Kezdőoldal > PKI, Windows Server > Public Key Infrastructure (PKI) 1. rész

Public Key Infrastructure (PKI) 1. rész


Most, hogy (ismét) foglalkoztam a tanúsítványokkal, eszembe jutott egy régebbi történet, amely nagyjából le van írva, de nincs publikálva. Átnéztem, de mivel túl hosszúra sikeredett, ezért darabolva fogom bloggolni…

Tudom, a PKI olyan dolog, amit nem lehet soha teljesen megérteni (GT szavaival élve J), de legalább pár dolgot megpróbáltam tisztába tenni, hogy ne vaktában lövöldözzek.

Kezdjük az elmélettel.

Telepítés

Azt tudjuk, hogy a CA-t kétféle módon lehet telepíteni: Standalone vagy tartományba integrált Enterprise. A kettő közötti különbség: a vállalati (Enterprise) CA sablonok alapján dolgozik, támogatja az AD-ba integrált automatikus tanúsítvány-igénylést, valamint felhasználói tanúsítványok kibocsátására alkalmas. Az önálló (Standalone) CA mindezeket nem támogatja, ezért elsősorban Root CA vagy Policy CA feladatkörökre használják.

Bár nem teljesen egyértelmű, de a Windows SKU-ja sokat számít. Ugyanis a Standard verziók csak a Version 1 típusú sablonokat támogatják, nincs kulcs-archiválás (key-archiving), szerepkör szétválasztás (role separation) vagy automatikus igénylés. Mindezeket csak az Enterprise vagy Datacenter verziók biztosítják.

Itt találunk némi további pontosítást: a Standard SKU-ra is tudunk telepíteni Enterprise CA-t, de pl. nem tudjuk használni az automatikus igénylést. Enterprise CA esetén pedig a telepített gép tagja kell legyen egy tartománynak, de nem kell DC legyen.

Standalone tud más névvel is legenerálni tanúsítványt (pl. kinti név más, mint a belső, pl. Owa), az Enterprise viszont tud Autoenrollment-et, s AD-ba teszi a kész tanúsítványt.

Szerepkörök

A Windows 2003 és 2008 CA-k támogatják a szerepkör szétválasztást (role separation). Ezek az alábbiak:

CA Administrator: a CA-t kezeli és a tanúsítvány-sablonokat módosíthatja

CA Manager: Jóváhagyja a tanúsítvány-kéréseket és visszavonja a tanúsítványokat. Ugyanakkor joga van magán-kulcsok visszaállítására.

Auditor: A biztonsági eseménynapló megtekintésére jogosult

Backup Operator: A CA adatbázisának, konfigurációjának és kulcsainak mentését végzi

Tanúsítvány-listák (CRL, CTL)

Az egyik legfontosabb dolog a tanúsítvány lejártának ellenőrzése. Ezt a Windows 2003 a CRL (Certificate Revocation List)-en keresztül végzi, ennek a Delta-CRL verzióján keresztül. A Windows 2008 ezen kívül még támogatja az OCSP (Online Certificate Status Protocol)-t is.

A CTL (Certificate Trust List) a megbízható CA-knak a hash kivonatait tartalmazó aláírt lista, mely házirend segítségével kerül szétosztásra.

Sablonok

A tanúsítvány-sablonok határozzák meg a tanúsítványok tartalmi keretét és kiszolgálásuk menetét, például meg tudjuk határozni a CRL disztibúciós pontjainak elérését. Továbbá egy tanúsítvány-kezelőt is ki tudunk jelölni, aki a beérkező kéréseket jóváhagyja.

Most egy picit beszéljünk a különböző sablon-verziókról.

Version 1: Windows 2000-nél jelentek meg, nem módosíthatóak, kizárólag a hozzáférési jogokat tudjuk szabályozni.

Version 2: Windows 2003-nál lettek bevezetve, egyénileg konfigurálhatóak

Version 3: Windows 2008-nál hozták őket létre, támogatják az új Microsoft Crypto-API felületét, új titkosításokkal és hash algoritmusokkal.

Mint már említettük, csak az Enterprise vagy Datacenter SKU-k tudnak a V2 és V3 sablonokra épülő tanúsítványokat kibocsátani.

Advertisements
Kategóriák:PKI, Windows Server

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: