Сегодня начинаю публикацию достаточно обширного и объёмного материала про автоматическую подачу заявок на сертификаты (autoenrollment). Данная тема настолько проста и на столько же сложна. И я постараюсь заполнить все пробелы в этой теме и повторить то, что мы уже знаем. Безусловно можно надеяться на ТЗ (Тайное Знание), так что кроме очевидных вещей, немного треша ожидается.
Ссылки на другие материалы из этой серии:
Цифровые сертификаты и службы управления ими достаточно плотно вошли в нашу повседневную жизнь. Многие компании внедряют у себя инфраструктуру цифровых сертификатов, чтобы получить высокий уровень безопасности. Сертификаты применяются для большого количества задач и из них наиболее популярные:
При помощи сертификатов мы можем шифровать файлы, почту, сетевой трафик, удостоверять личность пользователя с применением двухфакторной аутентификации, подпись документов, почты для предотвращения несанкционированного изменения и подлога. Поэтому компании развёртывающие инфраструктуру PKI задаются вопросом максимально быстрого и удобного способа распространения сертификатов между пользователями и компьютерами. Начиная с Windows Server 2003, Microsoft предлагает унифицированное решение этой задачи — autoenrollment. С его помощью клиенты сами без участия людей подают заявки для получения сертификата на сервер CA и устанавливают выданные сертификаты во внутреннее хранилище сертификатов. Это позволяет распространить сертификаты на огромное количество компьютеров затратив на это минимум усилий. Даже в условиях небольших компаний (до 50 машин) ручной запрос и установка сертификатов будет крайне утомительным делом, поскольку недостаточно запросить сертификат, но и нужно вовремя его обновить. В обычных условиях пришлось бы держать выделенного человека, который будет следить за всеми сертификатов всех пользователей и компьютеров и платить ему зарплату. Именно для устранения этой проблемы и ускорению ввода PKI в эксплуатацию и был разработан автоэнроллмент.
Примечание: данный цикл статей не будет затрагивать особенности эксплуатации автоэнроллмента для Windows 2000.
Для успешного внедрения автоэнроллмента требуются следующие компоненты:
Примечание: не для всех операционных систем требуется жёсткое удовлетворение этим требованиям. Для более точных требований к ОС для каждого метода смотрите в таблице ниже.
Автоэнроллмент различает 2 метода автоматического распространения сертификатов:
В последующих статьях мы весьма подробно ознакомимся с каждым из них. На данном этапе вам достаточно знать об их существовании.
Таблица 1: возможности использования автоэнроллмента для клиентов.
V1 Templates | V2 Templates | V3 Templatess | ACR | Autoenrollment | XCEP | Out of Domain?* | |
Windows 2000 | :yes: | :no: | :no: | :yes: | :no: | :no: | :no: |
Windows XP** / Windows Server 2003 R2 | :yes: | :yes: | :no: | :yes: | :yes: | :no: | :no: |
Windows Vista** / Windows Server 2008 | :yes: | :yes: | :yes: | :yes: | :yes: | :no: | :no: |
Windows 7 / Windows Server 2008 R2 | :yes: | :yes: | :yes: | :yes: | :yes: | :yes: | :yes: |
* Out of domain показывает возможность использование автоэнроллмента без членства клиента в домене Active Directory.
** Home редакции Windows XP и Windows Vista не поддерживают функции автоэнроллмента.
Данная таблица показывает, что клиенты под управлением Windows 2000 могут автоматически запрашивать сертификаты только на основе шаблонов версии 1 и только для компьютеров (ACR). Windows XP/2003 могут автоматически запрашивать сертификаты на основе шаблонов версии 1 и только для компьютеров (ACR) и шаблонов версии 2 для пользователей и компьютеров. Windows Vista/2008 позволяют автоматически запрашивать сертификаты на основе шаблонов версий 1, 2 и 3 с учётом общих ограничений шаблонов версии 1. А Windows 7/2008 R2 плюс к предыдущему могут использовать автоматическую подачу заявок без членства в домене с использованием технологии XCEP Autoenrollment.
Таблица 2: возможности Enterprise CA для реализации возможностей автоэнроллмента.
V1 Templates | V2 Templates | V3 Templatess | ACR | Autoenrollment | XCEP* | Out of Domain?** | |
Windows Server 2003 Std*** | :yes: | :no: | :no: | :yes: | :no: | :no: | :no: |
Windows Server 2003 EE/DC*** | :yes: | :yes: | :no: | :yes: | :yes: | :no: | :yes: |
Windows Server 2008 Std | :yes: | :no: | :no: | :yes: | :no: | :no: | :no: |
Windows Server 2008 EE/DC | :yes: | :yes: | :yes: | :yes: | :yes: | :no: | :yes: |
Windows Server 2008 R2 Std | :yes: | :yes: | :yes: | :yes: | :yes: | :yes: | :no: |
Windows Server 2008 R2 EE/DC | :yes: | :yes: | :yes: | :yes: | :yes: | :yes: | :yes: |
* колонка XCEP показывает возможность установки компонента HTTP-enrollment. Данный компонент может работыть на сервере без установки роли Certification Authority.
** Веб служба, реализующая возможности использования HTTP-enrollment должна работыть под управлением Windows Server 2008 R2 EE/DC.
*** Std означает Standard Edition, EE — Enterprise Edition; DC — Datacenter Edition. Itanium-based системы не поддерживают роль CA.
Данная таблица демонстрирует возможности Certification Authority в зависимости от версии и редакции ОС на которой эта роль установлена. Например, Windows Server 2003 и 2008 Std могут использовать только ACR и распространять сертификаты на основе шаблонов версии 1 и только для компьютеров. Windows Server 2003 EE/DC могут использовать как ACR, так и классический автоэнроллмент, автоматически распространяя сертификаты на основе шаблонов версии 2 как компьютерам, так и пользователям. А Windows Server 2008 EE/DC и редакции Windows Server 2008 R2 Std/EE/DC могут автоматически распространять сертификаты для пользователей и компьютеров на основе шаблонов версии 1 (ACR), 2 и 3.
Для общего введения этого должно быть более, чем достаточно. В ближайших частях мы кратко посмотрим на шаблоны сертификатов и более детально разберём работу ACR (Automatic Certificate Request).
продолжение следует…
Comments: