Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas planowania wdrożenia infrastruktury kluczy publicznych przy użyciu usług certyfikatów Active Directory należy wziąć pod uwagę pewne kwestie. W tym miejscu możesz znaleźć elementy, które należy zaplanować, aby pomyślnie zainstalować i skonfigurować środowisko infrastruktury kluczy publicznych.
Na poziomie ogólnym, powinieneś:
- Zaplanuj infrastrukturę kluczy publicznych (PKI), która jest odpowiednia dla twojej organizacji.
- Zainstaluj i skonfiguruj sprzętowy moduł zabezpieczeń (HSM) zgodnie z instrukcjami dostawcy modułu HSM, jeśli planujesz go użyć.
- Utwórz odpowiedni
CAPolicy.infelement , jeśli chcesz zmodyfikować domyślne ustawienia instalacji. - Wybieranie opcji kryptograficznych
- Określenie nazwy CA
- Określanie okresu ważności
- Wybieranie bazy danych urzędu certyfikacji
- Ustawienia dostępu do informacji o urzędzie i punktu dystrybucji listy odwołania certyfikatów
Planowanie infrastruktury kluczy publicznych
Aby upewnić się, że organizacja może w pełni korzystać z instalacji usług certyfikatów Active Directory (AD CS), należy odpowiednio zaplanować wdrożenie infrastruktury kluczy publicznych. Przed zainstalowaniem dowolnego urzędu certyfikacji należy określić liczbę potrzebnych urzędów certyfikacji i określić konfigurację. Czy na przykład potrzebujesz nadrzędnego urzędu certyfikacji dla przedsiębiorstwa czy autonomicznego nadrzędnego urzędu certyfikacji? Jak będą obsługiwane żądania zatwierdzenia certyfikatu? Jak będzie zarządzać odwoływaniem certyfikatów? Tworzenie odpowiedniego projektu infrastruktury kluczy publicznych może być czasochłonne, ale jest kluczowe dla jej sukcesu.
Użyj modułu HSM
Moduł HSM to dedykowane urządzenie sprzętowe zarządzane oddzielnie od systemu operacyjnego. Te moduły zapewniają bezpieczny magazyn sprzętowy kluczy urzędu certyfikacji, oprócz dedykowanego procesora kryptograficznego w celu przyspieszenia operacji podpisywania i szyfrowania. System operacyjny korzysta z modułu HSM za pośrednictwem interfejsów CryptoAPI, a moduł HSM działa jako urządzenie dostawcy usług kryptograficznych (CSP).
Moduły HSM zazwyczaj występują jako karty PCI, ale są również dostępne w formie urządzeń sieciowych, szeregowych i USB. Jeśli organizacja planuje zaimplementować co najmniej dwa urzędy certyfikacji, można zainstalować pojedynczy moduł HSM oparty na sieci i udostępnić go między wieloma urzędami certyfikacji.
Aby skonfigurować urząd certyfikacji przy użyciu modułu HSM, moduł HSM musi być zainstalowany i skonfigurowany przed skonfigurowaniem jakichkolwiek urzędów certyfikacji z kluczami, które muszą być przechowywane w module HSM.
Rozważ plik CAPolicy.inf
Plik CAPolicy.inf nie jest wymagany do zainstalowania usług AD CS, ale może służyć do dostosowywania ustawień urzędu certyfikacji. Plik CAPolicy.inf zawiera różne ustawienia używane podczas instalowania CA lub odnawiania certyfikatu CA. Plik CAPolicy.inf musi zostać utworzony i zapisany w %systemroot% katalogu (zazwyczaj C:\Windows), aby można go było użyć.
Ustawienia uwzględnione w CAPolicy.inf pliku zależą w dużej mierze od typu wdrożenia, który chcesz utworzyć. Na przykład główny urząd certyfikacji może mieć plik CAPolicy.inf, który wygląda następująco:
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
LoadDefaultTemplates=0
Wybieranie opcji kryptograficznych
Wybranie opcji kryptograficznych urzędu certyfikacji może mieć znaczący wpływ na bezpieczeństwo, wydajność i zgodność tego urzędu certyfikacji. Chociaż domyślne opcje kryptograficzne mogą być odpowiednie dla większości urzędów certyfikacyjnych. Możliwość implementowania opcji niestandardowych może być przydatna dla administratorów i deweloperów aplikacji z bardziej zaawansowanym zrozumieniem kryptografii i potrzebą tej elastyczności. Opcje kryptograficzne można zaimplementować przy użyciu dostawców usług kryptograficznych (CSP) lub dostawców magazynu kluczy (KSP).
CSP to składniki sprzętowe i programowe w systemach operacyjnych Windows, które dostarczają ogólne funkcje kryptograficzne. Moduły CSP mogą być tworzone w celu zapewnienia różnych algorytmów szyfrowania i podpisu.
Po wybraniu dostawcy, algorytmu skrótu i długości klucza należy dokładnie rozważyć, jakie opcje kryptograficzne mogą obsługiwać aplikacje i urządzenia, których zamierzasz użyć. Chociaż najlepszym rozwiązaniem jest wybranie najsilniejszych opcji zabezpieczeń, nie wszystkie aplikacje i urządzenia mogą je obsługiwać.
