Архив
Тел./факс: +38 (044) 593-37-13
Моб. Тел : +38 067 231 70 37
E-mail: office@infobezpeka.com
НачалоПубликации

Публикации

12 июня 2007

Развертывание PKI(Publick Key Infrastructure)

Введение

Нас часто спрашивают о настройке и развертывании PKI (Public Key Infrastructure) на основе различных ОС и средств хранения ключевой информации. Данный документ описывает один из способов реализовать защищенных вход в корпоративную сеть с использованием электронных ключей или смарт карт.

Microsoft Windows 2003 имеет интегрированную поддержку внутри себя. Данная операционная система имеет свою встроенную инфраструктуру открытых ключей (вместе с сертификационным сервером) и позволяет реализовать более надежную альтернативную систему аутентификации с использованием электронных ключей вместо паролей.

Основные компоненты PKI в Windows:

Сервис работы с сертификатами (Certificate Services) -компонент ОС, который позволяет взаимодействовать со своим Центром Сертификации, издавать и управлять цифровыми сертификатами.

Сервис Active Directory - компонент ОС, который обеспечивает единое хранилище для поиска сетевых ресурсов, данный сервис исполняет роль издающего сервера в PKI.

Приложения, поддерживающие PKI - например, Internet Explorer, Outlook и Outlook Express.

Windows 2003 может обеспечить защиту электронной почты, защищенный доступ к Web-ресурсам (аутентификация клиента) и защищенный вход в систему. Следуйте руководству приложений для того, чтобы использовать Интернет (почтовые) приложения для защиты электронной почты и защищенного доступа к web-ресурсу.

Данный документ предназначен только для того, чтобы пояснить как получить сертификат и как войти в операционные системы Windows 2000, Windows XP и Windows 2003 с использованием электронных ключей или смарт-карт.

В соответствии с этим, вам необходимо в самом начале иметь в распоряжении электронный ключ или смарт карту со считывателем и ПО для данного типа устройств.

Глава 1. Установка Microsoft Certificate Services

Эта глава посвящена установке и конфигурации службы сертификатов Microsoft Windows 2003 и состоит из трех частей:

  • Установка службы сертификатов
  • Конфигурации службы сертификатов
  • Получение сертификата для издающей рабочей станции и пользователя

Необходимые условия
Предполагается, что уже есть установленные следующие компоненты, перед тем как приступать к установке службы сертификатов:

  • Установлена ОС Windows 2003 и поднят на ней основной контролер домена
  • Служба Active Directory настроена таким образом, что данные о пользователях и компьютерах хранятся в ней.
  • DNS-сервер настроен с вашим доменным именем
  • Установлены драйвера и соответствующее ПО для электронных ключей или смарт карт на всех компьютерах, на которых будет осуществляться вход в домен по ним, а также на самом контролере домена.

Установка службы сертификатов Для того, чтобы сделать установку необходимо войти в систему под администратором домена.

  1. В ОС Windows 2003, нажмите Start->Settings->Control Panel для того чтобы попасть в диалоговое окно Control Panel
  2. В этом окне выберите Add or Remove Program, откроется диалог добавление или удаления программ.
  3. Выберите Add/Remove Windows Components
  4. Откроется мастер компонент ОС Windows 2003
  5. Если не выбран компонент Application Server, установите флаг напротив соответствующего компонента во включенное состояние
  6. Установите флаг для Certificate Services(Службы Сертификатов) во включенное состояние.
  7. После выбора Certificate Services вас проинформируют о том, что имя компьютера в последующем невозможно будет изменить или вывести из домена. Нажмите Yes для продолжения установки. Снова появится окно с выбранными компонентами ОС, нажмите NEXT.
  8. Мастер компонент запросит тип Центра Сертификатов, который вы ходите установить.
  9. Корневой центр сертификатов (Enterprise root CA) наиболее доверенный центр сертификатов и поэтому должен быть установлен в первую очередь. Если опция не доступна, то, возможно, не установлен или неверно настроен сервис Active Directory, так как этот тип ЦС требует AD.
  10. Выберите Enterpise root CA и нажмите Next
  11. Введите идентификационную информацию для ЦС - имя для ЦС (далее автоматически заполнит что нужно) и нажмите next.
  12. В появившемся диалоговом окне укажите где будет хранится БЛ сертификатов и нажмите NEXT.
  13. ASP должно быть активно в IIS для того, чтобы обеспечить сервис выдачи сертификатов через Web-интерфейс. О чем вас и спросят. Нажмите Yes для того чтобы активировать ASP.
  14. Мастер компонент сообщит об изменениях в конфигурации, которые вы делаете. Вставьте CD или укажите путь к дистрибутиву Windows 2003 для того чтобы мастер нашел то, что устанавливаете.
  15. Нажмите Finish

Службы сертификатов установлены. Следующий шаг - настройка этих самых сервисов для того, чтобы выдавать сертификаты, в том числе и для входа в систему по электронному ключу или смарт-карте.

Конфигурация службы сертификатов.

Для того, чтобы сделать возможным выдачу сертификатов для входа в домен по электронным ключам или смарт-картам настройте их следующим образом.

Откройте Start->Programs->Administrative Tools->Certificate Authority и в консоли конфигурации выберите папку Certificate Templates для того, чтобы увидеть список доступных шаблонов сертификатов.

Microsoft CA умеет выдавать сертификаты, которые соответсвуют одному из шаблонов. По умолчанию некоторые шаблоны отсутствуют в списке. Добавьте их, чтобы сделать возможным выдачу не попавшим шаблонам в этот список. Для того, чтобы добавить шаблон в список правой кнопкой мыши кликните на Certificates и выберите New->Certificate Template to Issue.

