ТОП-10 популярных


НОУТБУК с блестящим экраном
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...


Для работы с вещественными числами в MySQL предусмотрено три типа данных - это типы FLOAT, DOUBLE, DECIMAL. Числовой тип FLOAT...

Магнито-оптический дисковод DynaMO
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...

БОЛЬШЕ БОЛЬШИХ LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...

Больше больших LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...


Какую только информацию мы не помещаем на компакт-диски: резервные копии важных данных, музыку, фильмы... Многие полагают, что главное - «купить...

Иди и пиши. TravelMate C100
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...

Размер объему не помеха.
С тех пор как компания Fujitsu отказалась от производства жестких дисков для настольных компьютеров, многие пользователи начали забывать о том,...

ПОД ЛИТЕРОЙ «N»
Aтаку LCD-мониторов не остановить, а масштабы этого наступления даже немного пугают. Судите сами — многие пользователи только начинают приглядываться к новому для...

Internet2, или cтарые песни о новом
Когда-то на заре Интернета, тогдаеще военно-научной сетиAPRAnet, были заложены основныепринципы функционирования«Сети сетей». В их числе — использованиепротокола, называемого сейчасIPv4. В...

Спонсор статьи: Дома и земельные участки в лужки www.land-aspect.ru/lands/luzhki/.

Microsoft Exchange Server 2003. Смарт-карты в инфраструктуре PKI


28-12-2009

Надежное решение для инфраструктуры PKI может получиться, если предоставить пользователям возможность аутентификации с помощью смарт-карт. Смарт-карты - это компактные устройства со встроенным микропроцессором, который позволяет хранить информацию, уникальную для каждой смарт-карты. Регистрационная информация пользователя (имя, пароль), а также сертификаты, установленные с сервера CA, также могут быть занесены на смарт-карту. Когда пользователю нужно войти в систему, он помещает смарт-карту в устройство считывания или просто проводит ею возле него. Сертификат считывается и у пользователя запрашивается только персональный идентификационный номер (PIN), который присвоен каждому пользователю. После того, как PIN-код и сертификат сверены, пользователь может войти в домен.

 Смарт-карты также могут применяться в качестве дополнений к паролям. Например, строгие пароли могут использоваться в дополнение к PIN-кодам, если политика безопасности на предприятии предъявляет очень жесткие требования к аутентификации. 

Смарт-карты имеют очевидные преимущества перед традиционными способами аутентификации. Теперь уже невозможно просто подсмотреть или угадать чей-то пароль и имя пользователя, поскольку это имя может быть введено только с помощью уникальной смарт-карты. Если смарт-карта украдена или утеряна, ее можно немедленно деактивизировать, а сертификат отменить. Но даже если действующая смарт-карта попадает в чужие руки, все равно для входа в систему потребуется вводить PIN-код. Смарт-карты быстро становятся более приемлемым способом интеграции сертификатов и PIN-кодов в организациях.
Регистрация сертификатов
Прежде чем пользователи смогут подписывать и шифровать сообщения, они должны получить сертификаты. Каким образом пользователи их получают, зависит от принятой в организации политики, процедур и инфраструктуры, ориентированной на поддержку служб сертификации. Если предприятие использует службы сертификации Windows Server 2003, пользователь может получать сертификаты следующими способами:
• Авто-регистрация.
• Применение смарт-карт.
• Использование Web-формы регистрации.
• Использование консоли MMC.

При использовании служб сертификации Windows Server 2003 (PKI), открытые ключи хранятся в Active Directory, что позволяет пользователям AD шифровать сообщения, предназначенные для других пользователей AD. С другой стороны, секретные ключи обычно хранятся на пользовательском компьютере или на смарт-карте.

Для запроса сертификата с помощью консоли MMC необходимо выполнить перечисленные ниже шаги.
1. Введите certmgr.msc в окне запуска программ, которое доступно через пункт Run (Выполнить) меню Start.
2. В диалоговом окне оснастки Certificate Manager (Диспетчер сертификатов) консоли MMC разверните ветвь Certificates - Current User (Сертификаты - Текущий пользователь).
3. Щелкните правой кнопкой мыши на папке Personal (Персональная) и выберите в контекстном меню пункт All Tasks (Все задачи), а затем пункт Request New Certificate (Запрос нового сертификата) .
4. Щелкните на кнопке Next в мастере запроса нового сертификата Certificate Request Wizard и на следующем экране мастера выберите сертификат User (Пользователь). Важно заметить, что эти сертификаты должны быть сделаны доступными для пользователей. Исчерпывающую информацию по этому поводу можно получить в разделе "Настройка шаблонов сертификатов" данной главы.
5. Щелкните на кнопке Next и введите описательное имя сертификата.
6. Щелкните на кнопке Next, а затем на ккнопке Finish. 
В диалоговом окне оснастки Certificate Manager консоли MMC щелкните на папке Certificates (Сертификаты), расположенной в папке Personal, чтобы отобразить сертификаты, выданные текущему пользователю, как показано на рис. 13.6.
Смарт-карты в инфраструктуре PKI
Для просмотра сертификатов, которые были выданы пользователю, можно применять и ос­настку Active Directory Users and Computers (Пользователи и компьютеры Active Directory) консоли MMC. Выберите пункт Advanced Features (Дополнительные возможности) в меню View (Вид) этой оснастки и затем выполните двойной щелчок на конкретном пользователе. Сертификаты отображаются на вкладке Published Certificates (Опубликованные сертификаты), как можно видеть на рис. 13.7.

Понравился материал? Поделитесь с друзьями!



<< Предыдущая статьяСледующая статья >>
Microsoft Exchange Server 2003. Шаблоны сертификатов Microsoft Exchange Server 2003. Поддержка S/MIME