Посібник із центрів сертифікації, Microsoft Docs
Застосовується до: Windows Server 2012 R2, Windows Server 2012
Центр сертифікації (ЦС) відповідає за підтвердження особистості користувачів, а також за підтвердження автентичності комп'ютерів та організацій. Центр сертифікації виконує аутентифікацію об'єктів і підтверджує їхню автентичність випуском сертифіката з цифровим підписом. Центр сертифікації також може керувати сертифікатами, здійснювати їх відкликання та продовження.
У ролі центру сертифікації можуть виступати:
організація, що підтверджує особу користувача;
сервер, використовуваний організацією випуску сертифікатів і управління ними.
Встановивши службу ролі центру сертифікації для служб сертифікатів Active Directory (AD CS), можна налаштувати сервер Windows Server як ЦС.
Перед встановленням служби ролі ЦС слід виконати такі дії:
спланувати інфраструктуру відкритих ключів (PKI) відповідно до вимог організації;
встановити та налаштувати апаратний модуль безпеки (HSM) відповідно до інструкцій його виробника, якщо ви плануєте використовувати такий модуль;
створити відповідний файл CAPolicy.inf, якщо необхідно змінити параметри установки за промовчанням.
Планування інфраструктури відкритих ключів
Щоб організація могла повною мірою використати можливості служб сертифікатів Active Directory (AD CS), необхідно правильно спланувати розгортання інфраструктури PKI. Перед встановленням будь-якого ЦС слід визначити, скільки ЦС буде встановлено та у якій конфігурації. Правильне проектування інфраструктури PKI може зайняти чимало часу, але воно необхідне для успішного розгортання.
Додаткові відомості та ресурси див. у документі Посібник зпроектування PKI на сайті Microsoft TechNet.
Використання апаратного модуля безпеки
За допомогою апаратного модуля безпеки (HSM) можна підвищити безпеку ЦС та інфраструктури PKI.
Модуль HSM – це спеціальний пристрій, керування яким здійснюється незалежно від операційної системи. Воно надає захищене апаратне сховище для ключів ЦС, а також спеціальний криптографічний процесор для прискореного підписання та шифрування. Операційна система використовує модуль HSM у вигляді інтерфейсів CryptoAPI. При цьому модуль HSM виступає у ролі пристрою-постачальника служб шифрування (CSP).
Зазвичай модулі HSM є адаптерами PCI, але це також можуть бути мережні, послідовні пристрої та пристрої USB. Якщо організація планує розгорнути два ЦС або більше, ви можете встановити один модуль HSM, який буде використовуватися кількома ЦС.
Щоб налаштувати ЦС за допомогою ключів, які зберігатимуться у модулі HSM, необхідно попередньо встановити та налаштувати цей модуль.
Використання файлу CAPolicy.inf
Файл CAPolicy.inf не потрібний для встановлення служб AD CS, але за допомогою цього можна налаштувати параметри ЦС. Файл CAPolicy.inf містить різні параметри, які використовуються для встановлення ЦС або продовження сертифіката ЦС. Для використання файлу CAPolicy.inf його необхідно створити та зберігати у каталозі %systemroot% (зазвичай C:\Windows).
Параметри, що включаються до файлу CAPolicy.inf, в основному залежать від типу розгортання, що створюється. Наприклад, для кореневого ЦС файл CAPolicy.inf може мати такий вигляд:
У той час як для організації, що надає ЦС, файл Capolicy.inf може виглядати так:
Ідентифікатори об'єктів, наведені у зразках файлуCAPolicy.inf, - це лише приклади. Кожна організація має отримати свій ідентифікатор об'єкта (OID). Додаткові відомості про ідентифікатори об'єктів див. у статті Отримання кореневого ідентифікатора об'єкта із центру реєстрації імен ISO.
Для отримання додаткових відомостей див. Синтаксис файлу CAPolicy.inf.
Вибір параметрів конфігурації ЦА
У наступних розділах описуються параметри конфігурації, які потрібно вибрати після встановлення двійкових інсталяційних файлів ЦС.
Вибір типу установки
ЦС підприємства інтегровані з доменними службами Active Directory (AD DS). Вони публікують сертифікати та списки відкликання сертифікатів у AD DS. ЦС підприємства використовують інформацію, що зберігається в AD DS, включаючи відомості про облікові записи користувачів та групи безпеки, для затвердження або відхилення запитів сертифікатів. ЦС підприємства використовують шаблони сертифікатів. При видачі сертифіката ЦС підприємства використовує інформацію з шаблону для створення сертифіката з атрибутами, відповідними цьому типу сертифікатів.
За умовчанням встановлювати та налаштовувати ЦС підприємства можуть лише члени групи адміністраторів підприємства. Якщо потрібно надати повноваження для встановлення та налаштування ЦС підприємства адміністраторам домену з нижчим рівнем прав, виконайте інструкції з розділу Делегована установка центру сертифікації підприємства.
Ізольовані ЦС не вимагають наявності служб AD DS і не використовують шаблони сертифікатів. Якщо використовуються ізольовані ЦС, вся інформація про тип запитаного сертифіката має включатись у запит на сертифікат. За замовчуванням всі запити на сертифікати, надіслані в ізольовані ЦС, містяться в чергу очікування, поки адміністратор ЦС не затвердить їх. Уізольованих ЦС можна налаштувати автоматичну видачу сертифікатів при надходженні запитів, але робити це зазвичай не рекомендується, тому що автентифікація запитів не провадиться і безпека знижується.
З погляду продуктивності використання ізольованих ЦЗ з автоматичною видачею дозволяє видавати сертифікати швидше, ніж під час використання ЦС підприємства. Якщо автоматична видача не включена, використання ізольованих ЦС для видачі великої кількості сертифікатів зазвичай призводить до значних витрат на адміністрування, оскільки адміністратор повинен перевіряти вручну, а потім затверджувати або відхиляти кожен запит сертифіката. З цієї причини ізольовані ЦС краще підходять при використанні додатків для забезпечення безпеки на основі загальнодоступних ключів в екстрамережах та в Інтернеті, коли у користувачів немає облікових записів і коли кількість сертифікатів, що видаються і керуються, порівняно мала.
Ізольовані ЦС необхідно використовувати для видачі сертифікатів, якщо застосовується служба каталогів не від корпорації Майкрософт або служби AD DS недоступні. В організації можна одночасно використовувати центри сертифікації підприємства та ізольовані центри сертифікації, як описано в наведеній нижче таблиці.
Публікація сертифікатів у Active Directory та використання Active Directory для перевірки запитів на сертифікати.