Zezwalaj na interakcję administratora, gdy dostęp do klucza prywatnego jest uzyskiwany przez urząd certyfikacji, co jest opcją zwykle używaną ze sprzętowymi modułami bezpieczeństwa (HSM). Ta opcja umożliwia dostawcy kryptograficznemu wyświetlenie monitu o dodatkowe uwierzytelnianie użytkownika, kiedy dochodzi do uzyskania dostępu do klucza prywatnego urzędu certyfikacji. Na przykład wymaganie od administratora wprowadzenia hasła przed każdą operacją kryptograficzną.
Wbudowani dostawcy usług kryptograficznych obsługują określone długości kluczy i algorytmy skrótu, zgodnie z opisem w poniższej tabeli.
| Dostawca kryptograficzny | Długość klucza | Algorytm skrótu |
|---|---|---|
| Microsoft Base Cryptographic Provider v1.0 | - 512 - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| Dostawca usług kryptograficznych DSS w usłudze Microsoft Base | - 512 - 1024 |
SHA1 |
| Dostawca kryptograficzny karty inteligentnej firmy Microsoft | - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Enhanced Cryptographic Provider v1.0 | - 512 - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| Dostawca usług kryptograficznych firmy Microsoft | - 512 - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| RSA#Dostawca Oprogramowania do Przechowywania Kluczy Microsoft | - 512 - 1024 - 2048 - 4096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| DSA#Microsoft dostawca magazynowania kluczy oprogramowania | - 512 - 1024 - 2048 |
SHA1 |
| ECDSA_P256#Dostawca Magazynu Kluczy Oprogramowania Microsoft | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Dostawca Microsoft Software Key Storage | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Dostawca magazynu kluczy oprogramowania Microsoft | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
| RSA#Microsoft Dostawca pamięci kluczy kart inteligentnych | - 1024 - 2048 - 4096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| ECDSA_P256#Dostawca magazynu kluczy karty inteligentnej Microsoft | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Microsoft Dostawca magazynu kluczy kart inteligentnych | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Microsoft dostawca przechowywania kluczy karty inteligentnej | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
Określenie nazwy urzędu certyfikacji
Przed skonfigurowaniem urzędów certyfikacji w organizacji należy ustanowić konwencję nazewnictwa urzędu certyfikacji.
Możesz utworzyć nazwę przy użyciu dowolnego znaku Unicode, ale możesz użyć zestawu znaków ANSI, jeśli współdziałanie jest problemem. Na przykład niektóre typy routerów nie mogą używać usługi rejestracji urządzeń sieciowych do rejestrowania certyfikatów, jeśli nazwa urzędu certyfikacji zawiera znaki specjalne, takie jak podkreślenie.
Jeśli używasz znaków innych niż łaciński (takich jak cyrylica, arabski lub chiński), nazwa urzędu certyfikacji musi zawierać mniej niż 64 znaki. Jeśli używasz tylko znaków innych niż łaciński, nazwa urzędu certyfikacji może mieć długość nie więcej niż 37 znaków.
W usługach Active Directory Domain Services (AD DS) nazwa określana podczas konfigurowania serwera jako urzędu certyfikacji staje się nazwą wspólną urzędu certyfikacji. Nazwa wspólna jest odzwierciedlana w każdym certyfikacie, który wystawia urząd certyfikacyjny. Z tego powodu ważne jest, aby nie używać w pełni kwalifikowanej nazwy domeny dla ogólnej nazwy urzędu certyfikacji. W ten sposób złośliwi użytkownicy, którzy uzyskują kopię certyfikatu, nie mogą zidentyfikować i użyć w pełni kwalifikowanej nazwy domeny urzędu certyfikacji, aby utworzyć potencjalną lukę w zabezpieczeniach.
Nazwa urzędu certyfikacji nie powinna być taka sama jak nazwa komputera (NetBIOS lub NAZWA DNS). Ponadto nie można zmienić nazwy serwera po zainstalowaniu usług certyfikatów Active Directory (AD CS) bez unieważnienia wszystkich certyfikatów wystawionych przez urząd certyfikacji.
Aby zmienić nazwę serwera po zainstalowaniu usług AD CS, należy odinstalować urząd certyfikacji, zmienić nazwę serwera, ponownie zainstalować urząd certyfikacji przy użyciu tych samych kluczy i zmodyfikować rejestr tak, aby używał istniejących kluczy urzędu certyfikacji i bazy danych. Nie musisz ponownie instalować urzędu certyfikacji w przypadku zmiany nazwy domeny; należy jednak ponownie skonfigurować urząd certyfikacji, aby obsługiwał zmianę nazwy.
