Windows предлагает серьезную платформу для поддержки инфраструктуры открытого ключа (PKI) начиная с выпуска Windows 2000. Первый выпуск включал в себя первую собственную проверку подлинности сертификатов, автоматическую регистрацию, а также поддержку проверки подлинности при помощи смарт-карт. В Windows XP и Windows Server 2003 эти возможности были расширены для обеспечения более гибких вариантов регистрации при помощи шаблонов сертификатов версии 2 и поддержки автоматической регистрации пользовательских сертификатов.
В Windows Vista® и Windows Server® 2008 (ранее имевшим кодовое название «Longhorn») платформа PKI Windows® выходит на новую ступень и предлагает поддержку усовершенствованных алгоритмов, проверку действительности в реальном времени и легкость в управлении. В этой статье обсуждаются новые свойства PKI в Windows Vista и Windows Server 2008 и то, как предприятия могут их использовать для снижения затрат и улучшения безопасности.
Улучшения PKI в Windows Vista и Windows Server 2008 сконцентрированы вокруг четырех основных аспектов: криптография, регистрация, управляемость и отзыв. Дополнительно к этим усовершенствованиям платформа PKI Windows также пользуется выгодами другими системных усовершенствований, таких как диспетчер ролей, что облегчает создание и размещение новых центров сертификации (CA). Кроме того многие элементы Windows также пользуются преимуществами усовершенствованной платформы PKI, такими как поддержка использования смарт-карт для хранения ключа шифрующей файловой системы (EFS) в Windows Vista.
Криптография
Криптография получила двойное улучшение. Во-первых, со введением криптографии следующего поколения (CNG) Windows может предоставлять подключаемую, независимую от протокола способность шифрования, которая облегчает разработку и программный доступ к индивидуальным алгоритмам. Во-вторых, CNG предлагает новую поддержку алгоритмов набора B, представленных Агентством национальной безопасности в 2005 году.
CNG – это новый базовый интерфейс криптографии для Майкрософт, являющийся рекомендованным интерфейсом API для будущих приложений на базе Windows, поддерживающих криптографию. CNG обеспечивает новые функции для разработчиков, включая легкость при обнаружении и замене алгоритмов, замене датчиков случайных чисел и криптографический интерфейс в режиме ядра. Предлагая эти новые возможности, CNG является при этом совместимым с набором алгоритмов своего предшественника, CryptoAPI 1.0. В настоящее время CNG проходит оценку по федеральным стандартам обработки информации (FIPS) 140-2 уровня 2 для получения сертификата, а также по общим критерям выбранных платформ.
Набор В CNG поддерживает все необходимые алгоритмы: AES (все размеры ключей), семейство алгоритмов хеширования SHA-2 (SHA-256, SHA-384 и SHA-512), эллиптический алгоритм Диффи-Хеллманна (ECDH) и эллиптический алгоритм цифровой подписи (ECDSA) посредством стандартных основных кривых Р-256, Р-384 и Р-521 Национального института стандартов и технологий (NIST). В АНБ подтвердили, что сертифицированный набор набора B будет использован для защиты информации, обозначенной как «совершенно секретная», «секретная» и «конфиденциальная», которая в прошлом обозначалась как «требующая защиты, но не секретная». Все алгоритмы набора B разрабатывались открыто, а некоторые правительства также собираются принять их в качестве национальных стандартов.
Эти низкоуровневые улучшения платформы PKI Windows обеспечивают разработчиков более надежными методами для защиты данных, в то же время создавая подсистему, которая легко управляется и улучшается время от времени. Поскольку CNG является подключаемой архитектурой, новые алгоритмы могут добавляться по мере необходимости, а CNG отделяет этих поставщиков от уровня приложения. Результатом является предоставление Windows Vista и Windows Server 2008 усовершенствованной и развиваемой платформы для развития приложений и служб, поддерживающих PKI.
Регистрация
Регистрация сертификатов в Windows значительно улучшилась после появления нового инструмента регистрации на основе мастера, улучшенной обработки сроков хранения сертификатов, нового интерфейса API, способности «регистрации от имени» и роуминга учетных данных. Эти улучшенные свойства снижают общую стоимость пользования PKI, поскольку облегчают размещение сертификатов на предприятии благодаря централизованному способу и минимальному вмешательству пользователей.
