Серверные компоненты PKI
Серверные компоненты PKI
Основными серверными компонентами PKI являются сервер сертификатов, сервер каталогов и сервер восстановления ключей, опциональными компонентами - сервер регистрации, OCSP-сервер, обслуживающий запросы пользователей по онлайновому протоколу статуса сертификата Online Certificate Status Protocol (более подробно об этом см. лекцию 12), и сервер проставления меток времени.
На сервер сертификатов возлагаются функции выпуска и управления сертификатами, защищенного хранения секретного ключа удостоверяющего центра, поддержки жизненного цикла сертификатов и ключей, восстановления данных, ведения контрольного журнала и регистрации всех операций удостоверяющего центра.
Сервер каталогов содержит информацию о сертификатах и атрибутах субъектов сертификатов открытых ключей. Через протокол LDAP приложения стандартным образом обращаются к записям каталогов, например, к адресам электронной почты, номерам телефонов, полномочиям и сертификатам пользователей.
Рис. 3.2. Взаимодействие пользователей с серверами PKI
Сервер каталогов должен обеспечивать:
* сетевую аутентификацию через IP-адреса или DNS-имена и аутентификацию конечных субъектов по именам и паролям или по сертификатам открытых ключей ;
* управление доступом субъектов к информации в зависимости от их прав на выполнение операций чтения, записи, уничтожения, поиска или сравнения;
* конфиденциальность (посредством протокола SSL) и целостность сообщений для всех видов связи [56].
Сервер восстановления ключей поддерживает создание резервных копий и восстановление ключей шифрования конечных субъектов. Среди всех компонентов PKI сервер восстановления ключей должен быть наиболее защищен и обеспечивать сильную аутентификацию администратора и пользователей, поддержку конфиденциальности и целостности сообщений, безопасное хранение всех компонентов ключей.
PKI управляет ключами и сертификатами, используемыми для реализации криптографических операций в web-браузерах, web-серверах, приложениях электронной почты, электронного обмена сообщениями и данными, в приложениях, поддерживающих защищенные сетевые транзакции и сеансы связи через World Wide Web или в виртуальных частных сетях на базе протоколов S/MIME, SSL и IPsec, а также для заверения цифровой подписью электронных документов или программного кода [82]. Наряду с перечисленными выше приложениями, PKI-совместимыми могут быть и корпоративные приложения, разработанные внутри организации.
Приложения электронной почты и обмена сообщениями используют пары ключей для шифрования сообщений и файлов и заверения их цифровыми подписями. Системы электронного обмена данными поддерживают транзакции, требующие аутентификации сторон, обеспечения конфиденциальности и целостности данных. Браузеры и web-серверы используют шифрование для аутентификации, обеспечения конфиденциальности, а также в приложениях электронной коммерции и онлайнового предоставления банковских услуг. Шифрование и аутентификация применяются также для создания виртуальных частных сетей (Virtual Private Networks - VPN) на основе сетей общего пользования, для защиты коммуникаций между сайтами или удаленного доступа (клиент-сервер). Заверение цифровой подписью программных кодов и файлов дает возможность пользователям подтвердить источник получаемых по Интернету программ и файлов и целостность их содержания, это важно и для контроля вирусного заражения.