Állítsa hitelesítésszolgáltató (1. rész)
Linkek más anyagokat ebben a sorozatban:
- Telepítse Certification Authority - Következtetések
Először is, meg kell határozni a feladatok, amelyek végrehajtását teszik szükségessé PKI:
Ha minden a fenti akkor nem kell, akkor nem kell a PKI is.
Az egyik korábbi hozzászólásokat én vitát vezetett a PKI hierarchiák Talk rendszerek hierarchiája Certification Authority. Alapján ezt az anyagot, podbeorm rendszer a telepítés, amelyet leírt anyag. Alapján az írást a kapcsolat, azonnal elutasítja az opció egy hierarchiáját. A kétszintű hierarchia néz ki, nagyon vonzó:
Elvileg, ha a hálózat kellően koncentrált, egy ilyen rendszer tökéletes lenne több alkalommal. És ha a hálózat földrajzilag elosztott, nagy ágak (helyek) minden ilyen ág is hozzáadva még egy CA tanúsítványt, és kap egy ilyen rendszer:
Létrehozása 3 szintű hierarchia már jár a felosztás régiók iererhii CPS tevékenység (Certificate Practice Statement), és azokra a különböző szerver menedzsment politika CA. Ez egy elég hosszú dal, és ne beszéljünk róla. Ezért fogunk összpontosítani kétszintű hierarchia egy legfelső szintű hitelesítésszolgáltató (Root CA) és egy kibocsátó CA (Kiállító CA).
Microsoft támogat kétféle CA - Önálló és Enterprise. Általában rendszergazdák telepítéséhez használt CA Enterprise és nyilvánvaló okokból, ne használja Önálló CA. Miben különböznek?
Ami a funkciókat Önálló CA néz ki, kopott kicsit több, mint a teljes. De ez a fajta CA-nak egy erős előnye - nem függ a rendelkezésre álló domain. Úgy tűnik - szemetet. Domains még ők uralkodnak, és a pedálok, és mindent, ami nem működik, amire szükség van, anélkül egy domain! De nézzük meg a helyzetet egy másik oldala. CA felső szinten (gyökér és alárendelt első szintű CA) általában nagyon nagy időtartam - 10-20 év. Ez nagyon gyakran AD tartományok és erdők élni sokkal kevésbé, mert állandóan restruktuirutsya, átnevezés, vándorolnak, stb A tanúsító hatóság egy domain (Enteprprise CA) megfosztja bennünket néhány funkciók, mint például céldomain, és bonyolítja a szerkezetátalakítási folyamatát tartományok és erdők. Emiatt Enterprise CA kevés érvényességi ideje tanúsítványok - 5-10 év maximum. Alapvetően, ha van független a AD tartomány hitelesítésszolgáltató (önálló CA munkacsoport) sokkal könnyebben vándorolnak és restrurizatsiyu AD erdők, hiszen ezek a folyamatok nem érintik a gyökér CA, és kiküszöböli az épület egy új PKI hierarchiában. Egy ilyen helyzetben van ahhoz, hogy változtatni a tanúsító központ a 2. és 3. szint (ez utóbbi általában az Enterprise CA). Ez az oka annak, hogy a gyökér CA ajánlatos telepíteni egy domain, egy munkacsoportban.
vállalati hitelesítésszolgáltató (mint a neve is mutatja) egyáltalán nem hasonlít az önálló CA saját képességeit. Először Enterprise CA megköveteli a rendelkezésre álló domain tárolja az adatait, ott, és tanúsítványsablonra. Ez a fajta CA nagyon nagy potenciállal kibocsátása és karbantartása tanúsítványokat. Enterprise CA nem igényel a generációs fájl ügyfélkéréseket, és lehetővé teszi, hogy alkalmazni bizonyítványok keresztül MMC Tanúsítványok beépülő modul, és automatikusan osztja tanúsítványok az egész AD erdő minimális végfelhasználói. Leggyakrabban ez a rész jön le, hogy felállítása a rendszergazda autoenrollment'a politikák és mindent. Plusz, Enterprise CA közzéteheti tanúsítványok tulajdonságainak számláinak számítógépek és a felhasználók.
Függően azonban a domain tesz néhány korlátozást az életükben. Mivel a domének elegendő mobil egységek és változhatnak, Enterprise CA meglehetősen rövid érvényességi időtartam az igazolások - 5-10 év maximum. Abban az esetben, Enterprise Root CA, a domain törlését automatikusan vezet összeomlása az egész PKI hierarchia, és akkor meg kell építeni a semmiből, ami oda vezethet, hogy nagy nehézségek árán a nyúlvány az aktuális domain eltávolítása problémákat. Éppen ezért a cég sosem root CA Enterprise CA, és csak a kibocsátó CA, amely már ma is nyilvánosságra igazolásokat a végfelhasználók, és ahol minden lehetőséget vosstrebovan Enterprise CA Bár nagyon kis társaság lesz elegendő, ha a gyökér CA telepítve van az Enterprise CA és az érvényesség időtartama a tanúsítvány 5 év.
Ebben a cikksorozatban fogjuk használni az előnyeit mindkét CA. A gyökér CA fogja használni az Önálló CA a munkacsoport és a kibocsátó CA fogja használni az Enterprise CA Active Directory tartományba. Ugyanakkor Önálló CA nem adhat ki bizonyítványt a végfelhasználók, hanem csak más CA.
Meddig kiállítására jogosult minden típusú CA? 20 év tűnik nekem túl hideg, mert 20 év után, a cég mindent megváltoztathat hűvös és ha a vállalkozás nem kötődik a rendelkezésre digitális tanúsítvány szolgáltatás, 20 éves, valószínűleg túl hosszú. De 10 évvel a gyökér és a kibocsátó elegendő lenne. Nem hiszem, hogy 10 év után minden meg fog halni. Csak 10 évvel később (sőt, egy kicsit korábban, miután 8-9 év), akkor kell frissíteni mind CA tanúsítványokat és minden élet megy tovább. A költségeket a korszerűsítés CA tanúsítványok minimális, mivel nincs szükség változtatásra, hogy a konfigurációban.
Ezt már írtam elég sokat:
Azt is figyelembe OCSP (Online Certificate Status Protocol). Bár általában OCSP és csak az Enterprise CA, semmi sem akadályozza meg annak használatát a gyökér CA Tekintettel a növekedés az ügyfelek száma a Windows Vista és a fenti, ez lesz a jó eksperiens és megmutatom, hogyan lehet megvalósítani.
A fentiek alapján, tudjuk megfogalmazni a szoftver követelmények a PKI hierarchia:
Ezzel befejeződött a bevezetés és a következő fejezetekben, mi lesz, hogy lezárja a telepítését és konfigurálását CAS.