Новое мощное средство управления сертификатами

Был размеренный день, вы тихо
занимались делами — и вдруг вам звонят из службы саппорта: на одном
из серверов истек срок деяния сертификата. Вся система стоит, а
ваша компания теряет время (и средства), пока вы обновляете
сертификат.

Если вы
заведуете инфраструктурой открытых ключей (PKI), вы наверное не раз
удивлялись внезапно истекшему сертификату. Размеренный день… О
размеренных днях пришлось запамятовать.

Включив службы PKI в
Windows® 2000 и Windows Server® 2003, Майкрософт сделала комфортное и дешевое
средство сотворения своей среды PKI в организации. К огорчению,
в службах PKI не было способности управлять актуальным циклом
сделанных сертификатов. Но Майкрософт не так давно заполучила средство
управления сертификатами, после этого выпустила Identity Lifecycle
Manager (диспетчер актуального цикла удостоверений, ILM), который
соединяет воединыжды управление сертификатами с предоставлением удостоверений
и функциями контроля сервера Microsoft®
Identity Integration Server (MIIS). В этой статье мы разглядим, как
ILM может посодействовать в управлении сертификатами и смарт-картами в рамках
организации.

Архитектура ILM-CM

В базе архитектуры ILM
Certificate Management (управления сертификатами ILM, ILM-CM) лежит
сервер ILM-CM и его составляющие (рис. 1).
Сервер ILM-CM можно установить на отдельном сервере, настроенном на
взаимодействие с одним либо несколькими центрами сертификации (CA).
Для работы ILM-CM нужна СУБД SQL Server™, применяемая для
хранения инфы о сертификатах, политик и других сведений о
сертификационной среде. Для управления учетными записями и
разрешениями безопасности требуются службы Active Directory®. Нужные составляющие и их версии показаны
на Новое массивное средство регулирования сертификатами
Рис. 1 Архитектура ILM-CM

После установки среды ILM-CM
все запросы сертификатов будут направляться на сервер ILM-CM. Он
хранит в базе данных SQL Server всю связанную с сертификатами
информацию, которую можно использовать для сотворения отчетов,
конфигурации и поддержания рабочего состояния.

Архитектура ILM-CM состоит из
3-х частей верхнего уровня: сервера ILM-CM, подключаемых модулей
центров сертификации и клиентских компонент. Серверную часть можно
установить на центре сертификации либо на сервере, применяемом в
основном для ILM-CM. После чего сервер ILM-CM будет обращаться к
центрам сертификации, базе SQL Server и службам Active Directory. Он
также обеспечивает веб-портал, при помощи которого менеджеры по
сертификации указывают политики сертификации и рабочие процессы, а
подписчики на сертификаты могут запрашивать новые сертификаты и
обновлять имеющиеся.

Чтоб центр сертификации мог
обратиться к серверу ILM-CM, в этом центре нужно установить и
настроить политики ILM-CM и модули выхода. Эти два компонента
употребляются для записи сертификационных сведений в базу данных.
Когда центр сертификации выдает сертификат, модуль выхода должен
отослать информацию об этом на сервер ILM-CM, который запишет ее в
базу данных.

Если планируется поддержка
смарт-карт, необходимо также установить клиентское программное
обеспечение ILM-CM по работе с такими картами. Это необходимо сделать на
каждом клиентском компьютере, который должен обращаться к серверу
ILM-CM.

Установка
ILM-CM

Установка сервера ILM-CM
очень ординарна и на сто процентов контролируется мастером. Но перед его
пуском следует сделать несколько подготовительных шагов.

1-ое, что будет нужно —
службы Active Directory и расширение схемы ILM-CM. Расширение схемы
несет несколько дополнительных атрибутов безопасности Microsoft .NET
Framework, которые нужны для реализации шаблонов профилей.

Также пригодится установка
.NET Framework 2.0 и всех компонент, упомянутых ранее — SQL
Server, центров сертификации и SMTP-сервера. Если ILM-CM будет
установлен не на том же компьютере, что и центр сертификации, необходимо
установить на компьютере последнего модули ILM-CM, запустив на нем
мастер установки ILM-CM. По окончании установки вы можете посетить
портал ILM-CM, направив обозреватель по адресу

http://hostname/CLM.