Наиболее заметным изменением с точки зрения регистрации является новый пользовательский интерфейс регистрации сертификата, показанный на рис. 1 и 2. Этот пользовательский интерфейс заменяет старый, не имевший возможности принимать данные от пользователей во время процесса регистрации. Новый интерфейс позволяет пользователям вводить данные во время регистрации (если администратор настроит шаблон регистрации на запрос этих данных). Интерфейс также предлагает четкие объяснения относительно того, почему пользователь может испытывать проблемы при регистрации в этом шаблоне.
Рис. 1 Выбор доступных сертификатов
Рис. 2 Состояние недоступных сертификатов
Еще одним ключевым улучшением интерфейса регистрации является обработка сертификатов с истекающим сроком годности. Новый интерфейс предлагает конечным пользователям четкую информацию о том, срок действия каких сертификатов истекает, и позволяет пользователям легко обновлять сертификаты или выключать предупреждения с этого интерфейса. Хотя администраторы могут автоматически обновлять сертификаты посредством авторегистрации, эта функция предупреждения необходима мобильным или отключенным от сети пользователям, которые могут входить в корпоративную сеть нерегулярно и срок действия сертификатов которых близок к завершению.
Для разработчиков, работающих с регистрацией сертификатов, имеется новый интерфейс API, предлагающий значительные улучшения по сравнению со старыми элементами управления на базе ActiveX® (xenroll.dll and scrdernl.dll). Новый интерфейс API регистрации сертификатов предлагает четко определенную иерархию классов, гораздо более легкую для понимания и программирования. Новый интерфейс API заменяет xenroll как в Windows Vista, так и в Windows Server 2008.
Это изменение в интерфейсе API касается как разработчиков, так и специалистов по ИТ, поскольку клиенты Windows Vista не могут использовать возможности веб-регистрации, предлагаемые Windows Server 2003. Это происходит потому, что эти страницы регистрации (которые хранятся по умолчанию в виртуальном каталоге /certsrv) используют элемент управления xenroll, которого больше нет в Windows Vista. Статья базы знаний «Как использовать страницы служб веб-регистрации сертификатов в Windows Vista» предлагает дополнительные сведения по решению этой проблемы. Это не влияет на работу авторегистрации из Windows Server 2003 в Windows Vista.
В предыдущих версиях Windows Server регистрационные агенты не были ограничены списком тех, от чьего лица они могли проводить регистрацию. Иными словами, как только пользователь получал возможность регистрационного агента, он мог зарегистрироваться от лица любого пользователя леса. Это, разумеется, означало, что пользователь мог легко расширить свои привилегии, зарегистрировавшись от лица существующего пользователя и олицетворяя себя с пользователем с вновь созданным сертификатом. В попытке воспрепятствовать этому возможности регистрационного агента предоставлялись только очень надежным людям. Хотя такой подход улучшал безопасность, он делал модели развертывания менее гибкими, поскольку лишь небольшое число людей обладало возможностью регистрировать от лица других пользователей. В результате большая географически разбросанная организация испытывала повышенные затруднения при размещении сертификатов для конечных пользователей (например, для смарт-карт).
В Windows Server 2008 регистрационные агенты могут быть ограничены на более детальном уровне. Ограничения могут быть основаны на том, от лица каких пользователей можно проводить регистрацию, или на основании каких шаблонов, как показано на рис. 3. Например, организация теперь может предоставлять локальному специалисту по ИТ возможность проводить регистрацию от лица других пользователей своего филиала, но не пользователей группы отдела кадров. Этот детальный подход к регистрационным агентам позволяет предприятиям эффективно и безопасно делегировать регистрационные возможности в пределах своей организации.
Рис. 3 Ограничения регистрационного агента
Одна из самых больших проблем управления PKI – это управление всеми парами ключей, разнесенных по разным машинам организации. Даже в среде PKI средней сложности у любого пользователя может иметься несколько разных пар ключей (например, для EFS, проверки подлинности для беспроводной сети, S/MIME), которые необходимы вне зависимости от того, где пользователь подключается. С увеличением числа пользователей мобильных компьютеров и служб терминалов становится как никогда важным копировать эти пары ключей в сети, чтобы они были доступны пользователям в любом месте, где они захотят подключиться. Хотя пользовательские маркеры, такие как смарт-карты, могут частично решить эту проблему, в организации тем не менее может быть достаточное количество пользователей без карт или с сертификатами, не хранящимися на картах. Роуминг учетных данных решает эти проблемы путем безопасного хранения пар ключей и сертификатов в Active Directory®, делая их доступными для пользователей вне зависимости от места их подключения.
Роуминг учетных данных впервые появился в пакете обновления 1 (SP1) для Windows Server 2003 и обеспечивает безопасный роуминг сертификатов и ключей без использования перемещаемых профилей пользователей. В Windows Vista и Windows Server 2008 эта функция включена по умолчанию и применена в работе клиентской службы сертификатов (CSC). Параметры настройки, например, то, как могут переходить сертификаты и как разрешать конфликты, контролируются групповой политикой. В Windows Vista и Windows Server 2008 служба CSC может также осуществлять роуминг имен и паролей пользователей. Хотя эта способность по умолчанию включена в Windows Vista, необходимо отметить, что роуминг учетных данных полностью поддерживается Windows XP и при подключении к контроллеру домена Windows Server 2003 (с развертыванием обновления; см. support.microsoft.com/kb/907247). Это означает, что вам не нужно ждать завершения развертывания Windows Vista для того, чтобы воспользоваться преимуществами этой технологии.
Управляемость
Для улучшения управляемости службы центра сертификации был выпущен ряд обновлений Windows Server 2008 для упрощения настройки, отслеживания и запуска службы с высокой доступностью. Установка центра сертификации объединена со средством диспетчера ролей и предоставляет упрощенный способ установки службы центра сертификации. Параметры по умолчанию определены для каждого этапа процесса, и теперь установка может быть выполнена в автоматическом режиме. Наконец, возможности диагностики установки улучшены для упрощения устранения возможных ошибок или проблем.
Наблюдение за службой центра сертификации в Windows Server 2008 значительно улучшено (как и общая диагностика сертификатов в Windows Vista). Кроме гораздо более гибкой инфраструктуры событий, охватывающей весь продукт, сама служба центра сертификации теперь имеет встроенную консоль наблюдения и использует диспетчер Operations Manager 2007 системного центра (ранее известный как MOM) для предоставления сигналов уровня предприятия. Консоль наблюдения Enterprise PKI – улучшение предшественника, представленного в Windows Server 2003 AdminPak. Новая консоль включена в сам продукт и теперь может наблюдать URI-адреса протокола OCSP помимо всех центров сертификации в определенном лесу.
Пакет управления MOM предоставляет возможность пассивного наблюдения для PKI организации, включая встроенные сигналы на основе порога. Например, пакет управления может использоваться для отслеживания свежести списка отзыва сертификатов (CRL) и уведомления администраторов PKI за определенное количество дней или часов до истечения срока действия CRL. Наконец, доступен набор новых счетчиков производительности для устранения неисправностей и отслеживания общей производительности самой службы центра сертификации. Эти счетчики могут использоваться для сбора данных, например, о количестве выпускаемых в секунду сертификатов.
Новая возможность, впервые представленная в Windows Server 2008: поддержка кластеризации службы центра сертификации на уровне оборудования. Эта поддержка кластеров использует стандартную технологию службы кластеров Microsoft и поддерживает активные/пассивные конфигурации из двух узлов. Поддержка кластеров позволяет запускать инфраструктуру выдачи с высокой доступностью и может использоваться в географически разнесенных развертываниях кластеризации. При использовании поддержки кластеризации обратите внимание, что простая кластеризация центра сертификации не делает доступной всю инфраструктуру PKI. Хотя кластеризация может помочь обеспечить доступность самих центров сертификации, правильно работающая инфраструктура PKI, вероятно, приведет к тому, что другие компоненты не будут работать непосредственно с центрами сертификации. Например, точки распространения списков отзыва (CRL) и отвечающие точки протокола OCSP также должны быть запущены с высокой доступностью для обеспечения выполнения отзыва. Кроме того, при использовании аппаратных модулей безопасности (HSM), в особенности HSM, основанных на сети, они также представляют возможную точку сбоя в инфраструктуре PKI. Кластеризация является новой серьезной возможностью обеспечения высокой доступности центра сертификации, но не является панацеей для обеспечения доступности всего развертывания PKI.
