P02: Внутренний Центр Сертификации

Назначение

Центр сертификации предназначен для выдачи и проверки сертификатов. Центр сертификации используется для всех внутренних сервисов, а также для ряда публичных сервисов. Он повышает защищенность инфраструктуры в целом и является ключевым ИТ сервисом. Для публичных сервисов, таких, например, как веб сайт, используется инфраструктура внешних доверенных центров сертификации.

Требования

Можно сформулировать основные требования к сервису:

•Высокая производительность

•Высокая отказоустойчивость

•Высокая масштабируемость

•Низкая стоимость владения

•Обслуживание порядка 1000 пользователей

•Обслуживание порядка 1000 устройств

Архитектура

Центр сертификации строится на платформе Microsoft Windows 2016 Server Standard. Служба «Центр Сертификации» CA PKI. Сервис разворачивается в дата центре. Служба строится по классической «двух узловой» схеме.

Сервер «Offline Root CA» физический сервер, не в домене, физически установлен в дата центре. Большую часть времени выключен. Его задача выдавать сертификаты для «Subordinate Issue CA».

Сервера «Subordinate Domain Integrated Issue CA» кластер виртуальных серверов, располагается на виртуальных машинах, включены в домен. Их задача выдавать сертификаты для ресурсов домена, формирование шаблонов.

Сервера «Online Certificate Service Responder» кластер виртуальных серверов, располагается на виртуальных машинах, включены в домен. Их задача проверять отозванные сертификаты и указывать на узлы центра сертификации. Может располагаться на серверах «Subordinate Domain Integrated Issue CA». Выделение их на отдельные машины и перенос в другой сегмент снижает трафик из внешней сети в сегмент серверов и повышает уровень безопасности. При наличии средств балансировки нагрузки можно обойтись без применения кластера.

Возможности решения

Возможности принятого решения:

•Выдача сертификатов для компьютеров;

•Выдача сертификатов для пользователей;

•Выдача сертификатов для служб и программ;

•Возможность автоматического получения (auto enrollment) и обновления сертификатов;

Ограничения решения

Ограничения, накладываемые данным решением:

•Возможности автоматического получения (auto enrollment) и обновления сертификатов только для Windows систем, входящих в состав домена;

Физическая архитектура

Физическая архитектура представляет из себя:

•ADCS-PDC-CA – Сервер «Offline Root CA» – физический сервер. Вычислительные ресурсы соответствуют виртуальной машине размера XS. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Сервер не входит в состав домена.

•ADS-PDC-IS01 и ADCS-PDC-IS02 – Сервера «Issue Subordinate» – виртуальные машины. Вычислительные ресурсы соответствуют виртуальной машине размера S. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Является частью домена.

•ADCS-PDC-OCSR01 и ADCS-PDC-OCSR02 – Сервера «OCSR Responder» – виртуальные машины. Вычислительные ресурсы соответствуют виртуальной машине размера S. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Является частью домена.

Логическая архитектура

Логическая архитектура представляет из себя ADCS-PDC-CA – Сервер «Offline Root CA» – сервер, расположенный в сегменте VLAN10 «T0 SERVERS». Роль сервера: Выделенный сервер с ролью «Certificate Authority» включенный по схеме «Offline Standalone». Предназначен для выдачи сертификатов для серверов выдачи сертификатов «Subordinate Issue CA»;

ADCS-PDC-IS01 и ADCS-PDC-IS02 – Сервера выдачи сертификатов «Subordinate Domain Integrated Issue CA» – сервера располагаются в сегменте VLAN20 «T1 SERVERS». Роль серверов: Выделенный сервер с ролью «Subordinate Issue Certificate Authority» включенный по схеме «Enterprise». Сервера собраны в кластер. Предназначен для выдачи сертификатов конечным устройствам и пользователям;

ADCS-PDC-OCSR01 и ADCS-PDC-OCSR02 – Сервера проверки сертификатов «OCSR Responder» – сервера располагаются в сегменте VLAN40 «DMZ». Роль серверов: Выделенный сервер с ролью «OCSR Responder». Предназначен для указания на источник (AIA) и проверки отозванных сертификатов (CRL) конечными устройствами и пользователям;

Лицензирование

Лицензирование сервиса включает в себя лицензирование серверных операционных систем (Windows 2016 Server Standard) и клиентского доступа на пользователя (Windows CAL USER) и устройство (Windows CAL DEV). Не требуют лицензирования встроенная служба центра сертификации (ADCS).

