Для чего нужны сертификаты в Windows
Обновлено: 21.11.2024
Узнайте, что значит Службы сертификации в Windows Server, из Сетевой энциклопедии.
Что такое службы сертификации?
Службы сертификации Windows Active Directory (AD CS)
Начиная с Windows Server 2008 службы сертификации управляются внутри Active Directory. Этот инструмент позволяет сетевым администраторам выдавать сертификаты открытого ключа и управлять ими.
По сути, это означает, что вместо того, чтобы обращаться к стороннему центру сертификации (ЦС) за сертификатами PKI и использовать их размещенные службы, вы можете справиться с этим самостоятельно.
Преимущества использования служб сертификации Active Directory (AD CS)
- Получить из Active Directory. Вы можете использовать существующую информацию об удостоверении конечной точки, существующую в AD, для регистрации сертификатов (чтобы избежать повторной регистрации).
- Использование существующей групповой политики. Вы можете настроить групповые политики AD, чтобы указать, каким пользователям и машинам разрешено использовать сертификаты того или иного типа.
- Автоматизация подготовки сертификатов и управления их жизненным циклом. Когда конечная точка впервые подключается к сети, в AD отправляется запрос на проверку того, к каким типам сертификатов (называемым шаблонами) конечная точка имеет доступ на основе групповой политики. На основе результатов этого запроса конечная точка запрашивает соответствующие сертификаты, которые затем отправляются обратно на конечную точку и устанавливаются. Можно настроить автоматическое продление сертификатов, чтобы не беспокоиться о неожиданном истечении срока действия и пробелах в покрытии.
- Тихая установка. Как было указано выше, процесс установки является автоматическим и не требует вмешательства конечного пользователя (или ИТ-специалиста).
Недостатки собственного центра сертификации
- Затраты на оборудование. Вам необходимо защищать и хранить корневой и закрытый ключи подписи на защищенном оборудовании (например, аппаратном модуле безопасности).
- Поддержка служб проверки. Вам необходимо убедиться, что у вас есть способ проверки действительности сертификата, например обновление списков отзыва сертификатов, сохранение списков отзыва сертификатов и запуск служб OCSP.
- Внутренний опыт работы с инфраструктурой открытых ключей. Система PKI сложна, и передовой опыт постоянно совершенствуется. Как вы будете обеспечивать соблюдение требований?
Функции служб сертификации
Установка служб сертификации
В Windows Server 2003 службы сертификации 2.0 можно установить из панели управления, нажав «Установка и удаление программ», а затем нажав «Добавить и удалить компоненты Windows», чтобы установить или удалить службы сертификации.
Установка служб сертификации Active Directory Windows Server 2016.
сообщить об этом объявлении
Аутентификация имеет решающее значение для защиты связи. Пользователи должны иметь возможность подтверждать свою личность тем, с кем они общаются, и должны иметь возможность подтверждать личность других. Аутентификация личности в сети сложна, потому что взаимодействующие стороны физически не встречаются во время общения. Это может позволить неэтичному лицу перехватывать сообщения или выдавать себя за другое лицо или организацию. Должен быть разработан метод для поддержания необходимого уровня доверия в процессе коммуникации.
цифровой сертификат – это обычное удостоверение, позволяющее подтвердить личность. В этом разделе представлен обзор того, как сертификаты обеспечивают безопасную связь и как использовать CryptoAPI для использования и управления этими сертификатами.
Сертификат – это набор данных, идентифицирующих объект. Доверенная организация назначает сертификат физическому или юридическому лицу, которое связывает открытый ключ с физическим лицом. Физическое или юридическое лицо, которому выдается сертификат, называется субъектом этого сертификата. Доверенная организация, выдающая сертификат, является центром сертификации (ЦС) и известна как эмитент сертификата. Надежный ЦС выдает сертификат только после проверки подлинности субъекта сертификата.
Сертификаты используют криптографические методы для решения проблемы отсутствия физического контакта между теми, кто общается. Использование этих методов ограничивает возможность перехвата, изменения или подделки сообщений неэтичным лицом. Эти криптографические методы затрудняют модификацию сертификатов. Таким образом, объекту трудно выдавать себя за кого-то другого.
