Централизованное резервное копирование сертификатов и закрытых ключей средствами Службы Сертификатов Microsoft
Централизованное резервное копирование цифровых сертификатов устраняет ряд сложностей, которые возникают при ручном архивировании сертификатов:
- упрощается администрирование централизованного хранилища сертификатов и закрытых ключей;
- отпадает необходимость обхода всех клиентских машин;
- появляется возможность полной автоматизации процесса архивации;
- восстановление отдельных сертификатов можно делегировать выделенному агенту или агентам.
Суть централизованного автоматического архивирования сертификатов сводится к архивированию базы Службы Сертификатов.
Но! По умолчанию база Службы Сертификатов содержит в себе только сами сертификаты, а закрытые ключи всегда генерируются на локальных компьютерах и затем никуда из локального хранилища не передаются.
Как же заставить локальные компьютеры передавать центру сертификатов свой закрытый ключ?
Ответ следующий. До начала генерации запросов на получение клиентских сертификатов системный администратор должен выполнить следующие действия:
- настроить Key Recovery Agent (KRA) на сервере сертификатов. KRA может быть несколько;
- настроить в свойствах шаблона сертификатов разрешение на архивацию закрытого ключа.
После выполнения этих действий клиентский компьютер в процессе получения клиентского сертификата будет автоматически передавать на сервер сертификации свой закрытый ключ, а центр сертификации, в свою очередь, будет сохранять этот ключ в базе сертификатов в зашифрованном виде (с помощью ключа KRA) как дополнительный атрибут сертификата.
Восстановление сертификата вместе с закрытым ключом выполняется с помощью сертификата и закрытого ключа KRA в стандартный файл .pfx, который затем импортируется на клиентском компьютере.
Планирование безопасного хранения и применения закрытого ключа KRA является критически важным элементом политики безопасности цифровых сертификатов. Закрытый ключ KRA, фактически, становится мастер-ключом, позволяющим дешифровать любые закрытые ключи, сохраненные в базе Службы Сертификатов.
При планировании политики централизованного архивирования ключей необходимо учитывать и некоторые ограничения. Некоторые из них перечислены ниже:
- шаблоны клиентских сертификатов должны быть версии 2 или 3 (версия 3 нужна для использования шифрации CNG);
- для генерации асимметричных ключей должен использоваться алгоритм RSA; ключи, сгенерированные другими алгоритмами, не архивируются средствами Службы Сертификатов.
Пошаговое руководство по централизованному архивированию ключей есть в учебном курсе 6426 “Конфигурирование и устранение неисправностей решений идентификации и управления доступом на основе Windows Server 2008 Active Directory".
Подробнее о процедуре архивации закрытых ключей для серверов Windows Server 2003: http://technet.microsoft.com/ru-ru/library/cc738977(WS.10).aspx
Подробнее о процедуре архивации закрытых ключей для серверов Windows Server 2008: http://technet.microsoft.com/en-us/library/ee449489(WS.10).aspx
Подробнее о резервном копировании базы Службы сертификатов в Windows Server 2008: http://blogs.technet.com/b/pki/archive/2010/08/06/backing-up-windows-server-2008-adcs-ca-keys.aspx
Связанные статьи:
- Часть 1. Общая часть
- Часть 2. Резервное копирование сертификатов и ключей вручную
- Часть 3. Централизованное резервное копирование
- Часть 4. Особенности резервного копирования ключей для смарт-карт
Комментариев нет:
Отправить комментарий