Főoldal » Public Key Infrastructure (PKI) 1. rész

Public Key Infrastructure (PKI) 1. rész

MEGOSZTÁS

Ha tetszett a cikk, akkor nyugodtan oszd meg ismerőseiddel, valószínű ők is örülni fognak neki.

Most, hogy (ismét) foglalkoztam a tanúsítványokkal, eszembe jutott egy régebbi történet, amely nagyjából le van írva, de nincs publikálva. Átnéztem, de mivel túl hosszúra sikeredett, ezért darabolva fogom bloggolni…


Tudom, a PKI olyan dolog, amit nem lehet soha teljesen megérteni (GT szavaival élve J), de legalább pár dolgot megpróbáltam tisztába tenni, hogy ne vaktában lövöldözzek.


Kezdjük az elmélettel.


Telepítés


Azt tudjuk, hogy a CA-t kétféle módon lehet telepíteni: Standalone vagy tartományba integrált Enterprise. A kettő közötti különbség: a vállalati (Enterprise) CA sablonok alapján dolgozik, támogatja az AD-ba integrált automatikus tanúsítvány-igénylést, valamint felhasználói tanúsítványok kibocsátására alkalmas. Az önálló (Standalone) CA mindezeket nem támogatja, ezért elsősorban Root CA vagy Policy CA feladatkörökre használják.


Bár nem teljesen egyértelmű, de a Windows SKU-ja sokat számít. Ugyanis a Standard verziók csak a Version 1 típusú sablonokat támogatják, nincs kulcs-archiválás (key-archiving), szerepkör szétválasztás (role separation) vagy automatikus igénylés. Mindezeket csak az Enterprise vagy Datacenter verziók biztosítják.


Itt találunk némi további pontosítást: a Standard SKU-ra is tudunk telepíteni Enterprise CA-t, de pl. nem tudjuk használni az automatikus igénylést. Enterprise CA esetén pedig a telepített gép tagja kell legyen egy tartománynak, de nem kell DC legyen.


Standalone tud más névvel is legenerálni tanúsítványt (pl. kinti név más, mint a belső, pl. Owa), az Enterprise viszont tud Autoenrollment-et, s AD-ba teszi a kész tanúsítványt.


Szerepkörök


A Windows 2003 és 2008 CA-k támogatják a szerepkör szétválasztást (role separation). Ezek az alábbiak:


CA Administrator: a CA-t kezeli és a tanúsítvány-sablonokat módosíthatja


CA Manager: Jóváhagyja a tanúsítvány-kéréseket és visszavonja a tanúsítványokat. Ugyanakkor joga van magán-kulcsok visszaállítására.


Auditor: A biztonsági eseménynapló megtekintésére jogosult


Backup Operator: A CA adatbázisának, konfigurációjának és kulcsainak mentését végzi


Tanúsítvány-listák (CRL, CTL)


Az egyik legfontosabb dolog a tanúsítvány lejártának ellenőrzése. Ezt a Windows 2003 a CRL (Certificate Revocation List)-en keresztül végzi, ennek a Delta-CRL verzióján keresztül. A Windows 2008 ezen kívül még támogatja az OCSP (Online Certificate Status Protocol)-t is.


A CTL (Certificate Trust List) a megbízható CA-knak a hash kivonatait tartalmazó aláírt lista, mely házirend segítségével kerül szétosztásra.


Sablonok


A tanúsítvány-sablonok határozzák meg a tanúsítványok tartalmi keretét és kiszolgálásuk menetét, például meg tudjuk határozni a CRL disztibúciós pontjainak elérését. Továbbá egy tanúsítvány-kezelőt is ki tudunk jelölni, aki a beérkező kéréseket jóváhagyja.


Most egy picit beszéljünk a különböző sablon-verziókról.


Version 1: Windows 2000-nél jelentek meg, nem módosíthatóak, kizárólag a hozzáférési jogokat tudjuk szabályozni.


Version 2: Windows 2003-nál lettek bevezetve, egyénileg konfigurálhatóak


Version 3: Windows 2008-nál hozták őket létre, támogatják az új Microsoft Crypto-API felületét, új titkosításokkal és hash algoritmusokkal.


Mint már említettük, csak az Enterprise vagy Datacenter SKU-k tudnak a V2 és V3 sablonokra épülő tanúsítványokat kibocsátani.


(Forrás: Asteriksz blogja)

MEGOSZTÁS

Ha tetszett a cikk, akkor nyugodtan oszd meg ismerőseiddel, valószínű ők is örülni fognak neki.