Данные в сертификате включают открытый криптографический ключ из пары открытый/закрытый ключ субъекта сертификата. Сообщение, подписанное закрытым ключом отправителя, может быть получено только получателем сообщения с использованием открытого ключа отправителя. Этот ключ можно найти на копии сертификата отправителя.Получение подписи с помощью открытого ключа из сертификата доказывает, что подпись была создана с использованием закрытого ключа субъекта сертификата. Если отправитель проявлял бдительность и держал закрытый ключ в секрете, получатель может быть уверен в личности отправителя сообщения.
В сети часто есть доверенное приложение, известное как сервер сертификатов. ЦС, работающий на защищенном компьютере, управляет сервером сертификатов. Это приложение имеет доступ к открытому ключу всех своих клиентов. Серверы сертификатов выдают сообщения, известные как сертификаты, каждый из которых содержит открытый ключ одного из своих клиентов-пользователей. Каждый сертификат подписывается закрытым ключом ЦС. Таким образом, получатель такого сертификата может убедиться, что указанный ЦС отправил его.
Цифровые сертификаты также включают расширения и расширенные свойства, предоставляющие дополнительную информацию о субъекте сертификата, например адрес электронной почты субъекта и действия, которые может выполнять субъект сертификата.
Сертификат содержит открытый ключ и набор атрибутов, таких как имя пользователя и адрес электронной почты. Сертификаты могут быть выданы как компьютерам, так и пользователям. Службы сертификации используются в Windows. IPSec (шифрование по сети), Kerberos, IIS (интернет-веб-сервер) и шифрованная файловая система (EFS) используют сертификаты. Примером использования служб сертификатов является SSL (уровень защищенных сокетов). Используя SSL, веб-трафик может быть зашифрован и защищен. SSL обычно используется банками и каталогами для онлайн-транзакций.
Если ключ, связанный с сертификатом, потерян, то потеряны и данные. Microsoft предлагает решение этой проблемы, известное как ключи восстановления. Windows Server позволяет администратору определять политику восстановления, которая определяет, кто может восстанавливать данные. Эти пользователи называются агентами восстановления.
Рассмотрите случай, когда пользователь шифрует файл с помощью EFS, а затем покидает компанию. Файл может быть восстановлен агентом восстановления, у которого есть копия ключа, используемого для шифрования файла.
Центры сертификации
Центры сертификации (ЦС) выдают сертификаты в сети. ЦС также могут выдавать сертификаты другим ЦС. Они могут отозвать сертификаты, которые они выдали. Существует два разных типа центров сертификации; Автономный и корпоративный.
Центры сертификации также могут существовать на двух уровнях; Корень и подчиненный. Подчиненные ЦС существуют ниже корневых ЦС или других подчиненных ЦС. Центр сертификации может быть размещен на компьютере с Windows Server 2008.
Автономные центры сертификации
Автономные центры сертификации не используют Active Directory и идеально подходят для выдачи сертификатов для внешнего использования и в средах рабочих групп. Автономные центры сертификации автоматически помечают запросы сертификатов как «ожидающие рассмотрения» для утверждения администратором. Автономные центры сертификации менее безопасны, чем корпоративные центры сертификации, поскольку они не могут использовать Active Directory Security.
Сертификаты, выпущенные автономным ЦС, нельзя публиковать — их необходимо распространять вручную.
Для входа со смарт-картой можно выдавать автономные сертификаты.
Центры сертификации предприятия
Центры сертификации предприятия выдают и отзывают корпоративные сертификаты и работают в Active Directory для большей безопасности. Корпоративные центры сертификации имеют следующие функции:
ЦС предприятия публикуют сертификаты в Active Directory, что означает, что их может получить любой клиент на предприятии.
Центры сертификации предприятия будут автоматически принимать или отклонять сертификат в зависимости от разрешений безопасности отправителя запроса. ЦС предприятия никогда не помечают запрос как ожидающий (т. е. ожидающий одобрения администратором). ЦС предприятия могут выдавать сертификаты, которые можно использовать для входа в домен. Они идеально подходят для таких устройств, как смарт-карты и сканеры отпечатков пальцев.
