ТОП-10 популярных


НОУТБУК с блестящим экраном
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...


Для работы с вещественными числами в MySQL предусмотрено три типа данных - это типы FLOAT, DOUBLE, DECIMAL. Числовой тип FLOAT...

Магнито-оптический дисковод DynaMO
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...

БОЛЬШЕ БОЛЬШИХ LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...

Больше больших LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...


Какую только информацию мы не помещаем на компакт-диски: резервные копии важных данных, музыку, фильмы... Многие полагают, что главное - «купить...

Иди и пиши. TravelMate C100
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...

Размер объему не помеха.
С тех пор как компания Fujitsu отказалась от производства жестких дисков для настольных компьютеров, многие пользователи начали забывать о том,...

ПОД ЛИТЕРОЙ «N»
Aтаку LCD-мониторов не остановить, а масштабы этого наступления даже немного пугают. Судите сами — многие пользователи только начинают приглядываться к новому для...

Internet2, или cтарые песни о новом
Когда-то на заре Интернета, тогдаеще военно-научной сетиAPRAnet, были заложены основныепринципы функционирования«Сети сетей». В их числе — использованиепротокола, называемого сейчасIPv4. В...

Microsoft Exchange Server 2003. Службы сертификации в Windows Server 2003


28-12-2009

Система Windows Server 2003 включает встроенный центр сертификации (Certificate Authority - CA), также известный под названием служб сертификации (Certificate Services). Службы сертификации могут использоваться для создания сертификатов и последующего управления ими, они отвечают за их действительность. Службы Certificate Services могут применяться для проверки внешних PKI, таких, как PKI независимых поставщиков, для расширения сервиса и защиты взаимодействия с другими организациями.
Тип центра сертификации, который вы устанавливаете и настраиваете, зависит от цели или целей, для которых предназначена инфраструктура Windows Server 2003 PKI. Службы сертификации Windows Server 2003 могут быть установлены в качестве центра сертификации одного из типов, перечисленных ниже.
Службы сертификации в Windows Server 2003
• Enterprise Root Certification Authority (Корневой центр сертификации предприятия). Это наиболее доверяемый центр сертификации в организации, и он должен быть установлен до всех других центров CA. Все остальные центры CA на предприятии подчиняются корневому центру CA. Корневой центр сертификации по умолчанию хранит свои сертификаты в Active Directory (AD).
• Enterprise Subordinate Certification Authority (Подчиненный центр сертификации предприятия). Подчиненный центр сертификации предприятия должен получить сертификат от корневого центра CA, а затем выдать сертификаты всем пользователям и компьютерам на предприятии. Центры CA этого типа часто применяются для разгрузки корневого CA и, что более важно, их применение обеспечивает большую степень защиты инфраструктуры PKI.
• Standalone Root Certification Authority (Автономный корневой центр сертификации). Такой центр CA является корнем иерархии, не связанной с доменной информацией предприятия и поэтому его сертификаты не хранятся в AD. Для различных целей может быть установлено множество автономных центров CA.
• Standalone Subordinate Certification Authority (Автономный подчиненный центр сертификации). Этот центр CA получает сертификат от автономного корневого центра CA и может быть впоследствии задействован для выдачи сертификатов пользователям и компьютерам, связанным с отдельным центром CA.
Инфраструктура Windows Server 2003 PKI может работать как в оперативном, так и в автономном режиме. Ключевое отличие между ними состоит в требуемом уровне защиты, который необходим предприятию. 
Корневой центр сертификации предприятия наиболее универсален в Windows Server 2003, поскольку он тесно интегрирован с AD и предоставляет больше услуг, связанных с сертифи­кацией. Если вы не можете решить, какой тип CA использовать, выберите корневой или подчиненный CA предприятия для среды обмена сообщениями. Однако, более важно то, что для любой инфраструктуры PKI должно быть проведено тщательное планирование и проектирование.
Планирование инфраструктуры PKI
Как упоминалось ранее, любая реализация PKI требует тщательного планирования и проектирования. Ниже перечислены возможные принципы планирования и проектирования.
• Межнациональные правовые соглашения, включая формальное положение о практической выдаче сертификатов (Certificate Practice Statement - CPS).
• Политики и процедуры выдачи, отмены и приостановки действия сертификатов.
• Аппаратная идентификация и стандартизация PKI, включая опознавание сотрудников по жетонам.
• Определение иерархической административной модели CA.
• Создание избыточной инфраструктуры CA, основанной на географическом расположении.
• Политики и процедуры создания центров CA, подчиненных более крупной иерархии.
• Политики и процедуры создания центров регистрации (Registration Authority -RA) и внедрение их в иерархию CA.
• Доверительные стратегии CA.
• Политики и процедуры поддержки CA по схеме "7 дней в неделю, 24 часа в сутки, 365 дней в году".
• Политики и процедуры управления ключами и сертификатами, включая (но не ограничиваясь) длину ключа, алгоритм шифрования, срок действия сертификатов, их обновление, требования к хранению и так далее.
• Политики и процедуры обеспечения безопасности инфраструктуры PKI.
• Планы обеспечения высокой степени работоспособности и восстанавливаемости.
• Политики и процедуры по интеграции CA со службой каталогов LDAP и/или Active Directory.
• Политики и процедуры интеграции с существующими приложениями.
• Политики и процедуры на случай инцидентов, связанных с безопасностью (например, массовое аннулирование сертификатов).
• Политики и процедуры делегирования административных прав.
• Стандарты аудита и отчетности PKI.
• Политики и процедуры передачи управления. 
• Стандарты на длину ключей и устаревания сертификатов.
• Политики и процедуры на случай утери сертификатов (например, смарт-карты).
• Политики и процедуры безопасной передачи открытых ключей CA конечным пользователям.
• Политики и процедуры регистрации (например, автоматическая регистрация).
• Политики и процедуры включения внешних пользователей и компаний.
• Процедуры применения шаблонов сертификатов.
Как видно из приведенного выше списка, реализация инфраструктуры PKI является не столь уж простым делом. Даже если предприятие реализует PKI только для расширения функций системы обмена сообщениями Exchange Server 2003, соответствующие мероприятия должны быть тщательно спланированы и спроектированы.

Понравился материал? Поделитесь с друзьями!



<< Предыдущая статьяСледующая статья >>
Microsoft Exchange Server 2003. Безопасность транспортного уровня Microsoft Exchange Server 2003. Установка служб сертификации