Отзыв
Списки отзыва сертификатов длительное время использовались для обеспечения проверки действительности сертификатов. Эти списки отзыва сертификатов включают серийные номера всех сертификатов, срок действия которых еще не истек, но которые уже не считаются доверенными. Например, если сотрудник имеет сертификат, срок действия которого истекает 31/12/2008, но сотрудник покидает организацию 1/9/2007, серийные номера сертификатов будут занесены в список отзыва сертификата. Затем список отзыва сертификата станет доступным на нескольких точка распространиения списка, таких как пути протоколов HTTP и LDAP.
Хотя списки отзыва сертификатов все еще широко используются, они имеют ряд ключевых недостатков. Прежде всего, списки отзыва сертификатов публикуются центрами сертификации периодически (обычно один или два раза в день). Затем клиенты загружают и кэшируют эти списки отзыва сертификатов до следующей публикации. Во время этого кэшированного периода сертификаты могут быть отозваны, вследствие чего клиенту неизвестно последнее состояние. Во-вторых, в очень больших организациях размер списков отзыва сертификатов может значительно увеличиваться (иногда свыше 100 МБ). Распространение этих файлов в большой и широко рассредоточенной сети может быть трудным или невозможным, особенно в филиалах основного офиса или в других средах с ограниченной пропускной способностью.
Для решения этих проблем был создан и определен в RFC 2560 протокол OCSP. Протокол OCSP предоставляет способ подтверждения состояния сертификатов в реальном времени. Клиент OCSP запускается на компьютере, на котором необходимо проверить действительность конечного сертификата. Затем программное обеспечение клиента ссылается на ответчик OCSP и отправляет сообщение с запросом на подтверждение состояния конечного сертификата. Ответчик проверяет действительность сертификата и отвечает клиенту в реальном времени. При использовании этого способа исключаются проблемы кэширования и распространения.
Впервые функции клиента OCSP были включены в Windows Vista (ранее было необходимо программное обеспечение стороннего производителя) и настраивались с помощью групповой политики. По умолчанию Windows выполняет попытку использования протокола OCSP, но в случае недоступности ответчика переключается на стандартные способы поиска списка отзыва сертификатов.
В Windows Server 2008 для ответа на эти запросы предоставлен ответчик OCSP. Ответчик устанавливается с помощью диспетчера ролей и может отслеживаться с помощью пакета управления Operations Manager 2007. Поскольку и клиент, и ответчик соответствуют стандарту OCSP, они могут быть просто интегрированы в существующие среды OCSP, использующие сходные компоненты сторонних производителей на основе стандартов. Например, полностью поддерживается проверка клиентом Windows Vista состояния сертификата с ответчиком стороннего производителя и ответ ответчика Windows Server 2008 на запросы клиентского приложения стороннего производителя. Кроме того, ответчик OCSP Windows может отвечать на запросы для сертификатов, выпущенных всеми центрами сертификации, соответствующими стандартам. Центры сертификации Windows Server 2008 (и вообще центры сертификации на основе Windows) не требуются.
Заключение
Платформа PKI в Windows Vista и Windows Server 2008 включает множество улучшений и несколько новых функций, увеличивающих безопасность и снижающих затраты на развертывание и эксплуатацию PKI. Новый интерфейс API CNG предоставляет разработчикам более простую программную среду и поддержку новых криптографических стандартов. Улучшения регистрации позволяют организациям более просто выполнять массовую рассылку сертификатов и безопасный роуминг на предприятии. Аналогично, новый пакет управления и возможность кластеризации центра сертификации упрощают отслеживание состояния центров сертификации и обеспечивают высокую доступность. Наконец, улучшения в проверке отзыва используют способ на основе стандартов для обеспечения проверки сертификатов в реальном времени без увеличения стоимости пропускной способности распространения списка отзыва сертификатов. В результате Windows Vista и Windows Server 2008 выводят платформу PKI Windows на новый уровень.
Эта статья основана на предварительной версии Windows Server 2008. Любые приведенные в ней сведения могут быть изменены.
Джон Морелло (John Morello) работает в корпорации Майкрософт с 2000 года. В качестве старшего консультанта он разработал программу безопасности для предприятий Fortune 100 и федеральных гражданских и оборонных клиентов. В настоящее время является руководителем программы в отделе по разработке операционной системы Windows Server, занимающемся вопросами обеспечения безопасности и технологиями повсеместного доступа. Блог его группы находится на веб-узле blogs.technet.com/WinCAT.