Стоимость лицензирования серверных операционных систем виртуальных машин сервиса включена в стоимость платформы виртуализации. Физический сервер требует отдельного лицензирования. Клиентские лицензии на доступ к серверам (Windows CALs) являются частью пакета Enterprise CAL Suite.

Зависимости и окружение

Центр сертификации является ключевым сервисом для всей ИТ инфраструктуре. Для его развертывания необходимо наличие платформы виртуализации (C01), Системы Хранения Данных СХД (C02), Сетевой Инфраструктуры (C03) и служб Активного Каталога и DNS (P01).

Мощности

Текущая модель позволяет обслуживать порядка 1000 объектов.

Масштабирование

Масштабирование сервиса возможно двумя путями: Повысить вычислительные мощности серверов или добавить дополнительные сервера.

Отказоустойчивость и восстановление

Сервера построены по схеме отказоустойчивости. Корневой сервер уникальный, его восстановление возможно только из резервной копии или реплики резервного сайта.

Отказоустойчивость двух других компонентов обеспечивается использованием средств балансировки нагрузки или построением кластера между парами серверов раздающими сертификаты и проверяющими сертификаты. Виртуальные машины располагаются на различных хостах платформы виртуализации. Отказоустойчивость на уровне сайтов обеспечивается дополнительными серверами.

Роли и ответственности

Административная роль «Adm_PKI_Administrator» для конфигурирования серверов. Сервисная роль для запуска серверов не предусмотрена. Для разворачивания Сервера «Subordinate Domain Integrated Issue CA» необходимо использовать права «Enterprise Administrator» корневого домена леса. Данный пользователь добавляется в группу локальную «Administrators» на сервере PKI-PDC-IS01. За работу сервиса отвечает «системный администратор».

Установка

Установка серверов (PKI-PDC-CA, PKI-PDC-IS01, PKI-PDC-OCSR01)

Сервер PKI-PDC-CA:

•Добавление роли Active Directory Certificate Services – Certificate Authority

•Настройка CA (с правами локального администратора, Standalone CA, Root CA,)

•Создаем новый ключ (RSA # Microsoft Software Key Storage Provider, Key length = 4096, Hash algorithm = SHA256)

•Указываем имя CA:

Common Name: HOLDING-PKI-ROOT-CA

Distinguish Name Prefix: DC=HOLDING, DC=local

Preview Distinguish Name: CN=HOLDING-PKI-ROOT-CA, DC=HOLDING, DC=local

Период действия = 5 лет. (Если период действия 20 лет, то необходимо изменить значение регистра: KLMSYSTEMCurrentControlSetServicesCertSvcConfigurationCAName

•Так как CA Offline, то добавляем две команды PowerShell (чтобы проверка CRL и AIA была на сервере PKI-PDC-OCSR01. Добавляет в регистр значения для alias проверки):

certutil. exe -setreg caDSConfigDN «CN=configuration, DC=MYCOMPANY, DC=local»

certutil. exe -setreg caDSDomainDN «DC=MYCOMPANY, DC=local»

•Настройки Extensions CA certificate (PKI-ROOT-CA -> Properties -> Extensions). Удаляем все записи и добавляем:

CRL Distribution Point (CDP): http://pki.mycompany.local/cdp/<CaName><CRLNameSuffix>.CRL

•Check: Include in CDP extension of issue certificates

Authority Information Access (AIA): http://pki.mycompany.local/aia/<CaName><CertificateName>.CRT

•Check: Include in the AIA extension of issue certificates

•Перезапуск сервиса

•Меняем период публикации CRL publication interval to 5 years (Revoked Certificate -> Properties ->)

•Публикуем Certificate Revocation List (CRL)

По умолчанию CRL и AIA располагаются в директории: c:Windowssystem32CertSrvCertEnroll

Данный текст является ознакомительным фрагментом.