Центры сертификации
Центры сертификации могут различаться по размеру. Некоторые ЦС могут выдавать сертификаты миллионам клиентов, например Verisign, который является коммерческим ЦС. Службы сертификации также могут создать отдельный ЦС для каждого отдела компании. Каждый ЦС отвечает за выбор атрибутов, которые он будет включать в сертификат, и за то, как он будет проверять эти атрибуты.
Центры сертификации (ЦС) также хранят список отозванных сертификатов. Эти списки называются списками отзыва сертификатов (CRL). Издатели сертификатов делают сертификаты и CRL общедоступными. Хороший издатель сертификатов позволит клиентам автоматически получать необходимые им сертификаты. Центры сертификации Microsoft могут публиковать сертификаты в Active Directory или в общей папке.
Поставщики криптографических услуг
Microsoft предоставляет криптографические библиотеки. Эти библиотеки могут использоваться приложениями для выполнения шифрования как с открытым, так и с закрытым ключом. Службы сертификации также могут использовать списки доверия сертификатов (CTL).Когда вы помещаете сертификат CA в CTL, вы сообщаете пользователям в домене, что можно доверять сертификатам, выданным этим CA.
Службы сертификатов Microsoft поддерживают использование предопределенных инструкций, которые сообщают центру сертификации, что делать с входящими запросами и что делать после утверждения запроса.
Модуль политики — это набор правил, которые сообщают центру сертификации, как обрабатывать входящие запросы.
Модуль выхода — это набор правил, которые сообщают центру сертификации, как и где публиковать вновь выпущенный сертификат.
Стандартный модуль политики Microsoft выполняет следующие действия:
- Каждый входящий запрос обрабатывается или помечается как ожидающий обработки в зависимости от типа ЦС. Автономные центры сертификации помечают входящие запросы как ожидающие обработки.
- К сертификату добавляется атрибут, указывающий, где можно получить сертификат выдавшего ЦС. Это позволяет проверить подлинность сертификата.
- Он добавляет в сертификат атрибут, указывающий, где расположены CRL выдавшего ЦС.
Модуль выхода выполняет следующие действия:
- После выпуска сертификата его можно опубликовать.
- Стандартные модули выхода Microsoft могут публиковать сертификаты в Active Directory, в общей папке или отправлять их по электронной почте запрашивающей стороне.
- Он также может публиковать список отозванных сертификатов (CRL). (Эту функцию необходимо включить вручную).
Иерархическая структура служб сертификации
Сервер сертификатов Microsoft может выполнять одну из четырех различных ролей:
- Корневой ЦС предприятия
- Подчиненный ЦС предприятия
- Автономный корневой ЦС
- Автономный подчиненный ЦС
Корневые центры сертификации
Корневые центры сертификации предприятия находятся на вершине дерева сертификатов. Корневые ЦС предприятия могут выдавать сертификаты как пользователям, так и подчиненным ЦС. Чтобы ЦС мог выдавать сертификаты, ему нужны сертификаты, подписанные другим ЦС. Поскольку корневой ЦС находится на вершине иерархии, он подписывает свои собственные сертификаты.
Доверие — это одна из самых важных вещей, которые могут быть установлены между двумя сторонами. Это процесс, в котором обе стороны приостанавливают свое недоверие к потенциальному предательству другого и движутся к какой-то общей цели. Это распространяется и на компьютерный мир, где сертификаты годами используются для установления доверительных отношений между, в данном случае, пользователями и компьютерами.
В этой статье подробно рассказывается об использовании сертификатов в контексте Windows 10. Она проливает свет на то, что делают сертификаты в Windows 10, и рассказывается, как управлять ими в Windows 10. Для ИТ-специалистов сертификаты в Windows 10 важный аспект информационной безопасности, и их понимание может быть определяющим фактором в поддержке конечных пользователей организации.
Немного о сертификатах
Сертификаты доказывают, что веб-сайты являются подлинными, а пользователи являются законными, и могут обеспечивать определенный уровень шифрования онлайн-коммуникаций с помощью технологии Secure Socket Layer (SSL). Корневой центр сертификации (ЦС) выдает так называемые корневые сертификаты, которые представляют собой верхний уровень цепочки доверия. Доверенный корневой сертификат выдается доверенным корневым центром сертификации.
