Microsoft TechDayshttp:// Леонид Шапиро MCT, MVP ЦКО «Специалист»

Microsoft TechDayshttp:// Что такое УЦ Файл capolicy.inf Установка Offline Root CA Разработка пост установочного конфигурационного скрипта Подведем итоги…

Microsoft TechDayshttp:// Подтверждает аутентичность запрашивающего сертификат объекта Механизмы проверки зависят от типа CA. Выдает сертификаты Информация в сертификате определяется шаблоном сертификата. Управляет отзывом сертификатов Список отзыва сертификатов (CRL) гарантирует невозможность использования «неправильных» сертификатов. Подтверждает аутентичность запрашивающего сертификат объекта Механизмы проверки зависят от типа CA. Выдает сертификаты Информация в сертификате определяется шаблоном сертификата. Управляет отзывом сертификатов Список отзыва сертификатов (CRL) гарантирует невозможность использования «неправильных» сертификатов.

Microsoft TechDayshttp://

Цели создания Содержимое Примеры

[Version] Signature= "$Windows NT$" [PolicyStatementExtension] Policy = LegalPolicy Critical = 0 [LegalPolicy] Notice = Legal policy statement text. URL = [basicconstraintextension] Pathlength = 2 [certsrv_server] RenewalKeyLength = 2048 RenewalValidityPeriodUnits = 10 RenewalValidityPeriod = years CRLPeriodUnits = 180 CRLPeriod = days CRLOverlapUnits = 2 CRLOverlapPeriod = weeks CRLDeltaPeriodUnits = 0 CRLDeltaPeriod = hours DiscreteSignatureAlgorithm = 1

Microsoft TechDayshttp:// Леонид Шапиро MCT, MVP ЦКО «Специалист»

Microsoft TechDayshttp://

Место размещения УЦ Место хранения ключевой информации Длина ключа Время жизни Место хранения БД и файлов журналов Защита Offline Root CA

Microsoft TechDayshttp:// Устанавливаем службу на standalone сервер Отключаем от сети Обеспечиваем физическую безопасность

Microsoft TechDayshttp:// Метод защитыПлюсыМинусы Локальное хранилищеПростота внедрения Низкая стоимость внедрения Низкий уровень безопасности Только стандартный CSP Смарт-карта или токенПростота внедрения Низкая стоимость внедрения Более высокий уровень безопасности по сравнению с первым вариантом Недостаточный уровень физической безопасности, т. к. карта может быть похищена, или потеряна. Требует присутствия смарт карты при старте УЦ. Зашифрованная виртуальная машина Простота внедрения Низкая стоимость внедрения Независимость от аппаратного обеспечения Средний уровень безопасности. Угрозу представляет похищение носителя с виртуальной машиной. Аппаратный модуль безопасности (HSM) Высокий уровень безопасности Дополнительные затраты

Microsoft TechDayshttp:// Тип УЦДлина ключа Root CA4096 Policy CA4096 Issuing CA2048

Microsoft TechDayshttp:// HTTP LDAP FTP File share (SMB)

Microsoft TechDayshttp:// Леонид Шапиро MCT, MVP ЦКО «Специалист»

Microsoft TechDayshttp:// Настройка УЦ Готовим пост. установочный скрипт (что внутри?) Проверка корректности установки Защита УЦ

md C:\CertData certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl\n65:C:\CertData\Root -CA%8.crl\n2: certutil -setreg CA\CACertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2: ers.msft/pki/Root-CA%4.crt" ren %windir%\system32\CertSrv\CertEnroll\*.crt Root-CA.crt copy %windir%\system32\CertSrv\CertEnroll\Root-CA.crt C:\CertData certutil -setreg CA\ValidityPeriodUnits 5 certutil -setreg CA\ValidityPeriod "Years" certutil -setreg CA\CRLPeriodUnits 180 certutil -setreg CA\CRLPeriod "Days" certutil -setreg CA\CRLDeltaPeriodUnits 0 certutil -setreg CA\CRLDeltaPeriod "Days" certutil -setreg CA\CRLOverlapPeriod "Weeks" certutil -setreg CA\CRLOverlapUnits 2 Certutil -setreg CA\csp\DiscreteSignatureAlgorithm 1 certutil -setreg CA\AuditFilter 127 net stop certsvc && net start certsvc certutil -CRL

md C:\CertData certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl\n65 :C:\CertData\Root- CA%8.crl\n2: certutil -setreg CA\CACertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2: ren %windir%\system32\CertSrv\CertEnroll\*.crt Root-CA.crt copy %windir%\system32\CertSrv\CertEnroll\Root-CA.crt C:\CertData

certutil -setreg CA\ValidityPeriodUnits 5 certutil -setreg CA\ValidityPeriod "Years" certutil -setreg CA\CRLPeriodUnits 180 certutil -setreg CA\CRLPeriod "Days" certutil -setreg CA\CRLDeltaPeriodUnits 0 certutil -setreg CA\CRLDeltaPeriod "Days" certutil -setreg CA\CRLOverlapPeriod "Weeks" certutil -setreg CA\CRLOverlapUnits 2

certutil -setreg CA\AuditFilter 127 net stop certsvc && net start certsvc certutil -CRL

Microsoft TechDayshttp:// Леонид Шапиро MCT, MVP ЦКО «Специалист»

Microsoft TechDayshttp:// Проектирование Capolicy.inf Развертывание службы Пост. установочный скрипт Обеспечение безопасности

Microsoft TechDayshttp:// Designing and Managing a Windows Public Key Infrastructure 2823 Implementing and Administering Security in a Microsoft Windows Server 2003 Network Microsoft Press Brian Komar «Windows Server 2008 PKI and Certificate Security» Part1.html

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.