Для включения извещений об
истечении либо обновлении сертификата необходимо настроить службу ILM-CM
на сервере ILM-CM. Начните с сотворения соответственной учетной записи
в Active Directory. Потом в службах ILM-CM сделайте эту запись
учетной записью для входа. Позже добавьте эту учетную запись к
группе локальных админов и группе IIS_WPG на сервере ILM-CM,
также занесите ее в групповые политики «Работа в режиме
операционной системы», «Создание журналов безопасности» и «Замена
маркера уровня процесса». После чего сервер сумеет отправлять по
электрической почте извещения об истекшем сроке годности обладателям
сертификатов либо менеджерам, если анализ базы данных SQL Server
покажет такие сертификаты.

Администрирование ILM-CM

Управление ILM-CM
осуществляется через веб-интерфейс, поделенный на многофункциональные
области: управление учетными записями, сертификатами и
смарт-картами. Подключившись к порталу ILM-CM и имея достаточные
администраторские возможности, можно узреть перечень из огромного числа
административных задач, позволяющих управлять средой ILM-CM (рис. 3). Раздел «Common Tasks» (Общие задачки)
предоставляет разные способности, в том числе подписку
юзеров на новые наборы сертификатов и смарт-карты. Тут же
находятся средства регулирования запросами и их утверждения.

Новое массивное средство регулирования сертификатами
Рис.
3 Административные задачки на
портале ILM-CM

Отыскать юзера либо
сертификат можно при помощи области задач «Manage Users and
Certificates» (Управление юзерами и сертификатами).
Предоставляются варианты: отыскать, вернуть, отозвать либо обновить
сертификат. Имеется перечень случаев отзыва.

Если в организации
употребляются смарт-карты, направьте внимание на раздел «Manage User
Smart Cards» (Управление смарт-картами юзеров). К примеру,
если юзер заблокировал свою карту, менеджер может
разблокировать ее. Можно производить поиск и просматривать
смарт-карты, находящие в локальном устройстве чтения.

Область «Requests» (Запросы)
позволяет просматривать и удовлетворять запросы юзеров на
сертификаты. Например, можно показать перечень всех сертификатов,
запрос на которые пока не удовлетворен. Область «Administration»
(Администрирование) позволяет создавать и управлять шаблонами
профилей. В конце концов, область «Reports» (Отчеты) предназначена, как
несложно додуматься, для разработки и сотворения отчетов о
юзерах и сертификатах.

Если ваша учетная запись не
имеет административных приемуществ, то после входа на портал ILM-CM
вам будет представлена страничка, предназначенная подписчикам. На ней
юзеры сертификатов могут без помощи других производить
управление ими (рис. 4). Допускается
просмотр и управление сертификатами и смарт-картами в согласовании с
действующей политикой. К примеру, можно запросить сертификат либо
смарт-карту, просмотреть выданные сертификаты и поменять ПИН-код
карты.

Новое массивное средство регулирования сертификатами
Рис.
4 Страничка портала,
созданная для юзеров

Хоть какому предприятию совершенно не
просто сделать высоконадежный, делегированный рабочий процесс
выпуска, обновления, подмены и отзыва сертификатов либо смарт-карт.
ILM-CM дает возможность делегировать эти задачки и тем
обеспечить огромную защищенность. Пусть, например, юзер
запамятовал ПИН-код собственной смарт-карты. В рамках модели делегированного
рабочего процесса он может позвонить в службу саппорта и ответить
на ряд проверочных вопросов. Если все верно, служба саппорта
разблокирует карту. Другой пример делегированного рабочего процесса
— восстановление сертификата файловой системы с шифрованием (EFS) в
случае его ненамеренного удаления либо утери переносного
компьютера.

