Шифрование

Создание собственного бюро сертификатов

Теперь рассмотрим процесс создания собственного бюро сертификатов.

Выбор типа бюро сертификатов

В WS03 можно выбрать два типа серверов бюро сертификатов. Между ними существуют определенные различия, и каждый из серверов используется лишь в определенных обстоятельствах.

• Корпоративное бюро сертификатов. Требует наличия Active Directory. Этот вариант является более автоматизированным, но такое бюро сертификатов не пользуется доверием браузеров и, как правило, используется в интрасетях. Его можно установить, например, для работы со смарт-картами.
• Отдельное бюро сертификатов. Менее автоматизированный вариант, не требует наличия Active Directory и поэтому не создает лишних угроз безопасности. Такие бюро сертификатов обычно используются для издания интернет-сертификатов либо при отсутствии Active Directory.

Первое, что нужно сказать о корпоративном бюро сертификатов – для него требуется Active Directory. Польза от корпоративного бюро сертификатов выходит за рамки IIS; например, его можно использовать при входе в домен, а при работе со смарт-картами его установка является обязательной. Отсюда следует вывод, что корпоративное бюро сертификатов не подходит для издания сертификатов в интернете и для других внешних ресурсов, поскольку это связано с потенциальной угрозой безопасности домена Active Directory. С другой стороны, бюро сертификатов корпоративного типа подходят для внутреннего выпуска сертификатов в интрасети. При получении запроса корпоративное бюро сертификатов принимает решение о выпуске или отклонении сертификата, в зависимости от параметров безопасности Active Directory. Пользователи выполняют запрос сертификаты из консоли MMC Certificates (Сертификаты) либо через Certification Authority Web Enrollment (Регистрация бюро сертификатов в интернете). Подробно об этом рассказано в разделе "Отправка запроса в собственное бюро сертификатов". Список отклонения сертификатов содержится в Active Directory, а также в общей папке.

Отдельное бюро сертификатов не требует установки Active Directory. По этой причине с ним удобней работать. Оно не производит автоматический выпуск или отклонение сертификатов, вместо этого помечает запрос как обрабатываемый. Сертификаты, издаваемые в отдельном бюро сертификатов, не используются при входе в домен или при работе со смарт-картами. Пользователи запрашивают сертификаты только в Certification Authority Web Enrollment по умолчанию. Список отклонения сертификатов для отдельного бюро сертификатов публикуется в общей папке.

Корневые и подчиненные бюро сертификатов

Вам необходимо также принять решение о том, какое бюро сертификатов устанавливать – корневое или подчиненное. Корневым бюро сертификатов является наиболее доверенное бюро сертификатов в компании. Вполне возможна установка лишь одного бюро сертификатов. Опасность заключается в том, что при возникновении сбоя в корневом бюро сертификатов или с помощью несанкционированного доступа злоумышленник сможет внедриться во всю инфраструктуру предприятия. Рекомендуется установить корневое бюро сертификатов для издания сертификатов, предназначенных подчиненным бюро сертификатов, которые, в свою очередь, выпустят сертификаты для других пользователей. Решение об установке определенного типа бюро сертификатов принимается при инсталляции служб Certificate Services (Службы сертификатов).

Установка служб сертификатов на сервер

Для установки службы сертификатов на сервер используется мастер Add or Remove Programs (Установка и удаление программ) в Панели управления. Данная процедура индивидуальна для каждого типа бюро сертификатов.

Установка корпоративного корневого бюро сертификатов

Помните, что корпоративное бюро сертификатов устанавливается при наличии Active Directory.

Рис. 10.2. Окно мастера компонентов Windows

1. В Панели управления дважды щелкните на значке Add or Remove Programs (Установка и удаление программ).
2. Нажмите на кнопку Add/Remove Windows Components (Установка и удаление компонентов Windows).
3. В мастере компонентов Windows (Windows Components Wizard) (см. рис. 10.2) отметьте опцию Certificate Services (Службы сертификатов).
4. Появится предупреждение о том, что при продолжении работы в дальнейшем нельзя будет изменить имя компьютера и домена. В окне сообщения нажмите на кнопку Yes (Да).
5. Нажмите на кнопку Next (Далее).
6. Отметьте Enterprise Root CA (Корпоративное корневое бюро сертификатов), затем нажмите на кнопку Next (Далее).
7. Введите информативный текст в качестве имени.
8. Нажмите на кнопку Next (Далее).
9. Мастер сгенерирует ключ и после этого отобразит информацию о папке. Здесь следует оставить все как есть, если нет определенных причин для изменения данной информации.
10. При наличии на компьютере функционирующей службы IIS ее необходимо остановить. При появлении сообщения с подобной информацией нажмите на кнопку Yes (Да).
11. Мастер выполнит все необходимые действия по установке. Нажмите на кнопку Finish (Готово).