Životní cyklus certifikátů chráněných v ProID+.

Správci certifikátů. Umožňuje definovat (upřesnit) seznamy operátorů, kteří mohou

schvalovat žádosti o certifikáty a odvolávat certifikáty.

7.3 SEZNAM ODVOLANÝCH CERTIFIKÁTŮ

Každý certifikát má časově omezenou platnost (doba platnosti od-do je zapsána přímo do certifikátu). Po vypršení platnosti je certifikát pokládán za neplatný.

V některých případech je však třeba platnost certifikátu ukončit předčasně – před vypršením platnosti. (Důvodem pro předčasné ukončení platnosti certifikátu může být např.: odchod zaměstnance z pracovního poměru, kompromitace soukromého klíče apod…)

Certifikační autorita vydává seznam odvolaných certifikátů (Certificate Revocation List, CRL). Pomocí tohoto seznamu si závislé strany (aplikace, uživatelé) mohou ověřit, zda použitý certifikát není předčasně odvolaný.

CRL je soubor, který obsahuje (mimo jiné) čísla odvolaných certifikátů. CRL je elektronicky podepsáno klíčem CA, aby si závislá strana mohla ověřit autenticitu souboru s CRL.

Kromě (offline) ověřování platnosti certifikátu oproti CRL existuje ještě alternativa: online dotazování na platnost certifikátů (Online Certificate Status Protocol, OCSP). Závislá strana při ověřování platnosti certifikátu nevyužívá CRL, ale dotazuje se OCSP služby na aktuální stav konkrétního certifikátu. Implementace služby OCSP je podporována od verze MS Windows Server 2008. Viz také: http://technet.microsoft.com/en-us/library/cc754223.aspx

7.3.1 Distribuční místo CRL

Aby si závislé strany mohly ověřit přítomnost certifikátu na seznamu odvolaných certifikátů, musí být schopny získat soubor s CRL. K tomu musí být splněny alespoň následující podmínky:

Soubor s CRL musí být (elektronickým kanálem) dostupný pro stažení.

Závislé strany musí vědět, odkud si mají soubor s CRL stáhnout. (Musí znát URL pro

stažení souboru CRL.)

Certifikační autorita definuje tzv. distribuční místo CRL (CRL Distribution Point, CDP), což je adresa (URL), na kterou je soubor s CRL publikován a z níž si závislé strany mohou CRL stáhnout. Na distribuční místo pak CA publikuje CRL.



Aby závislé strany znaly adresu distribučního místa CRL, zapisuje ji CA přímo do vydávaných certifikátů (do položky CRL Distribution Points). Závislá strana pak při ověřování platnosti certifikátu může nahlédnout do obsahu certifikátu, zjistit z něj adresu CDP, stáhnout si CRL a ověřit, zda daný certifikát je či není na seznamu odvolaných certifikátů.

Pokud adresa distribučního místa CRL není dostupná, nemají závislé strany možnost získat platné CRL a ověřit pomocí něj platnost certifikátů. Všechny certifikáty, vydané z dané CA, jsou pak pokládány za neplatné - se všemi negativními důsledky na fungování závislých aplikací. Zajištění dostupnosti distribučního místa CRL je proto pro fungování systémů s certifikáty kritické. Často se řeší redundancí distribučních míst.

Po instalaci certifikační služby jsou nastaveny následující distribuční místa CRL:

Lokální adresář serveru - %windir%/system32/certsrv/CertEnroll/ (z tohoto adresáře

publikuje soubor s CRL také lokální webový server)

Active Directory, CRL je dostupné protokolem LDAP. CRL je dostupné na adrese:

ldap:///CN=CA%20DATAFIRMA,CN=serv01,CN=CDP,CN=Public%20Key%20Services,CN

=Services,CN=Configuration,DC=datafirma,DC=cz?certificateRevocationList?base?objectC

lass=cRLDistributionPoint

Webový server, který je hostován na serveru s certifikační službou; CRL je dostupné

protokolem HTTP na této adrese

http://serv01.datafirma.cz/CertEnroll/CA%20DATAFIRMA.crl (toto distribuční místo není ve

výchozím nastavení uváděno ve vydaných certifikátech).

Sdílený adresář (protokol file: ),ten však ve výchozím nastavení není využíván; lze jej

z konfigurace odebrat

CRL se ve výchozím nastavení automaticky publikuje do:

Active Directory – odkud je dostupné protokolem LDAP

Lokálního (systémového) adresáře – odkud jej umí propagovat lokální webový server

Distribuční místo CRL lze změnit ve vlastnostech certifikační služby, záložce Rozšíření – viz kapitolu 7.2.

http://serv01.datafirma.cz/CertEnroll/CA%20DATAFIRMA.crl


Obr. 19 Okno pro nastavení distribučních míst CRL

Po instalaci certifikační služby lze doporučit provedení změny v nastavení distribučního místa CRL: využít instalovaného webového serveru a použít jej jako (sekundární) distribuční místo CRL: zvolit v seznamu adresu protokolu http a zaškrtnout pole Zahrnout do seznamů CRL a Zahrnout do rozšíření. Ostatní nastavení položky Distribuční bod seznamu CRL (CDP) je pro výchozí konfiguraci dostačující.

