Инфраструктуры открытых ключей Windows

⇐ Назад

Инфраструктура PKI корпорации Майкрософт поддерживает иерархическую модель центров сертификации, являющуюся масштабируемой и обеспечивающей согласованность с увеличивающимся множеством коммерческих и других продуктов для центров сертификации.

В простейшей форме иерархия сертификации состоит из одного центра сертификации. Но иерархия часто содержит несколько центров сертификации с явно определенными отношениями "родитель-потомок". В этой модели дочерний подчиненный центр сертификации сертифицируется с помощью сертификатов, выданных его родительским центром сертификации и привязывающих открытый ключ к его удостоверению. Центр сертификации, находящийся на вершине иерархии, называется корневым центром сертификации. Дочерний центр сертификации корневого центра сертификации называется подчиненным центром сертификации. Для получения дополнительных сведений см. Типы центров сертификации.

В Windows, если пользователь доверяет корневому центру сертификации (его сертификат находится в хранилище пользователя для сертификатов доверенных корневых центров сертификации), он доверяет и всем подчиненным центрам сертификации иерархии, обладающим действительным сертификатом центра сертификации. Следовательно, корневой центр сертификации является очень важной точкой доверия в организации и должен быть соответствующим образом защищен. Для получения дополнительных сведений см.Сертификаты центра сертификации.

Существует несколько практических причин для создания нескольких подчиненных центров сертификации, в том числе:

· Использование. Сертификаты могут быть выданы для нескольких целей, например для защищенной электронной почты и для проверки подлинности в сети. Политика выдачи для этих применений может быть различной, и это различие служит основой для администрирования этих политик.

· Подразделения организации. Политики выдачи сертификатов могут отличаться в зависимости от роли объекта в организации. И снова можно создать подчиненные центры сертификации для разделения и администрирования этих политик.

· Географические подразделения. Объекты организаций могут находиться во многих физических местах. Для сетевого взаимодействия между этим местами могут потребоваться отдельные подчиненные центры сертификации для многих или для всех площадок.

· Балансировка нагрузки. Если инфраструктура PKI будет использоваться для выдачи большого количества сертификатов и управления ими, использование только одного центра сертификации может привести к заметной сетевой нагрузке для этого единственного центра сертификации. Использование нескольких подчиненных центров сертификации для выдачи сертификатов одного и того же вида делит сетевую нагрузку между центрами сертификации.

· Резервное копирование и отказоустойчивость. Несколько центров сертификации повышают вероятность постоянного наличия в сети работающих центров сертификации, готовых ответить на запросы пользователей.

Иерархия центров сертификации может также предоставить ряд преимуществ с точки зрения администрирования, в том числе:

· Гибкая конфигурация среды безопасности центров сертификации для настройки баланса между безопасностью и удобством использования. Например, можно использовать специальное криптографическое оборудование на корневом центре сертификации, использовать корневой центр сертификации в физически защищенной области или автономно. Такой подход может быть неприемлемым для подчиненных центров сертификации из-за соображений стоимости или удобства.

· Возможность "выключить" конкретную часть иерархии центров сертификации, не влияя на установленные доверенные отношения. Например, можно легко завершить работу и отозвать выданный сертификат, связанный с конкретным подразделением, не влияя на другие части организации.

Объекты PKI

PKI реализуется в модели клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой может происходить только по инициативе клиента.

Основные компоненты PKI

- Удостоверяющий центр(УЦ) обеспечивает связь идентичности субъекта криптографии (обычно имя и какая-то дополнительная информация) и его открытого ключа. В очень малых PKI удостоверяющий центр может отсутствовать, в средних и крупных он обязательно присутствует.

- Сертификат открытого ключа (чаще всего просто сертификат) - подписанная удостоверяющим центром структура данных идентичности субъекта криптографии и его открытого ключа. Для подписи сертификата удостоверяющий центр выпускает сертификат, который подписывает ключом, указанным в сертификате. Такой сертификат называется самоподписанным (самоизданным).

- Регистрационный центр - компонент системы, проверяющий правильность предоставленных субъектом криптографии данных для формирования записи об идентичности. Удостоверяющий центр доверяет регистрационному центру проверку этой информации. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (т.е. состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами.

- Репозиторий - хранилище выпущенных УЦ сертификатов. В Законе РФ "Об электронной цифровой подписи" он называется реестр сертификатов ключей подписей.

- Архив сертификатов - хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.

Термин Инфраструктура Открытых Ключей (Public Key Infrastructure) представляет всеобъемлющее понятие. Им описывается полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления ключами и сертификатами.

⇐ Назад