Шаблоны
профилей

Шаблон профиля — базисный
компонент, обеспечивающий полное управление рабочим процессом в
ILM-CM. Это административный объект, содержащий один либо несколько
шаблонов сертификатов. Сделанный и настроенный шаблон профиля
определяет ход рабочего процесса в сертификационной среде. Главный
нюанс шаблона профиля — возможность содержать несколько шаблонов
сертификатов, трактуемых как единое целое. В итоге управлять
учетными записями юзеров можно при помощи единственного
шаблона, который выслеживает актуальный цикл процесса
сертификации.

Шаблоны профилей можно
настроить на хранение сертификатов на компьютере (шаблоны,
основанные на программном обеспечении) либо на смарт-карте (шаблоны,
основанные на оборудовании). Создаются шаблоны копированием базисного
шаблона, доступного в административном портале ILM-CM. Потом
определяется ряд компонент политики управления (рис. 5).

Новое массивное средство регулирования сертификатами
Рис.
5 Шаблон профиля

Большая часть компонент
политики применимы и к программным, и к аппаратным профилям (рис. 6).

Рис 6  Политики программных профилей

Компонент
Описание
Сведения о профиле Общая информация о шаблоне профиля. Тут осуществляется добавление к шаблону профиля шаблонов сертификатов.
Политика дублирования Определяет сути рабочего процесса имеющегося сертификата.
Политика подачи заявок Определяет рабочий процесс подачи заявок на сертификаты.
Политика сетевого обновления Похожа на обыденную политику обновления, но может обновлять имеющиеся сертификаты, содержимое сертификатов, шаблоны и прошивку смарт-карт.
Политика восстановления от имени Восстанавливает закрытый ключ либо сертификат юзера.
Политика обновления Определяет рабочий процесс обновления сертификата с истекшим сроком.
Политика возвращения Определяет процесс восстановления отозванного сертификата.
Политика восстановления Определяет рабочий процесс восстановления сертификата, который был случаем удален либо находился на украденном либо покоробленном компьютере.
Политика отзыва Определяет рабочий процесс отзыва всех сертификатов, содержащихся в профиле.

Некие из их заслуживают отдельного
упоминания. Политика подачи заявлений на сертификаты употребляется
для определения разных качеств того, как будет происходить
процесс подачи. К примеру, можно настроить сбор данных: юзеры
должны будут ввести такие сведения, как код собственного подразделения,
адресок электрической почты и имя конкретного начальника. Еще
можно настроить автоматическую печать официального документа по
факту выдачи сертификата юзеру.

Огромную пользу может принести
политика сетевого обновления. Она похожа на обыденную политику
обновления, но может обновлять содержимое сертификатов, их шаблоны,
прошивку смарт-карт, также сертификаты, чей срок годности
исходит. Для настоящего использования этой политики необходимо
разрешить службе ILM-CM и в файле web.config доступ к неоднозначному
атрибуту в Active Directory. Нужно также установить на
клиентские компы службу сетевого обновления.

Политика восстановления от
имени может понадобиться, если употребляется шифрование EFS. Допустим,
кто-то случаем удаляет собственный сертификат шифрования. Можно применить
эту политику для организации такового рабочего процесса, в каком
группа безопасности службы саппорта имеет возможность запросить
закрытый ключ этого юзера. Потом юзеру отчаливает
электрическое письмо с скрытым паролем, сгенерированным сервером
ILM-CM. Получив его, юзер перебегает по скрытой ссылке на
сервере ILM-CM и получает сертификат со своим закрытым ключом.
Политика восстановления от имени также очень полезна в случае,
когда сотрудник покидает компанию, но его данные нужно
вернуть для отправки в архив по административным либо другим
суждениям.

Политика обновления позволяет
сделать процесс обновления более неопасным за счет отправки
юзерам по электрической почте разовых скрытых ключей,
которые будут применены для обновления сертификатов. Политика
возвращения определяет рабочий процесс на случай, если сертификат
был отозван, а позже потребовалось вернуть его и удалить из
перечня отзывов сертификатов.