7.3.2 Interval publikace a platnosti CRL

CRL má časově omezenou platnost. Důvodem je – mimo jiné – snížení zátěže síťového provozu. Operační systémy (např. MS Windows) a některé aplikace využívají vlastní cache pro ukládání CRL. Nemusí se tak při každém ověřování platnosti certifikátu pokaždé obracet na distribuční místo CRL a žádat si aktuální soubor s CRL. Dokud mají ve své cache (časově) platné CRL, používají svou lokální kopii. Po expiraci si stáhnou aktuální CRL. Také CA nemusí díky tomuto mechanismu po každém odvolání certifikátu publikovat CRL. CRL je z CA publikováno v pravidelných intervalech.

Ve výše popsaném mechanismu pravidelné publikace CRL se skrývá asi největší úskalí provozu certifikační autority: pokud CA (např. z důvodu havárie) nepublikuje včas nové CRL a předchozí CRL expiruje, je pokládáno za neplatné. Závislé strany pak nemají možnost získat platné CRL a ověřit pomocí něj platnost certifikátů. Všechny certifikáty, vydané z dané CA, jsou pak pokládány za neplatné - se všemi negativními důsledky na fungování


závislých aplikací. Publikaci CRL je proto nutno chápat jako primární funkci certifikační služby, její zprovoznění má prioritu před funkcí vydávání certifikátů!

Kvůli možnosti desynchronizace času na počítačích závislých stran CA uvádí čas započetí platnosti CRL posunutý o několik minut do minulosti, oproti skutečnému času vygenerování CRL. Počítač, který si CRL stahuje, tak může mít systémový čas nastaven pozadu, přesto bude CRL pokládáno za (časově) platné.

Počet minut, které se připočtou jako předstih platnosti CRL je možno změnit nastavením registry:

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ CertSvc\ <Nazev_CA>\ , položkou ClockSkewMinutes. Ve výchozím nastavení je definován předstih 10 minut, což je ve většině případů dostačující.

7.3.2.1 Aspekty volby intervalu platnosti a publikování CRL

Volba vhodného intervalu publikování CRL není zcela jednoduché rozhodnutí:

Z provozního pohledu je výhodnější zvolit delší interval, aby v případě havárie CA bylo

dostatek času na opravu a vydání nového CRL (ještě před vypršením platnosti

předchozího).

Z bezpečnostního hlediska je vhodné zvolit kratší interval: dochází k častější aktualizaci

CRL závislými stranami. Informace o odvolání certifikátu se tak rychleji dostane mezi

závislé strany.

Pokud by se interval publikování CRL shodoval s intervalem platnosti CRL, mohlo by se stát, že CA havaruje v okamžiku těsně před expirací a publikací CRL. Správce by v takovém případě neměl fakticky možnost havarovanou CA uvést do provozu včas – před expirací CRL. Proto CA definuje dva samostatné intervaly:

Interval platnosti CRL

Interval publikování CRL

Interval publikování CRL je kratší oproti intervalu platnosti CRL. Nové CRL se vydává s předstihem před vypršením platnosti předchozího CRL. Ve výchozím nastavení používá CA 12-hodinovou hodnotu překryvu: CRL má platnost 1 týden a nové CRL je publikováno s 12-hodinovým předstihem před vypršením platnosti předchozího CRL.

CA tedy vydává CRL dříve, než expiruje původní CRL a než potřebují závislé strany pro svou aktualizaci. Vzniká tak minimální doba, kterou má správce vždy k dispozici, aby uvedl do provozu CA a vydal nové CRL. Výchozí hodnota překryvu platnosti CRL nemusí být v praxi dostatečná pro efektivní zvládnutí havarijního stavu. Výchozí nastavení překryvu platnosti dvou po sobě publikovaných CRL lze prodloužit modifikací registry Windows, popř. použít utilitu certutil -setreg.

Jedná se o tyto konfigurační hodnoty:


CRLOverlapUnits - Určuje počet jednotek překryvu intervalů publikace CRL. (Časová

jednotka je určena parametrem CRLOverlapPeriod)

CRLDeltaOverlapUnits - Určuje počet jednotek překryvu intervalů publikace delta CRL.

(Časová jednotka je určena parametrem CRLDeltaOverlapPeriod).

CRLOverlapPeriod - Určuje časovou jednotku překryvu publikace CRL.

CRLDeltaOverlapPeriod - Určuje časovou jednotku překryvu publikace delta CRL.

Certifikační služba neakceptuje zcela libovolné nastavení uvedených parametrů. Udržuje některé limity, které nedovolí překročit. Vytváří také některé vzájemné závislosti mezi parametry. Jako nejjednodušší pravidlo lze uvést, že hodnota souběhu platnosti 2 po sobě jdoucích CRL (=překryv) nesmí být větší, než polovina doby platnosti CRL

Jako používané nastavení lze uvést příklady:

Publikování CRL každých 6 hodin, doba platnosti CRL 12 hodin; CRLOverlapUnits = 6.

(Min. 6 hodin na zprovoznění CA – dobré pro bezpečnost, nutno zvládnout provozní riziko).


(Min. 12 hodin na zprovoznění CA).


(Min. 24 hodin na zprovoznění CA – méně bezpečné, lepší pro provoz).

Další informace o konfiguraci překrývání doby životnosti CRL lze najít např. na: http://technet.microsoft.com/cs-cz/library/cc731104.aspx

Velmi dobrý popis výpočtu doby platnosti a překryvu platnosti CRL je uveden v: http://blogs.technet.com/b/pki/archive/2008/06/05/how-effectivedate-thisupdate-nextupdate-and-nextcrlpublish-are-calculated.aspx

Při větším počtu odvolávaných certifikátů se za nějakou dobu může zvětšit objem souboru s CRL tak, že jeho časté stahování závislými stranami může zatěžovat síťovou infrastrukturu. V takovém případě lze využít další mechanismus, podporovaný CA na platformě MS Windows Server: rozdílový seznam CRL, neboli delta CRL.

Delta CRL uvádí jen certifikáty, které byly odvolány od vydání posledního základního CRL. Jde proto obvykle o soubor poměrně malé velikosti. Závislá strana potřebuje k ověření platnosti certifikátu vždy aktuální základní CRL a také platné delta CRL. Delta CRL jsou vydávána častěji, než základní CRL; např. základní CRL je vydáváno s platností několika dní, zatímco delta CRL s platností 1 dne.

http://technet.microsoft.com/cs-cz/library/cc731104.aspx

http://blogs.technet.com/b/pki/archive/2008/06/05/how-effectivedate-thisupdate-nextupdate-and-nextcrlpublish-are-calculated.aspx

http://blogs.technet.com/b/pki/archive/2008/06/05/how-effectivedate-thisupdate-nextupdate-and-nextcrlpublish-are-calculated.aspx


Některé starší operační systémy anebo technická zařízení neumějí využít delta CRL a jsou schopny použít pouze základní CRL. Pokud mají být taková zařízení využívána, je nutno zvážit optimální délku platnosti základního CRL a použití delta CRL. Operační systémy podporují využití delta CRL od verze MS Windows XP Professional, resp. MS Windows Server 2003.

7.3.2.2 Nastavení intervalu publikace CRL

Nastavení intervalu publikace CRL a delta CRL se provádí pomocí konzoly pro správu CA. V kontextovém menu položky Odvolané certifikáty se zvolí Vlastnosti. Zobrazí se okno pro definici intervalu publikace CRL:

Obr. 20 Nastavení intervalu publikování CRL

V okně se nastaví interval publikování CRL, resp. delta CRL.

Pokud nemá být delta CRL publikováno, vyprázdní se pole Publikovat rozdílové seznamy CRL.

Interval platnosti CRL, popsaný v kapitole 7.3.2.1, nelze pomocí tohoto okna nastavit. Pokud je třeba změnit výchozí nastavení intervalu platnosti CRL, resp. delta CRL, je třeba provést to modifikací hodnot registry. Postupy pro nastavení intervalu platnosti CRL lze najít v: http://technet.microsoft.com/en-us/library/cc738468.aspx nebo také v: http://technet.microsoft.com/en-us/library/cc731104.aspx




7.3.2.3 Zobrazení CRL

V záložce Zobrazit seznamy CRL lze tlačítky Zobrazit seznam CRL, resp. Zobrazit rozdílový seznam CRL zobrazit okno s aktuálním CRL, resp. delta CRL:

Obr. 21 Okno s podrobnými informacemi o CRL

Informace o CRL se zobrazí v samostatném okně.

Okno má dvě záložky:

V záložce Obecné jsou uvedena popisná data CRL, kromě jiných např.:

Vystavitel – CA, která CRL vydala

Datum začátku platnosti – před uvedeným časem je CRL pokládáno za neplatné

Příští aktualizace – čas vypršení platnosti CRL; po tomto čase bude CRL pokládáno

za neplatné a závislé strany jej nebudou akceptovat pro ověření platnosti certifikátů.

(Závislé strany by si měly stáhnout nové CRL.)

Číslo seznamu CRL – každé CRL má své sekvenční unikátní číslo

Příští publikování seznamu CRL - čas, kdy CA bude publikovat další soubor s CRL

Umístění publikovaných seznamů CRL – (lze ovlivnit konfigurací, nemusí být v CRL

uvedeno). Tato informace je v CRL poněkud nadbytečná: pokud už se někdo k CRL

dostane, nepotřebuje většinou zjistit, kde se dá CRL získat. A pokud se k CRL


nedostane, pak tuto informaci z CRL nezjistí. Mnohem důležitější, než v CRL, je

uvádět distribuční místa CRL v certifikátech.

Indikátor rozdílového seznamu CRL – (pouze v delta CRL) – identifikátor base CRL,

k němuž je delta CRL vztaženo (jako přírůstek). Ověřující strana pak musí mít delta

CRL i (k němu příslušné) base CRL.

V záložce Seznam odvolání jsou uvedena sériová čísla odvolaných certifikátů, případně i

s důvodem odvolání jednotlivých certifikátů

7.4 AUTHORITY INFORMATION ACCESS (AIA)

AIA definuje místo, odkud si závislé strany mohou stáhnout certifikát certifikační autority. Závislé strany používají certifikát certifikační autority při ověřování platnosti vydaného certifikátu.

Aby závislé strany mohly zjistit, odkud si mají certifikát CA stáhnout, zapisuje CA hodnotu AIA do každého vydaného certifikátu. AIA je v certifikátu zapsáno jako jedna či několik URL, odkud lze stáhnout soubor s certifikátem CA.

V rámci domény s Active Directory je certifikát CA obvykle publikován do Active Directory, kde je dostupný protokolem LDAP. Jako sekundární distribuční kanál se často používá webový server, odkud je certifikát CA dostupný protokolem http. Po instalaci certifikační služby jsou AIA nastaveny takto:

%windir%\CertSrv\CertEnroll Používá se pro lokální uložení certifikátu CA; z tohoto

adresáře také publikuje certifikát CA lokální webový server.

ldap:///CN=CA%20DATAFIRMA,CN=AIA,CN=Public%20Key%20Services,CN=Services,C

N=Configuration,DC=datafirma,DC=cz?cACertificate?base?objectClass=certificationAuthori

ty – distribuce certifikátu CA prostřednictvím Active Directory

http://serv01.datafirma.cz/CertEnroll/serv01.datafirma.cz_CA%20DATAFIRMA.crt.

Distribuce certifikátu CA přes webový server. (Ve výchozím nastavení není distribuce skrze

webový server aktivována.)

protokol file: ; ve výchozím stavu není aktivován a obvykle není využíván.

Certifikát CA se ve výchozím nastavení automaticky publikuje do:

Active Directory – odkud je dostupný protokolem LDAP

Lokálního (systémového) adresáře – odkud jej umí propagovat lokální webový server

Distribuční místo certifikátu CA lze změnit ve vlastnostech certifikační služby, záložce Rozšíření – viz kapitolu 7.2.


Obr. 22 Okno pro nastavení AIA

Po instalaci certifikační služby lze doporučit provedení změny v nastavení AIA: využít instalovaného webového serveru a použít jej jako (sekundární) distribuční místo certifikátu CA: zvolit v seznamu adresu protokolu http a zaškrtnout pole Zahrnout do rozšíření AIA vydaných certifikátů. Ostatní nastavení položky Přístup k informacím autority (AIA) je pro výchozí konfiguraci dostačující.

7.5 ŠABLONY CERTIFIKÁTŮ

Certifikační služba, integrovaná do Active Directory, vydává certifikáty na základě tzv. šablon certifikátů.

Šablona je soubor vlastností, které definují jeden typ certifikátu. Mezi vlastnostmi, které šablona definuje, jsou např.:

Doba platnosti certifikátu

Zda mají být vydané certifikáty publikovány do AD

K jakému účelu mají být certifikáty použitelné (např.: elektronický podpis, přihlašování,

šifrování, …)

Jaké podmínky musí být splněny, aby na základě žádosti byl vydán certifikát

Kdo (který uživatel / skupina) může o certifikát požádat


Šablony se definují pro celou doménu, resp. pro forest. Všechny šablony jsou uloženy v Active Directory (nikoli v CA).

Spolu s instalací (první) certifikační autority je do Active Directory zapsána výchozí sada šablon, které lze okamžitě použít. Lze také definovat vlastní šablony, pro vlastní typy certifikátů.

Aby byla certifikační služba schopna vydávat daný typ certifikátu – podle určité šablony - musí být šablona v certifikační autoritě publikována. Publikace šablony se provádí pomocí konzoly pro správu CA, v podsložce Šablony certifikátů.

Po instalaci jsou publikovány tyto šablony:

Administrátor

Agent obnovení systému souborů EFS

Ověřování řadiče domény

Podřízená certifikační autorita

Počítač

Replikace adresářových služeb emailem

Uživatel

Webový server

Základní systém souborů EFS

Řadič domény

Problematika šablon certifikátů jde nad rámec tohoto dokumentu. Zjednodušeně lze popsat další postup práce se šablonami:

Promyslet, jaké typy certifikátů má certifikační autorita vydávat.

Ponechat v CA publikovány šablony těch typů certifikátů, které mají být vydávány, popř.

vytvořit a publikovat nové šablony.

Odstranit z CA šablony, které nemají být využívány. (Pomocí konzoly CA – Šablony CA –

označit šablonu – kontextové menu – Odstranit).

Další informace o šablonách certifikátů lze najít např. v: http://www.microsoft.com/en-us/download/details.aspx?id=19169

Odstranění nepoužívaných šablon je vhodné z bezpečnostních důvodů. Podle šablon, které nejsou publikovány v CA, nelze vydávat certifikáty. A naopak: nevhodné šablony, které jsou v CA publikovány, mohou být zneužity k vydání nežádoucích certifikátů. V CA by měly být publikovány pouze prověřené / schválené a používané šablony.

http://www.microsoft.com/en-us/download/details.aspx?id=19169


7.6 ROLE PRO SPRÁVU CERTIFIKAČNÍ AUTORITY

Certifikační služba rozeznává 4 druhy oprávnění:

Číst (Read) – čtení obsahu interní databáze CA;

Vydávat a spravovat certifikáty (Issue and Manage Certificates) – oprávnění pro správce

certifikátů, jejich povinností je např.:

Schvalovat / zamítat žádosti o certifikáty

Odvolávat certifikáty

Mazat certifikáty z interní databáze CA

Spravovat certifikační autoritu (Manage CA) – oprávnění správce certifikační autority; mezi

jeho povinnostmi je především konfigurovat a spravovat certifikační autoritu, vč. správy

oprávnění.

Vyžádat certifikáty (Enroll) – oprávnění žádat o certifikáty; obvykle přiděleno všem

autentizovaným uživatelům (Authenticated Users), podrobnější členění oprávnění se

provádí na úrovni jednotlivých šablon certifikátů.

Oprávnění se spravují prostřednictvím konzoly pro správu CA – viz kapitolu 7.2.

Ve výchozím nastavení mají skupiny Administrators, Domain Admins, Enterprise Admins nastavena oprávnění Vydávat a spravovat certifikáty a Spravovat certifikační autoritu. Skupina Authenticated Users má povoleno Vyžádat certifikáty.

Pro menší organizace, v nichž veškerou správu informačních technologií provádí malá skupina správců, je výchozí nastavení dostačující.

Ve větších organizacích se obvykle odděluje správa CA od správy certifikátů:

Správu CA provádějí správcové IT.

Správu certifikátů provádějí pracovníci, kteří vydávají certifikáty uživatelům a/nebo

odvolávají certifikáty: například pracovníci lidských zdrojů, pracovníci podpory apod…

Oddělení těchto rolí lze vynutit i technickými prostředky: aktivovat tzv. separaci rolí.

Další informace o rolích spojených s fungování certifikační autority lze najít např. v: http://technet.microsoft.com/en-us/library/cc732590.aspx



7.7 DISTRIBUCE KOŘENOVÉHO CERTIFIKÁTU CA

Závislé strany před použitím či akceptací prověřují důvěryhodnost a platnost certifikátu. Operační systém MS Windows napomáhá tomuto procesu tím, že v rámci něj fungují vestavěné funkce pro prověřování certifikátů.

Platnost certifikátu se ověřuje kryptograficky i kontrolou stavu odvolání certifikátu. Také důvěryhodnost certifikátu je ověřována technickými prostředky: předpokládá se, že uživatel důvěřuje vybraným certifikačním autoritám – a proto důvěřuje také certifikátům, které tyto certifikační autority vydaly. Seznam důvěryhodných certifikačních autorit je uložen v operačním systému; je rozlišován seznam důvěryhodných CA pro uživatele a pro počítač.

Zavedením certifikátu certifikační autority do seznamu důvěryhodných CA se vytvoří vztah důvěry uživatele či počítače k dané CA a ke všem certifikátům, vydaným z dané CA.

V případě vícevrstvé hierarchie certifikačních autorit se do seznamu důvěryhodných kořenových CA zavádí pouze certifikát kořenové CA dané hierarchie. Nastaví se tím vztah důvěry ke všem CA v dané hierarchii. Vztah důvěry k podřízeným CA si pak operační systém vytvoří automaticky: dohledá certifikáty CA pomocí jejich AIA (viz kapitolu 7.4).

Aby počítače a uživatelé důvěřovali nově instalované certifikační službě, je třeba její certifikát distribuovat do seznamů důvěryhodných CA. Pro distribuci certifikátu CA se obvykle využívá mechanismu skupinových politik (group policy) Active Directory.

Distribuce vztahu důvěry k certifikační autoritě, instalované podle tohoto dokumentu, se provede automaticky – jako součást instalačního procesu. Prostředky domény zajistí automatickou distribuci certifikátu CA na všechny doménové počítače – v rámci aktualizace doménových politik.

Subjektům, které nepodléhají doménovým politikám (např. externí subjekty), je třeba certifikát kořenové certifikační autority distribuovat jinými prostředky, např. vystavením certifikátu na webový server, který je externím subjektům dostupný. Externisté si v takovém případě musí zavedení certifikátu do seznamu důvěryhodných CA provést ručně.

Další informace o distribuci vztahu důvěry k certifikátům CA lze najít např. v: http://technet.microsoft.com/en-us/library/cc754841.aspx



8 PROVOZ A SPRÁVA CERTIFIKAČNÍ

AUTORITY

Po instalaci, příp. konfiguraci je certifikační služba funkční. Pro udržení CA v provozu není třeba vkládat mnoho úsilí – certifikační služba nevyžaduje neustálou obsluhu.

Na provoz certifikační autority je v organizacích obvykle navázána řada procesů či aplikací. Proto je třeba CA udržet v prakticky nepřetržitém provozu – alespoň kvůli vydávání CRL (viz kapitolu 7.3). V následujících podkapitolách jsou stručně naznačeny základní kroky pro správu a provoz CA na platformě MS Windows Server.

Další informace o správě certifikační služby lze najít např. na: http://technet.microsoft.com/en-us/library/cc772011.aspx nebo na http://technet.microsoft.com/en-us/library/cc737233.aspx .

Užitečným nástrojem pro správu certifikátů i CA je také utilita certutil.exe, viz např.: http://technet.microsoft.com/en-us/library/cc772898.aspx

8.1 ZASTAVENÍ A SPUŠTĚNÍ CERTIFIKAČNÍ SLUŽBY

Certifikační autorita běží v OS jako služba Windows. Její zastavení / spuštění je možné např.

pomocí konzoly pro správu CA (viz kapitola 7.1)

nebo pomocí konzoly pro správu služeb Windows (services.msc), její jméno je Služba AD

CS (interní identifikátor služby je CertSvc).

Obr. 23 Tlačítka pro spuštění a zastavení CA v konzole pro správu CA

Pokud certifikační autorita neběží,

nepřijímá žádosti o certifikáty,

nevydává certifikáty,

neumožňuje schvalovat žádosti o certifikáty,

nevydává seznam odvolaných certifikátů (CRL).





