Системный администратор

Продолжаем тему построения инфраструктуры открытых ключей для корпоративного использования. Нельзя забывать о необходимости отказоустойчивости и доступности, причем это касается не только самих удостоверяющих центров/центров сертификации, но и, разумеется, всего необходимого для их работы окружения Отказоустойчивость и доступность всей системы – это не только центры сертификации. Думаю, что вы уже заметили, что у нас есть еще некоторые компоненты решения, например точки распространения (Distribution Points)...

В предыдущих статьях цикла [1-3] мы разобрались с установкой нашей двухуровневой иерархии центров сертификации. Теперь рассмотрим «сетевой ответчик» или online responder Online Certificate Status Protocol (OCSP) [5]. Эта функциональность есть в составе центра сертификации Microsoft [6] Итак, мы получили вполне рабочий вариант, который уже можно использовать в корпоративной среде с некоторыми оговорками, поскольку речь пока еще не шла об отказоустойчивости и доступности, не все решено с центрами распространения, но об этом речь пойдет позже...

В третьей части нашего цикла мы рассмотрим развертывание издающего удостоверяющего центра в двухуровневой иерархии В отличие от корневого этот сервер должен быть постоянно доступен клиентам, причем здесь мы имеем в виду не только возможность получения сертификатов, но и, что важнее, их отзыва при компрометации. Точно так же, как и с корневым УЦ, перед установкой понадобится подготовить файл capolicy.inf [1] и разместить его в правильном месте [2]. Пример структуры capolicy.inf может выглядеть так:...

Следующий этап внедрения инфраструктуры открытых ключей – установка корневого удостоверяющего центра. Как правило, это виртуальная машина, при этом ее не следует подключать к сети, поскольку это может создать потенциальный риск компрометации Весь информационный обмен – перенос сертификатов и списков отзыва, передача запросов к центру сертификации и выданных сертификатов с него – осуществляется с помощью внешнего защищенного носителя, доступ к которому ограничен доверенным кругом лиц. Процедура самой...

Внедрение собственной инфраструктуры открытых ключей часто становится одной из задач, которую приходится решать ИТ-отделам предприятия Причины этого вполне объяснимы: тут и вопросы безопасной аутентификации, защиты передаваемых и хранимых данных, потребность в использовании электронной цифровой подписи и другое. Далеко не всегда эти задачи могут быть решены средствами внешних поставщиков, несмотря на очевидную тенденцию развития облачных решений. Как бы там ни было, задача внедрения и поддержания собственных инфраструктур осталась, а раз так, то стоит разобраться с особенностями ее внедрения...