PKI on Windows Server: Вступление и общая информация

Вступление

Этот цикл – некий how-to, написанный мной в процессе создания демо-среды, к которому я по мере возможностей добавил описательную часть.

Соответственно и применить конфигурацию можно в тестовой среде.

Общая информация о PKI

С помощью Инфраструктуры открытых ключей (Public-Key Infrastructure, PKI) обеспечивается реализация таких принципов как:

  • Конфиденциальность;
  • Целостность;
  • Подлинность;
  • Неотрицание совершенных действий.

Набор средств PKI обеспечивает выдачу, проверку, отзыв сертификатов.

Для успешной реализации PKI недостаточно приобретения аппаратных и программных средств – необходима разработка соответствующих политик и процедур, а главное четкое понимание что и от кого будем защищать.

А защищать мы будем распространенные объекты: файлы, письма, сайты и каналы – выражаясь официальнее можно предложить такой список:

  • Двухфакторная аутентификация с использованием смарт-карт;
  • Подпись сообщений электронной почты;
  • Шифрование сообщений электронной почты;
  • Подпись электронных документов;
  • Шифрование электронных документов;
  • Проверка целостности и/или шифрование VPN трафика;
  • Шифрование беспроводных сетей;
  • Шифрование LDAP трафика;
  • Шифрование трафика веб-сайтов и порталов.

Когда цели, сроки и бюджет ясны, можем перейти к рассмотрению сути технологии, которая заключается в наличии двух цифровых ключей:

Один ключ используется для шифрования информации, а дешифровка может быть выполнена только с помощью второго ключа;

Один из ключей (т.н. «открытый») известен всем, но имея его, невозможно определить второй, «закрытый» ключ, который известен только владельцу и хранится в надежном месте.

При проверке реализуется принцип: никто не доверяет никому, но все доверяют ЦС (Certification Authority, CA).

CA в свою очередь подтверждает (либо не подтверждает) принадлежность открытого ключа пользователю, который владеет закрытым ключом.

Microsoft Active Directory Certificate Services

Выбор платформы важный момент, и учитывая не всегда быструю и очевидную выгоду для бизнеса, важно выйти на приемлимые суммы.

Углубляясь в расчеты, преимущества решения от Microsoft становятся очевидными:

  • Стоимость лицензий = стоимости лицензий Windows Server;
  • Низкие системные требования: виртуальные машины с 1 vCPU / 1Gb vRAM / 20Gb vHDD вполне адекватно справяться с обслуживанием небольшой организации;
  • Хорошая интеграция с корпоративными продуктами Microsoft (и не только);
  • Внедрение AD CS немоного сложенее внедрения AD DS, тем не менее его вполне можно назвать достаточно простым;
  • Простота обслуживания и управления: AD CS это технология Windows Server, соответственно обслуживание не будет эксклюзивным, а значит непомерно дорогим;
  • Возможность организовать отказоустойчивую конфигурацию: DFS и NLB отлично подойдут, а для резервного копирования есть встроенные инструменты.
=> Оглавление цикла статей о PKI