Сертификаты используют инфраструктуру открытых ключей (PKI), где есть пара закрытый ключ/открытый ключ. Обычный цикл сертификатов, известный как асимметричная криптография, выглядит следующим образом: сертификат подписывается ЦС с использованием закрытого ключа, который хранится у пользователя. Открытый ключ встроен в браузер, который отправляет пользователю зашифрованные сообщения, содержащие симметричный ключ. Этот ключ используется браузером для шифрования связи между пользователем и браузером для соответствующего сеанса. Открытые ключи также можно использовать для проверки программного обеспечения распределенной организации.
Сертификаты имеют ограниченный срок действия — обычно от одного до двух лет. Когда сертификаты отзываются, сведения о сертификате добавляются в список отзыва сертификатов (CRL). По истечении срока действия отозванных сертификатов они просто удаляются из CRL.
Несмотря на важность сертификатов, средний пользователь будет очень редко (если вообще когда-либо) взаимодействовать с сертификатами, за исключением возможной установки сертификатов для просмотра определенных сайтов. Сертификаты с большей вероятностью будут использоваться администраторами организаций и теми, кто обеспечивает поддержку информационных технологий и информационной безопасности. Однако все организации разные, и вашей может потребоваться гораздо больше контактов с сертификатами.
Как управлять сертификатами в Windows 10
Сертификаты хранятся как у пользователя, так и у компьютера, и для проверки того, какие сертификаты установлены для каждого из них, используется свой метод. Windows 10 продолжает эстафету Windows 8 в управлении сертификатами. Обратите внимание, что консоль управления Microsoft (MMC) по-прежнему можно использовать для управления сертификатами пользователей и компьютеров.Этот метод слишком избит, чтобы быть конкретно для Windows 10, и есть более прямые способы управлять ими.
Управление сертификатами, хранящимися на локальном компьютере
Сертификаты, хранящиеся на компьютере с Windows 10, находятся в хранилище сертификатов локального компьютера. Windows 10 предлагает Диспетчер сертификатов в качестве инструмента управления сертификатами как для компьютерных, так и для пользовательских сертификатов. Диспетчер сертификатов является частью MMC, но с момента его включения в семейство ОС Windows в Windows 7 диспетчер сертификатов является предпочтительным методом управления сертификатами.
Чтобы открыть Диспетчер сертификатов для просмотра сертификатов, хранящихся на локальном компьютере, введите cert в строке поиска Windows 10 Cortana. Это вызовет результат панели управления под названием «Управление сертификатами компьютера». Нажмите на нее, и вам будет представлено окно диспетчера сертификатов Windows 10 для сертификатов, хранящихся на локальном компьютере. Это будет отличаться от стандартного окна Диспетчера сертификатов, которое управляет сертификатами пользователей, и будет называться certlm, что означает сертификаты на локальном компьютере. Он предлагает те же функции, что и Диспетчер сертификатов.
Certificate Manager делает управление сертификатами достаточно простым для пользователей Windows 10 от начального до среднего. Он позволяет пользователям добавлять (импортировать), экспортировать, удалять, изменять и запрашивать новые сертификаты.
Управление сертификатами, хранящимися в учетной записи пользователя
Управление сертификатами, хранящимися в учетной записи пользователя в Windows 10, осуществляется с помощью стандартной версии диспетчера сертификатов. Чтобы открыть Диспетчер сертификатов, введите run в строку поиска Windows 10 Cortana и нажмите Enter. Когда появится окно запуска, введите certmgr.msc и нажмите Enter. Вам будет представлено окно Certification Manager, где вы сможете просматривать сертификаты, хранящиеся в учетной записи пользователя.
Учетная запись пользователя наследует корневые сертификаты локального компьютера/машины и имеет собственные установленные сертификаты, что делает ее более обширной библиотекой сертификатов, чем та, которая хранится на локальном компьютере.
Заключение
Сертификаты являются важными аспектами в цепочке доверия между компьютерами и пользователями и преобладают в Windows 10. По сравнению с Windows 8 и Windows 10 мало что изменилось, но появление Cortana сделало управление сертификатами, хранящимися на локальном компьютере/машине. быстрее без необходимости настраивать MMC для управления сертификатами.
Читайте также: