Embed Size (px)
DESCRIPTION
Евгений Павленко – практикующий специалист по технологиям Microsoft – о самых важных задачах, которые можно решить при помощи AD CS, включая внедрение HTTPS, настройку VPN и построение IPSec-туннелей.
Citation preview
Windows Server 2012: учимся безопасности передачи данных с помощью AD СS
Евгений Павленко 16 сентября 2013
ведущий:
Что такое PKI
Инфраструктура открытых ключей (PKI) используется для распространения и управления цифровыми сертификатами
PKI включает в себя следующие основные компоненты: • Центр сертификатов (CA) • Списки отзыва сертификатов (CRL) • Средства управления • Сертификаты
Что такое AD CS
Служба сертификации Active Directory (AD CS) выполняет следующие действия:
• Предоставляет центр сертификации
• Предоставляет инструменты для автоматизированного и ручного управления сертификатов
• Предоставляет услуги отзыва сертификата
• Интегрирует центр сертификации с AD DS
Примеры использования
• Шифрование веб-трафика (HTTPS)
• Построение IPSec-туннелей
• Шифрование файлов (EFS)
• Построение VPN-соединений
• Авторизация пользователя
• Шифрование электронных писем
AD DS и AD CS тесно интегрируются одним из следующих способов:
• Сертификаты пользователей и компьютеров могут автоматически генерироваться
• Сертификаты для компьютеров и пользователей могут храниться в AD DS
• C помощью параметров групповой политики можно предоставлять списки отзыва сертификатов, настройки доверительных сертификатов, политику автоматической выдачи сертификатов и т. д.
Интеграция AD DS и AD CS
Центр сертификатов
Центр сертификатов (ЦС) – это сервер, который выдаёт сертификаты:
• Для пользователя
• Для компьютера
• Для сервиса
Сертификаты подтверждают личность и другие атрибуты
хозяина сертификата другим лицам
Иерархия ЦС
Иерархия ЦС состоит из корневого центра сертификации и одного или более уровней подчиненных центров сертификации
Причины развертывания более одного сервера в иерархии УЦ:
• Цели использование
• Организационные подразделения
• Географические подразделения
• Балансировка нагрузки
• Высокая доступность
• Разграничить административный доступ
Сравнение Enterprise СA и Stand-Alone
Enterprise Stand-Alone
Можно использовать без AD DS ü
Публикует сертификаты и CRL в AD DS ü
Можно автоматически генерировать Subject Name ü
Можно использовать шаблоны сертификатов ü
Может быть использован для создания сертификатов смарт-карт сертификатов для аутентификации в домене
ü
Можно использовать автоматическую регистрацию ü
Что такое сертификат
Сертификат – это файл, который состоит из двух частей • Открытые ключи распространяются на всех клиентов,
которые просят ключ • Закрытые ключи хранятся только на компьютере, на
котором они были сгенерированы
Информация о сертификате Публичный ключ
Получение сертификата
Публичный ключ
Приватныйключ
Параключей
запрос на подпись сертификата
Публичный Ключ
Информацияо субъекте
Сертификат
Как работает пара ключей
Зашифрован
Отправитель Получатель
Текст Текст
Шифрование Дешифрование
Публичный ключ
Приватный ключ
Что такое шаблон сертификата?
Шаблоны сертификатов:
• Описывают, какие сертификаты могут быть выданы ЦС • Описывают, для каких целей используется сертификат • Определяют, какие права у пользователя/компьютера есть
Методы выдачи сертификатов
• Веб-выдача
• Ручная выдача
• Автоматическая выдача
Отзыв сертификата происходит, когда сертификат необходимо отозвать до истечения его срока жизни
Клиенты могут узнать, не был ли отозван сертификат, с помощью следующих методов:
• Online Certificate Status Protocol (OCSP) • Списки отзыва сертификатов (CRL)