В появившемся диалоге выберите, по крайней мере, три шаблона: Smartcard Logon, Smartcard user и Enrollment Agent и нажмите ОК.

Smartcard Logon - нужен для входа в домен по Эл. Ключу или смарт-карте Smartcard User - более широкий по свойствам сертификат чем Smartcard Logon, может также использоваться для подписи, шифрования и аутентификации для доступа к Web-ресурсам, например.
Enrollment Agent - сертификат для объекта, который будет выдавать сертификаты.

Теперь все что надо есть и можно приступать к процессу выдачи сертификатов.

Глава 2. Создание Microsoft CA RA станции

Приступим к созданию Microsoft CA RA, на которой собственно и будет установлен сертификат "Enrollment Agent".

  1. Сделайте запрос на получение сертификата для издающей станции. Дл яэтого зайдите на страницу http://<контроллер домена>/certsrv/.
  2. Выберите Request a certificate
  3. На следующей странице выберите advanced certificate request
  4. На следующей странице выберите Create and submit a request to this CA
  5. Из списка Certificate Template выберите шаблон Enrollment Agent и удостоверьтесь, что вы выбрали Microsoft Enchanced Cryptographic Provider 1.0 или соответствующее из списка CSP в разделе «Key Options». Нажмите Submit.
  6. Когда запрос будет обработан, в окне появится «Certificate Issued». Нажмите на ссылку Install this certificate. Появится надпись с сообщением, что сертификат успешно установлен.

После этих настроек на данном ПК можно производить выдачу сертификатов на смарт-карты или электронные ключи.

Выдача сертификата на ключ или на смарт карту.

Только после того, как сделана станция с установленным на ней сертификатом "Enrollment Agent", можно приступить к выдаче сертификатов для пользователей домена, которые будут входит в этот домен по электронному ключу или смарт-карте.

С этого ПК зайдите через IE на WEB-страницу выдачи сертификатов, которая находится по адресу http://<имя компьютера>/certsrv. <Имя компьютера> - имя ПК, на котором поднят ЦС.

На открывшейся странице выберите Request a certificate. Появится новая страница. На открывшейся странице выберите advanced certificate request. Появится новая страница. На открывшейся странице Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station. Появится новая страница. На открывшееся странице в Enrollment Options в списке шаблоном «Certificate Template» выберите Smartcard User. Из списка Cryptographic Service Provider выберите соответствующий CSP для электронного ключа или смарт-карты. Убедитесь, что выбран правильный сертификат «Enrollment Agent» в поле Administrator Signing Certificate. Теперь выберите пользователя в поле User to Enroll, для которого будет выдан сертификат, для этого нажмите Select User. Появится диалог.

В появившемся диалоге введите имя пользователя, для которого выдается сертификат в поле «Enter the object name to select» и нажмите «Check Names» для проверки, что вы ввели имя правильно. Если все верно, то имя будет подсвечено. После того, как процесс проверки закончен, нажмите OK. Вас вернет в основное окно «Smart Card Certificate Enrollment Station».

В окне «Smart Card Certificate Enrollment Station» нажмите кнопку "Enroll".

Удостоверьтесь, что смарт-карта находится в считывателе или электронный ключ вставлен в USB-порт. Если устройство отсутствует, то вы получите сообщение:

Вставьте электронный ключ или смарт-карту и нажмите OK.

В процессе выдачи сертификата может возникать окно с предупреждением о потенциальной опасности скриптов на Web-страницах: Когда это будет происходить нажмите Yes.

В процессе выдачи сертификата у вас будет запрошен PIN для электронного ключа или смарт-карты. После ввода PIN нажмите OK.

После того как запрос на сертификат сделан, ЦС подпишет запрос и вернет сертификат, вам будет выдано предупреждение, что страница хочет установить сертификат, что может являться в общем случае потенциальной опасностью: Нажмите Yes для продолжения.


Публикации по теме

21 февраля 2011 2010 год был богат на громкие события по утечке информации и заставил задуматься мировое сообщество об усилении безопасности данных и защиты информации.
18 февраля 2011 | PGP Corporation Использование систем электронного документооборота с применением ЭЦП существенно ускоряет проведение многочисленных коммерческих операций, сокращает объемы бумажной бухгалтерской документации, экономит время сотрудников и расходы предприятия, связанные с заключением договоров, оформлением платежных документов, предоставлением отчетности в контролирующие органы, получением справок от различных госучреждений и прочим.
14 декабря 2010 10 наиболее значимых покупок на рынке безопасности в 2010 году
21 сентября 2009 | Lumension Тучи сгущаются над развитием облачных вычислений, пишет Пол Зимски, вице-президент отдела маркетингового планирования компании Lumension. В период кризиса, все стараются сэкономить, в том числе и на ресурсах.
Развертывание PKI(Publick Key Infrastructure)
29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
Развертывание PKI(Publick Key Infrastructure)
Blue Coat  | SnapGear  | Sidewinder G2  | GFI languard, webmonitor  | Фильтрация Web трафика  | Zdisk  | StrongDisk  | DriveCrypt  | защита файлов PGP  | Защита папок Zserver  | Zbackup  | Zlock  | LanAgent  | PGP Desktop Email  | электронный ключ iKey (электронные ключи)  | Шифрование жесткого диска  | Смарт-карт считыватели (ридеры)  | WatchGuard Firebox firewall  | смарт-карты  | McAfee  | Защита информации (информационная безопасность)  | Цена(купить)  | Захист інформації  | SIEM