Два компонента относятся
только к политикам программной сертификации и не применимы к
смарт-картам — это политика восстановления и политика отзыва. Если
хранившийся на компьютере сертификат был удален, либо был украден либо
поврежден сам компьютер, политика восстановления обусловит процесс
возвращения сертификата либо ключей, если они сохранены в центре
сертификации. Политика отзыва позволяет админу или задать
единственно допустимую причину отзыва, или вводить описание предпосылки
всякий раз при отзыве сертификата.

5 дополнительных политик
применимы только к шаблонам профилей смарт-карт (рис. 7).

Рис 7  Политики профилей смарт-карт

Компонент
Описание
Политика подмены Определяет профиль на случай утраты либо кражи смарт-карты.
Политика отключения Определяет процесс отключения сертификатов на смарт-карте до их истечения.
Политика увольнения Определяет процесс отзыва всех сертификатов на смарт-карте.
Политика разблокировки Определяет, кто может разблокировать ПИН-код юзера смарт-карты.
Политика временных карт Определяет смарт-карту с маленьким сроком деяния. Юзер получает новые сертификаты для сотворения подписи, но сумеет расшифровывать свои данные при помощи имеющихся сертификатов шифрования профиля.

Для политики, используемой при
увольнении, можно задать несколько разных операций, к примеру
удаление пользовательских данных со смарт-карты, блокировка
пользовательского и администраторского ПИН-кодов и установление
нового ПИН-кода. Политика разблокировки обычно употребляется, когда
юзер запамятовал ПИН-код либо когда выпускается новенькая карта с
ПИН-кодом, установленным службой ILM-CM. Запрос на разблокировку
смарт-карты подается юзером.

Отчеты, как и в любом
продукте для администрирования, занимают не последнее место. Для
хоть какой организации принципиальна способность создавать снимки состояния
сертификационной среды и смарт-карт. ILM-CM содержит несколько
интегрированных отчетов, в число которых входят списки смарт-карт, сводка
запросов на сертификат, внедрение и срок истечения годности
сертификатов и многие другие. Как и в других системах сотворения
отчетов, по мере надобности можно написать собственные запросы,
так как вся информация хранится в базе данных SQL
Server.

Разработка
рабочего процесса

Разглядим, как при помощи
ILM-CM найти действенный рабочий процесс. Пусть, к примеру, есть
несколько системных админов, ответственных за управление и
поддержку сертификатов SSL. 1-ый требующий ответа вопрос — каковы
главные нюансы этого процесса?

Метод сотворения файла запроса
сертификата находится в зависимости от типа системы. Потому 1-ый шаг — создание
странички в интрасети с детализированными инструкциями по созданию таких
запросов для каждого типа систем.

Создав файл запроса,
админ может выслать его на пользовательский портал ILM-CM
для утверждения. При помощи рабочего процесса ILM-CM админ
может найти нескольких лиц, проверяющих и утверждающих запрос.
После ублажения запроса юзер может получить сертификат
из ILM-CM. Так как там сведения о сертификате хранятся в базе
данных SQL Server, админы имеют доступ к инфы о
прошедших периодах.

Через год срок деяния
сертификата приближается к концу, и ILM-CM отсылает по электрической
почте извещение юзеру о том, что его сертификат скоро
истечет и должен быть обновлен. Внедрение этого рабочего
процесса поможет избежать ситуаций, когда из-за внезапно истекшего
сертификата рабочий денек идет насмарку.

Заключение

Если ваше предприятие
употребляет среду Microsoft PKI, ILM-CM точно поможет управлять
ею. Он позволяет сделать лучше процессы проверки подлинности и понизить
цена и сложность управления цифровыми сертификатами и
смарт-картами. С его помощью можно сделать надлежащие рабочие
процессы, которых так не хватает современным компаниям.

Майкрософт также
предоставляет API-интерфейс к ILM-CM. Если вы используете
собственные приложения, вы сможете интегрировать их с ILM-CM.

Подробнее об ILM-CM см. на
веб-узле microsoft.com/technet/clm.
Короткое управление доступно по адресу go.microsoft.com/fwlink/?LinkId=87336.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.