certutil -setreg CA\CRLOverlapPeriod "Weeks" certutil -setreg
advertisement
Леонид Шапиро MCT, MVP ЦКО «Специалист» www.specialist.ru Microsoft TechDays http://www.techdays.ru Что такое УЦ Файл capolicy.inf Установка Offline Root CA Разработка пост установочного конфигурационного скрипта Подведем итоги… Microsoft TechDays http://www.techdays.ru Подтверждает аутентичность запрашивающего сертификат объекта • Механизмы проверки зависят от типа CA. Выдает сертификаты • Информация в сертификате определяется шаблоном сертификата. Управляет отзывом сертификатов • Список отзыва сертификатов (CRL) гарантирует невозможность использования «неправильных» сертификатов. Microsoft TechDays http://www.techdays.ru Microsoft TechDays http://www.techdays.ru Цели создания Содержимое Примеры Microsoft TechDays http://www.techdays.ru [Version] Signature= "$Windows NT$" [PolicyStatementExtension] Policy = LegalPolicy Critical = 0 [LegalPolicy] Notice = “Legal policy statement text.” URL = “http://nwtraders.ru/certdata/cps.asp” [basicconstraintextension] Pathlength = 2 [certsrv_server] RenewalKeyLength = 2048 RenewalValidityPeriodUnits = 10 RenewalValidityPeriod = years CRLPeriodUnits = 180 CRLPeriod = days CRLOverlapUnits = 2 CRLOverlapPeriod = weeks CRLDeltaPeriodUnits = 0 CRLDeltaPeriod = hours DiscreteSignatureAlgorithm = 1 Леонид Шапиро MCT, MVP ЦКО «Специалист» www.specialist.ru Microsoft TechDays http://www.techdays.ru Microsoft TechDays http://www.techdays.ru Место размещения УЦ Место хранения ключевой информации Длина ключа Время жизни Место хранения БД и файлов журналов Защита Offline Root CA Microsoft TechDays http://www.techdays.ru Устанавливаем службу на standalone сервер Отключаем от сети Обеспечиваем физическую безопасность Microsoft TechDays http://www.techdays.ru Метод защиты Плюсы Локальное хранилище Простота внедрения Низкий уровень безопасности Низкая стоимость внедрения Только стандартный CSP Смарт-карта или токен Простота внедрения Низкая стоимость внедрения Более высокий уровень безопасности по сравнению с первым вариантом Недостаточный уровень физической безопасности, т. к. карта может быть похищена, или потеряна. Требует присутствия смарт карты при старте УЦ. Зашифрованная виртуальная машина Простота внедрения Низкая стоимость внедрения Независимость от аппаратного обеспечения Средний уровень безопасности. Угрозу представляет похищение носителя с виртуальной машиной. Аппаратный модуль безопасности (HSM) Высокий уровень безопасности Дополнительные затраты Microsoft TechDays Минусы http://www.techdays.ru Тип УЦ Длина ключа Root CA 4096 Policy CA 4096 Issuing CA 2048 Microsoft TechDays http://www.techdays.ru HTTP LDAP FTP File share (SMB) Microsoft TechDays http://www.techdays.ru Леонид Шапиро MCT, MVP ЦКО «Специалист» www.specialist.ru Microsoft TechDays http://www.techdays.ru Настройка УЦ Готовим пост. установочный скрипт (что внутри?) Проверка корректности установки Защита УЦ Microsoft TechDays http://www.techdays.ru md C:\CertData certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n65:C:\CertData\Root -CA%%8.crl\n2:http://www.nwtraders.msft/pki/Root-CA%%8.crl" certutil -setreg CA\CACertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:http://www.nwtrad ers.msft/pki/Root-CA%%4.crt" ren %windir%\system32\CertSrv\CertEnroll\*.crt Root-CA.crt copy %windir%\system32\CertSrv\CertEnroll\Root-CA.crt C:\CertData certutil -setreg CA\ValidityPeriodUnits 5 certutil -setreg CA\ValidityPeriod "Years" certutil -setreg CA\CRLPeriodUnits 180 certutil -setreg CA\CRLPeriod "Days" certutil -setreg CA\CRLDeltaPeriodUnits 0 certutil -setreg CA\CRLDeltaPeriod "Days" certutil -setreg CA\CRLOverlapPeriod "Weeks" certutil -setreg CA\CRLOverlapUnits 2 Certutil -setreg CA\csp\DiscreteSignatureAlgorithm 1 certutil -setreg CA\AuditFilter 127 net stop certsvc && net start certsvc certutil -CRL md C:\CertData certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n65 :C:\CertData\RootCA%%8.crl\n2:http://www.nwtraders.msft/pki/Root-CA%%8.crl" certutil -setreg CA\CACertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2: http://www.nwtraders.msft/pki/Root-CA%%4.crt" ren %windir%\system32\CertSrv\CertEnroll\*.crt Root-CA.crt copy %windir%\system32\CertSrv\CertEnroll\Root-CA.crt C:\CertData certutil certutil certutil certutil certutil certutil certutil certutil -setreg -setreg -setreg -setreg -setreg -setreg -setreg -setreg CA\ValidityPeriodUnits 5 CA\ValidityPeriod "Years" CA\CRLPeriodUnits 180 CA\CRLPeriod "Days" CA\CRLDeltaPeriodUnits 0 CA\CRLDeltaPeriod "Days" CA\CRLOverlapPeriod "Weeks" CA\CRLOverlapUnits 2 certutil -setreg CA\AuditFilter 127 net stop certsvc && net start certsvc certutil -CRL Леонид Шапиро MCT, MVP ЦКО «Специалист» www.specialist.ru Microsoft TechDays http://www.techdays.ru Проектирование Capolicy.inf Развертывание службы Пост. установочный скрипт Обеспечение безопасности Microsoft TechDays http://www.techdays.ru 2821 Designing and Managing a Windows Public Key Infrastructure 2823 Implementing and Administering Security in a Microsoft Windows Server 2003 Network Microsoft Press Brian Komar «Windows Server 2008 PKI and Certificate Security» http://www.microsoft.com/pki http://technet.microsoft.com/en-us/magazine/2009.05.pki.aspx http://www.windowsecurity.com/articles/Microsoft-PKI-Quick-GuidePart1.html Microsoft TechDays http://www.techdays.ru © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Microsoft TechDays http://www.techdays.ru
