Документ описывает безопасность передачи данных в Windows Server 2012 с помощью инфраструктуры открытых ключей (PKI) и Active Directory Certificate Services (AD CS). Он охватывает основные компоненты PKI, такие как центры сертификации и списки отзыва сертификатов, а также применение сертификатов для шифрования и авторизации. Также рассматриваются аспекты интеграции AD DS с AD CS, процессы выдачи и отзыва сертификатов, а также методы их получения.

1. Windows Server 2012:
учимся безопасности
передачи данных с
помощью AD СS
ведущий:
Евгений Павленко
16 сентября 2013
Eugen.Pavlenko@WindowsLive.com

2. Что такое PKI
Инфраструктура открытых ключей (PKI) используется для
распространения и управления цифровыми сертификатами
PKI включает в себя следующие основные компоненты:
•
•
•
•
Центр сертификатов (CA)
Списки отзыва сертификатов (CRL)
Средства управления
Сертификаты

3. Что такое AD CS
Служба сертификации Active Directory (AD CS) выполняет
следующие действия:
•
Предоставляет центр сертификации
•
Предоставляет инструменты для автоматизированного и ручного
управления сертификатов
•
Предоставляет услуги отзыва сертификата
•
Интегрирует центр сертификации с AD DS

4. Примеры использования
•
Шифрование веб-трафика (HTTPS)
•
Построение IPSec-туннелей
•
Шифрование файлов (EFS)
•
Построение VPN-соединений
•
Авторизация пользователя
•
Шифрование электронных писем

5. Интеграция AD DS и AD CS
AD DS и AD CS тесно интегрируются одним из следующих
способов:
•
Сертификаты пользователей и компьютеров могут автоматически
генерироваться
•
Сертификаты для компьютеров и пользователей могут храниться в
AD DS
•
C помощью параметров групповой политики можно предоставлять
списки отзыва сертификатов, настройки доверительных
сертификатов, политику автоматической выдачи сертификатов и т. д.

6. Центр сертификатов
Центр сертификатов (ЦС) – это сервер, который выдаёт
сертификаты:
• Для пользователя
• Для компьютера
• Для сервиса
Сертификаты подтверждают личность и другие атрибуты
хозяина сертификата другим лицам

7. Иерархия ЦС
Иерархия ЦС состоит из корневого центра сертификации и
одного или более уровней подчиненных центров
сертификации
Причины развертывания более одного сервера в иерархии УЦ:
•
Цели использование
•
Организационные подразделения
•
Географические подразделения
•
Балансировка нагрузки
•
Высокая доступность
•
Разграничить административный доступ

8. Сравнение Enterprise СA и Stand-Alone
Enterprise
Можно использовать без AD DS
StandAlone
ü
Публикует сертификаты и CRL в AD
DS
ü
Можно автоматически генерировать
Subject Name
ü
Можно использовать шаблоны
сертификатов
ü
Может быть использован для
создания сертификатов смарт-карт
сертификатов для аутентификации в
домене
ü
Можно использовать автоматическую
регистрацию
ü

9. Что такое сертификат
Сертификат – это файл, который состоит из двух частей
Публичный ключ
Информация о сертификате
• Открытые ключи распространяются на всех клиентов,
которые просят ключ
• Закрытые ключи хранятся только на компьютере, на
котором они были сгенерированы

10. Получение сертификата
запрос
на
подпись
сертификата
Пара
ключей
Публичный
Ключ
Информация
о
субъекте
Публичный
ключ
Приватный
ключ
Сертификат

11. Как работает пара ключей
Текст
Отправитель
Зашифрован
Шифрование
Публичный
ключ
Текст
Дешифрование
Приватный
ключ
Получатель

12. Что такое шаблон сертификата?
Шаблоны сертификатов:
•
•
•
Описывают, какие сертификаты могут быть выданы ЦС
Описывают, для каких целей используется сертификат
Определяют, какие права у пользователя/компьютера есть

13. Методы выдачи сертификатов
•
Веб-выдача
•
Ручная выдача
•
Автоматическая выдача

14. Отзыв сертификата происходит, когда сертификат
необходимо отозвать до истечения его срока жизни
Клиенты могут узнать, не был ли отозван сертификат, с помощью
следующих методов:
•
•
Online Certificate Status Protocol (OCSP)
Списки отзыва сертификатов (CRL)