Краткое руководство по Microsoft PKI - Проектирование PKI

Written on . Posted in Администрирование Windows

ОГЛАВЛЕНИЕ

Страница 3 из 12
 

Проектирование PKI

Когда вы проектируете ваш PKI, то необходимо учитывать следующие вещи:

  • Как должен выглядеть ваша иерархия CA (в том числе количество CA, и их роли)
  • Как вы собираетесь защищать закрытые ключи (private key) CA
  • Где вы будете создавать точки публикации

Давайте поближе посмотрим на каждую из этих проектных проблем.

Проектирование иерархии CA, которая хорошо масштабируется

Количество и уровни CA вы должны учитывать сразу, в зависимости от ваших требований к безопасности и доступности. Вы должны постараться организовать вашу иерархию в соответствии с вашими нуждами. В действительности не существует каких- либо рекомендаций относительно того, сколько уровней CA вам нужно, хотя очень редко кому-либо необходимо 4 или более уровней. Однако, существует правило большого пальца, которое мы представили в таблице 1 ниже, которое здорово поможет вам идти в верном направлении:

Таблица 1: Количество необходимых уровней CA
Уровень CA Комментарии

  • Низкая безопасность (Low security)
  • Сниженные требования к безопасности CA
  • Состоит из одного корневого CA
  • Небольшое количество запросов сертификатов

  • Средняя безопасность (Medium security)
  • Состоит из автономного (offline) корневого и оперативных (online) второстепенных CA
  • Автономный CA удаляется из сети
  • Оперативные CA остаются в сети
  • Рекомендуется использовать два или более CA для выпуска каждого шаблона для сертификата

  • Высокая безопасность (High security)
  • Состоит из автономного корневого (offline root) и автономной политики (offline policy)
  • Один или более выпускающих оперативных дополнительных CA
  • Подходит для больших географически разнесенных организации

Как дополнительное примечание, вы можете вспомнить из предыдущей статьи, что существует нечто, называемое политикой сертификата (certificate policy), которая описывает как и кто будет выпускать и распределять сертификаты для субъектов (субъекты – это пользователи, компьютеры, устройства и т.п.). Если вам кажется, что вам может понадобиться более одной политики сертификата (certificate policy) из-за правовой, географической организационной особенности, то вам определенно нужна трехуровневая иерархия PKI hierarchy, т.к. для соблюдения этого требования необходимо 2 или более политики CA второго уровня.

Когда вы реализуете PKI, вы всегда должны начинать с корневого (root) CA, вне зависимости от того, имеем ли мы дела с одноуровневой, двухуровневой или трехуровневой иерархией PKI hierarchy. Т.к. корневой (root) CA всегда будет в основании доверительных отношений (trust), и очень часто реализуется с использованием самовыпускающегося сертификата (self-issued certificate), то очень важно защищать закрытый ключ (private key) вашего корневого (root) CA всеми доступными способами. Так должно быть всегда, вне зависимости от количества уровней, из которых состоит ваша иерархия PKI. Если ваша иерархия PKI состоит из 2 или более уровней, то для вашего корневого (root) CA необходим минимальный доступ, т.к. к корневому CA будет необходим доступ только для второстепенного CA. Однако, по мере того, как увеличивается расстояние до корневого (root) CA (т.е. увеличивается количество уровней), требования к безопасности снижаются и доступ увеличивается. Это очень важный фактор, когда мы начнем установку CA, о котором мы расскажем позднее в этой статье.

форум администрирование windows