8.2 ZJIŠTĚNÍ STAVU PKI V DOMÉNĚ

Pomocí konzoly PKIView.msc lze jednoduše a přehledně zjistit stav („zdraví“) všech komponent PKI v doméně: certifikačních autorit, distribučních míst CRL, distribučních míst certifikátů CA, apod…

Konzolu lze spustit: Start - Spustit - pkiview.msc anebo přidáním snap-in Infrastruktura veřejných klíčů rozlehlé sítě do konzoly MMC.

Obr. 24 Okno konzoly PKIView.msc

V okně konzoly se přehledně zobrazují základní informace o všech CA, integrovaných do domény. Z této konzoly lze také spustit správcovskou konzolu zvolené CA.

Výhoda a efektivita použití této konzoly se ukáže především v doménách s bohatší hierarchií certifikačních autorit.

Další informace o konzole PKIView.msc lze najít např. na: http://blogs.technet.com/b/pki/archive/2011/02/28/quick-check-on-adcs-health-using-enterprise-pki-tool-pkiview.aspx

8.3 MIMOŘÁDNÉ VYDÁNÍ SEZNAMU ODVOLANÝCH

CERTIFIKÁTŮ

Vydávání CRL probíhá v pravidelných intervalech. Existují situace, kdy je vhodné vydat nové CRL mimo termín pravidelné publikace. Jedním z praktických důvodů je plánovaná odstávka certifikační služby. Aby v průběhu odstávky nedošlo k expiraci seznamu odvolaných certifikátů, vydá se CRL těsně před zahájením odstávky. (V případě delší odstávky se také někdy dočasně navýší interval platnosti CRL – viz také kapitolu 7.3.2.)

Vynucená (manuální) publikace CRL se vyvolá v konzole pro správu CA, v kontextovém menu položky Odvolané certifikáty. V menu se zvolí položka Všechny úkoly Publikovat.

http://blogs.technet.com/b/pki/archive/2011/02/28/quick-check-on-adcs-health-using-enterprise-pki-tool-pkiview.aspx

http://blogs.technet.com/b/pki/archive/2011/02/28/quick-check-on-adcs-health-using-enterprise-pki-tool-pkiview.aspx


Obr. 25 Manuální publikace CRL

V praxi s tímto způsobem obvykle vynutí publikace základního (base) CRL. Výběrem položky Pouze rozdílový seznam CRL lze vynutit také vydání delta CRL.

Důsledky manuálního vydání CRL jsou zcela shodné, jako vydání automatického: certifikační služba nejen soubor CRL vytvoří, ale také publikuje na všechna definovaná úložiště.

8.4 ZÁLOHOVÁNÍ CA

Data certifikační služby je třeba zálohovat, aby např. v případě havárie hostitelského operačního systému bylo možno funkce certifikační autority obnovit.

Certifikační autorita vytváří a udržuje z pohledu záloh 2 základní druhy dat:

Privátní klíče a certifikáty CA

Interní databáze a žurnál databáze CA

Každý z těchto druhů dat vyžaduje jinou zálohovací strategii. Privátní klíč s certifikátem CA je potřeba zálohovat vždy po jejich vzniku a zálohu uložit na bezpečné místo. Během života klíče a certifikátu CA není potřeba provádět opětovnou zálohu. Naproti tomu interní databázi CA je třeba zálohovat pravidelné, protože jsou do ní průběžně zapisovány žádosti o certifikáty, vydané certifikáty apod…

Pokud není databáze CA zálohována a dojde k havárii a ztrátě dat, nelze např. odvolat certifikáty, které nejsou uloženy v interní databázi CA! Takové certifikáty je nutno do databáze CA vložit. Společnost Monet+ dodává nástroj Save and Recovery System pro online zálohování dat CA do externí SQL databáze. Součástí tohoto systému je také nástroj na obnovu dat zpět do interní databáze CA.


8.4.1 Zálohování CA pomocí grafického průvodce

Průvodce zálohování CA se spouští z konzoly pro správu CA. V kontextovém menu položky představující název CA se zvolí položka Všechny úkoly Zálohovat certifikační autoritu ....

Obr. 26 Spuštění Průvodce zálohováním CA

8.4.1.1 Zálohování soukromého klíče CA

Grafický průvodce nejprve zobrazí uvítací okno.

Obr. 27 Průvodce zálohováním CA - uvítání

V dalším kroku se volí komponenta, která má být zálohována – v tomto případě privátní klíč a certifikát CA. Dále je třeba definovat cestu k adresáři, do nějž má být záloha uložena.

Certifikát certifikační autority je postupem času obnovován. Spolu s obnovou certifikátu je obvykle generován také nový pár klíčů CA. Záloha klíče CA pak v sobě obsahuje všechny klíče a certifikáty CA.


Obr. 28 Průvodce zálohováním CA - volba zálohované komponenty

V dalším kroku se uvádí heslo, jímž má být záloha klíčů zašifrována. Je třeba zvolit silné heslo, aby ochrana zálohy s klíčem byla dostatečná! Šifrovací heslo je třeba příslušným způsobem zálohovat a chránit, nejlépe odděleně od souboru se zálohou. Přístup k heslu by měly mít pouze pověřené osoby.

Obr. 29 Průvodce zálohováním CA - zadání hesla, který bude záloha klíčů zašifrována

V posledním kroku je uvedena sumarizace údajů. Tlačítkem Dokončit se provede záloha klíče s certifikátem CA.


Obr. 30 Průvodce zálohováním CA - průvodce připraven k provedení zálohy

Soubor se zálohou klíčů je nutno chránit a uchovávat na střeženém místě! Pokud by došlo ke zcizení a dešifrování zálohy, mohl by si útočník rekonstruovat certifikační autoritu a vydávat podvržené certifikáty či CRL!

8.4.1.2 Zálohování interní databáze CA

Počáteční fáze zálohování interní databáze je totožná s předchozím scénářem (viz 8.4.1.1). V kroku, kde se volí komponenta, která má být zálohována, se zvolí Databáze certifikátů a protokol databáze certifikátů. Dále je třeba definovat cestu k adresáři, do nějž má být záloha uložena.


Obr. 31 Záloha interní DB CA

V posledním kroku je uvedena sumarizace údajů. Tlačítkem Dokončit se provede záloha interní databáze CA.

Obr. 32 Sumarizace nastavení zálohování CA

8.4.2 Zálohování CA pomocí řádkové utility certutil.exe

Zálohování privátního klíče se obvykle provádí jedenkrát za dlouhé období (odpovídá intervalu obnovy certifikátu CA). Grafický průvodce je pro takovou operaci vhodným nástrojem. Naproti tomu, zálohu interní databáze je třeba dělat pravidelně, obvykle v intervalu jednotek dnů (typicky denně). Pro takový typ zálohování není grafický průvodce příliš vhodný – lepší je bezobslužný nástroj, který lze skriptovat a spouštět automaticky, např. plánovačem úloh.

Zálohu privátního klíče i interní databáze CA lze provádět pomocí utility certutil.exe. Utilita se spouští z příkazového řádku s parametry.

Výstupy zálohování, vytvořené pomocí certutil.exe jsou zcela shodné s výstupem zálohování grafickým průvodcem. Lze je proto vzájemně nahrazovat či kombinovat.

8.4.2.1 Kompletní záloha CA (interní DB i klíč)

Certutil –backup <cesta k adresáři>


Obr. 33 Kompletní záloha CA pomocí certutil.exe

8.4.2.2 Zálohování soukromého klíče CA

Certutil -backupkey <cesta k adresáři>

8.4.2.3 Zálohování interní databáze CA

Certutil -backupdb <cesta k adresáři>

Další informace o použití certutil.exe lze najít např. na: http://technet.microsoft.com/en-us/library/cc732443%28v=ws.10%29.aspx

8.4.3 Záloha dalších nastavení certifikační služby

V zásadě existují dvě různé varianty, jak provést kompletní zálohu certifikační služby tak, aby ji bylo možno relativně snadno obnovit po destrukci hostitelského serveru:

Provedení kompletní zálohy operačního systému (System State Backup)

Zálohování klíče s certifikátem CA, interní databáze a registry CA

Každá z těchto variant má výhody a nevýhody:

Hlavní výhodou provedení system state backup je jednoduchost provedení – záloha a

následná obnova kompletního systému. Nevýhodou je nutnost provést obnovu na

identickém či velmi podobném hardware.

Záloha jednotlivých sub-komponent je trochu složitější na provedení, dává však možnost

obnovit funkce CA na jiném hardware.

http://technet.microsoft.com/en-us/library/cc732443%28v=ws.10%29.aspx


Záloha system state backup (ve výchozím nastavení) na operačních systémech MS Windows Server 2008 nebo 2008 R2 nezálohuje soukromý klíč certifikační služby! Viz také http://support.microsoft.com/kb/2603469

Při zálohování po sub-komponentách je třeba kromě zálohy klíče s certifikátem CA a zálohy interní databáze CA zálohovat také konfiguraci CA, uloženou v registry: HKLM\System\CurrentControlSet\Services\CertSvc\Configuration Záloha podstromu registry se provede exportem do souboru.

8.5 OBNOVA CA PO HAVÁRII ČI DESTRUKCI

Po havárii hostitelského serveru je třeba provést obnovu certifikační služby na nové hostiteli. Postup obnovy je závislý na způsobu zálohování.

Pokud se záloha CA prováděla pomocí system state backup, je třeba

instalovat operační systém

provést obnovu systému ze zálohy; obnoví:

klíče a certifikáty CA (viz také kapitolu 8.4.3!)

nastavení certifikační služby

databázi CA

Pokud byla záloha CA prováděna po sub-komponentách, je třeba zvolit následující postup:

Instalace operačního systému na nový hardware

Zavést hostitelský server do domény

Instalovat znovu certifikační službu; v průběhu instalace je nutno zvolit použití existujících

klíčů a načíst soubor se zálohou klíčů a certifikátů CA.

Zastavit certifikační službu

Obnovit konfiguraci CA ze zálohy registry

HKLM\System\CurrentControlSet\Services\CertSvc\Configuration

Obnovit databázi certifikační služby ze zálohy

Data interní databáze CA obnovit z uložených záloh pomocí

Grafického průvodce

Utility certutil.exe

Oba způsoby jsou z pohledu funkčnosti rovnocenné. Jsou popsány v následujících podkapitolách.

8.5.1 Obnova databáze CA pomocí grafického průvodce

Průvodce obnovením certifikační autority lze spustit z konzoly pro správu certifikační služby, např. pomocí kontextového menu položky představující název CA. Zde se zvolí položka Všechny úkoly Obnovit certifikační autoritu ...

http://support.microsoft.com/kb/2603469


Obnovu CA nelze provést při spuštěné CA. Během obnovy je tedy CA automaticky zastavena.

