Вступление
Этот цикл – некий how-to, написанный мной в процессе создания демо-среды, к которому я по мере возможностей добавил описательную часть.
Соответственно и применить конфигурацию можно в тестовой среде.
Общая информация о PKI
С помощью Инфраструктуры открытых ключей (Public-Key Infrastructure, PKI) обеспечивается реализация таких принципов как:
- Конфиденциальность;
- Целостность;
- Подлинность;
- Неотрицание совершенных действий.
Набор средств PKI обеспечивает выдачу, проверку, отзыв сертификатов.
Для успешной реализации PKI недостаточно приобретения аппаратных и программных средств – необходима разработка соответствующих политик и процедур, а главное четкое понимание что и от кого будем защищать.
А защищать мы будем распространенные объекты: файлы, письма, сайты и каналы – выражаясь официальнее можно предложить такой список:
- Двухфакторная аутентификация с использованием смарт-карт;
- Подпись сообщений электронной почты;
- Шифрование сообщений электронной почты;
- Подпись электронных документов;
- Шифрование электронных документов;
- Проверка целостности и/или шифрование VPN трафика;
- Шифрование беспроводных сетей;
- Шифрование LDAP трафика;
- Шифрование трафика веб-сайтов и порталов.
Когда цели, сроки и бюджет ясны, можем перейти к рассмотрению сути технологии, которая заключается в наличии двух цифровых ключей:
Один ключ используется для шифрования информации, а дешифровка может быть выполнена только с помощью второго ключа;
Один из ключей (т.н. «открытый») известен всем, но имея его, невозможно определить второй, «закрытый» ключ, который известен только владельцу и хранится в надежном месте.
При проверке реализуется принцип: никто не доверяет никому, но все доверяют ЦС (Certification Authority, CA).
CA в свою очередь подтверждает (либо не подтверждает) принадлежность открытого ключа пользователю, который владеет закрытым ключом.
Microsoft Active Directory Certificate Services
Выбор платформы важный момент, и учитывая не всегда быструю и очевидную выгоду для бизнеса, важно выйти на приемлимые суммы.
Углубляясь в расчеты, преимущества решения от Microsoft становятся очевидными:
- Стоимость лицензий = стоимости лицензий Windows Server;
- Низкие системные требования: виртуальные машины с 1 vCPU / 1Gb vRAM / 20Gb vHDD вполне адекватно справяться с обслуживанием небольшой организации;
- Хорошая интеграция с корпоративными продуктами Microsoft (и не только);
- Внедрение AD CS немоного сложенее внедрения AD DS, тем не менее его вполне можно назвать достаточно простым;
- Простота обслуживания и управления: AD CS это технология Windows Server, соответственно обслуживание не будет эксклюзивным, а значит непомерно дорогим;
- Возможность организовать отказоустойчивую конфигурацию: DFS и NLB отлично подойдут, а для резервного копирования есть встроенные инструменты.