Określanie okresu ważności
Kryptografia oparta na certyfikatach używa kryptografii klucza publicznego do ochrony i podpisywania danych. W miarę upływu czasu osoby atakujące mogą uzyskać dane chronione za pomocą klucza publicznego i spróbować uzyskać z niego klucz prywatny. Biorąc pod uwagę wystarczającą ilość czasu i zasobów, ten klucz prywatny może zostać naruszony, co skutecznie spowoduje, że wszystkie chronione dane nie są chronione. Ponadto nazwy gwarantowane przez certyfikat mogą wymagać zmiany w czasie. Ponieważ certyfikat jest powiązaniem między nazwą i kluczem publicznym, po każdej zmianie certyfikat powinien zostać odnowiony.
Każdy certyfikat ma okres ważności. Po zakończeniu okresu ważności certyfikat nie jest już uznawany za akceptowalne lub użyteczne poświadczenie.
Urzędy certyfikacji nie mogą wystawiać certyfikatów, które są ważne poza ich własnym okresem ważności. Najlepszym rozwiązaniem jest odnowienie certyfikatu urzędu certyfikacji, gdy połowa okresu ważności wygasła. Podczas instalowania urzędu certyfikacji należy zaplanować tę datę i upewnić się, że jest on rejestrowany jako przyszłe zadanie.
Wybieranie bazy danych urzędu certyfikacji
Baza danych urzędu certyfikacji jest plikiem na dysku twardym. Oprócz tego pliku inne pliki służą jako dzienniki transakcji i otrzymują wszystkie modyfikacje bazy danych przed wprowadzeniem zmian. Ponieważ te pliki mogą być często i jednocześnie dostępne, możesz chcieć umieścić bazę danych i dzienniki transakcji na osobnych woluminach.
Lokalizacja bazy danych certyfikatów i plików dziennika są przechowywane w następującej lokalizacji rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
Rejestr zawiera następujące wartości:
DBDirectoryDBLogDirectoryDBSystemDirectoryDBTempDirectory
Ustawienia dostępu do informacji o urzędzie i punktu dystrybucji listy odwołania certyfikatów
Po zainstalowaniu głównego lub podrzędnego urzędu certyfikacji należy skonfigurować rozszerzenia dostępu do informacji o urzędzie (AIA) i punktu dystrybucji listy CRL (CDP), zanim urząd certyfikacji wystawia wszelkie certyfikaty. Rozszerzenie AIA określa, gdzie znaleźć certyfikaty up-to-data dla Centrum Certyfikacji. Rozszerzenie CDP określa, gdzie znaleźć up-to-date CRL, które są podpisane przez urząd certyfikacji. Te rozszerzenia mają zastosowanie do wszystkich certyfikatów wystawionych przez ten urząd certyfikacji.
Skonfigurowanie tych rozszerzeń gwarantuje, że te informacje są zawarte w każdym certyfikacie, który wystawia urząd certyfikacji, tak aby był dostępny dla wszystkich klientów. Użycie rozszerzeń powoduje mniejszą liczbę niepowodzeń z powodu niezweryfikowanych łańcuchów certyfikatów lub odwołań certyfikatów, co może spowodować niepowodzenie połączeń sieci VPN, nieudane logowania karty inteligentnej lub niezweryfikowane podpisy poczty e-mail.
Jako administrator urzędu certyfikacji możesz dodawać, usuwać lub modyfikować punkty dystrybucji listy CRL oraz lokalizacje wystawiania certyfikatów CDP i AIA. Modyfikowanie adresu URL punktu dystrybucji listy CRL wpływa tylko na nowo wystawione certyfikaty. Wcześniej wystawione certyfikaty nadal odwołują się do oryginalnej lokalizacji, dlatego należy ustanowić te lokalizacje przed dystrybucją certyfikatów przez urząd certyfikacji.
Podczas konfigurowania adresów URL rozszerzeń CDP należy wziąć pod uwagę następujące wskazówki:
- Unikaj publikowania delta CRL w offline'owych głównych urzędach certyfikacji. Ponieważ nie odwołujesz wielu certyfikatów w nadrzędnym urzędzie certyfikacji offline, prawdopodobnie nie jest potrzebna delta CRL.
- Dostosuj domyślne
LDAP://adresy URL ihttp://lokalizacje na karcie Rozszerzenia w zakładce Właściwości urzędu certyfikacji zgodnie z potrzebami. - Opublikuj listę CRL na lokalizacji HTTP lub w ekstranecie, aby użytkownicy i aplikacje spoza organizacji mogły przeprowadzić walidację certyfikatu. Można opublikować adresy URL LDAP i HTTP dla lokalizacji cdp, aby umożliwić klientom pobieranie danych listy CRL za pomocą protokołu HTTP i LDAP.
- Należy pamiętać, że klienci systemu Windows zawsze pobierają listę adresów URL w kolejności sekwencyjnej do momentu pobrania prawidłowej listy CRL.
- Użyj lokalizacji protokołu HTTP CDP, aby udostępnić dostępne lokalizacje listy CRL dla klientów, którzy korzystają z systemów operacyjnych innych niż Windows.
Dalsze kroki
Aby dowiedzieć się więcej na temat wdrażania usług AD CS, zobacz Implementowanie usług certyfikatów Active Directory i zarządzanie nimi.