Grafický průvodce nejprve zobrazí uvítací okno.

Obr. 34 Úvodní obrazovka Průvodce obnovením CA

V dalším kroku se zvolí komponenta, která má být obnovena – v tomto případě Databáze certifikátů a protokol databáze certifikátů. Dále je třeba definovat cestu k adresáři, z nějž má být databáze obnovena.


Obr. 35 Obnova interní databáze CA a volba adresáře

V posledním kroku je uvedena sumarizace údajů. Tlačítkem Dokončit se provede záloha klíče s certifikátem CA.

Obr. 36 Sumarizace nastavení před započetím obnovy

Po úspěšné obnově interní databáze CA je možné nastartovat certifikační autoritu nebo pokračovat v obnově dalších dat z přírůstkových záloh.


Obr. 37 Spuštění CA po obnově ze zálohy

8.6 OBNOVA CERTIFIKÁTU CA

Certifikát CA je obvykle vydáván s platností v řádu 5 a více let. V době, kdy je zbývající platnost tohoto certifikátu kratší, než je doba, na kterou jsou standardně vydávány klientské certifikáty je nutné provést obnovu certifikátu CA, tzn. že je vydán nový certifikát CA. Tato obměna je obvykle spojena s generováním nových klíčů CA.

Pokud není včas provedena obnova certifikátu CA, dochází ke zkracování doby platnosti vydávaných certifikátů této CA. Tím je zachováno pravidlo, že vydané certifikáty nikdy nepřesáhnou svou platností dobu platnosti certifikátu CA.

Po obnově certifikátu CA vznikne v organizaci situace, kdy jsou mezi uživateli certifikáty, vydané z dvou (či více) certifikačních autorit (přesněji, podepsané soukromým klíčem, patřícím k různým certifikátům téže CA).

Souběh několika platných certifikátů CA je běžný stav, který není nutné explicitně řešit. Je však nutné počítat s povinnostmi z toho plynoucími. I když původní certifikát již není nadále používán pro vydávání nových certifikátů, je nutné jej spolu s jeho klíči v systému udržovat alespoň po dobu jeho platnosti. Tento certifikát musí i nadále vydávat své CRL, aby certifikáty uživatelů původní CA byly i nadále platné.

V případě souběhu více platných certifikátů téže CA vydává CA několik seznamů odvolaných certifikátů (=souborů CRL). Soubory s CRL jsou v názvu navzájem odlišeny číselným indexem, např. CA DATAFIRMA.crl, CA DATAFIRMA(1).crl, CA DATAFIRMA(2).crl, atd… Obdobným způsobem jsou odlišeny soubory s certifikáty CA: serv01.datafirma.cz_CA DATAFIRMA.crt, serv01.datafirma.cz_CA DATAFIRMA(1).crt, atd…

V následujících podkapitolách je popsán mechanismus obnovy certifikátu kořenové CA. Postup obnovy je platný i pro CA, instalovanou postupem, uvedeným v tomto dokumentu. V případě hierarchie certifikačních autorit je postup obnovy certifikátu podřízené CA složitější:

Na podřízené CA se vygeneruje pár klíčů a žádost o certifikát; žádost se uloží do souboru.

Soubor s žádostí o certifikát se doručí do nadřízené CA, která vydá certifikát. Certifikát se

uloží do souboru.

Soubor s certifikátem se importuje / instaluje do podřízené CA.


8.6.1 Obnova certifikátu CA pomocí grafického průvodce

Certifikát CA lze obnovit z konzoly pro správu CA v kontextovém menu položky představující název CA. Zde se zvolí položka Všechny úkoly Obnovit certifikát certifikační autority ....

Obr. 38 Kontextové menu pro spuštění procesu obnovy certifikátu CA

V průběhu obnovy certifikátu CA nesmí být certifikační služba aktivní. Obnova certifikátu CA vyžaduje zastavení služby AD CS:

Obr. 39 Výzva k zastavení služby AD CS

V okně průvodce obnovou certifikátů je třeba zvolit, zda se pro obnovený certifikát má vygenerovat nový pár klíčů (doporučeno):

Obr. 40 Průvodce obnovou certifikátu CA


Po úspěšné obnově se CA automaticky nastartuje a nový certifikát se objeví v seznamu certifikátů certifikační autority:

Obr. 41 Přehled certifikátů CA ve vlastnostech CA

8.6.2 Obnova certifikátu CA pomocí certutil.exe

Obnovu certifikátu certifikační autority lze provést také z příkazové řádky pomocí utility certutil.exe:

certutil –renewCert

V případě, že není žádoucí vygenerovat nový pár klíčů, ale má se použít předchozí pár klíčů, použije se přepínač:

certutil –renewCert ReuseKeys

Obnova pomocí certutil.exe vyžaduje provést restart certifikační služby. To je možné provést pomocí konzole pro správu certifikační autority nebo z konzole správy služeb (services.msc).

Documents

Aktivace a správa certifikační autority v doméně MS …...TECHNICKÝ POPIS AKTIVACE A SPRÁVA CERTIFIKAČNÍ AUTORITY V DOMÉNĚ MS WINDOWS AUTOR MONET+, a. s. Za Dvorem 505,