Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Книга Active directory

.pdf

Скачиваний:

268

Добавлен:

02.02.2021

Размер:

8.2 Mб

Скачать

☆

<<< < Предыдущая 65 66 67 68 69 70 71 72 73 74 75 7677 / 9677 78 79 80 81 82 83 84 85 86 87 88 89 > Следующая >>>


[. 7 3 8	Службы сертификации Active Directory					Глава 15
подачи заявок для			смарт-карт и получения списков отзыва с е р т и ф и к а т о в
(Certificate Revocation List, CLR). В списках C L R содержатся сертификаты,
которые являются недействительными или отозваны организацией . Систе-
мы, использующие PKI, опрашивают серверы СА д л я п о л у ч е н и я списков
CRL каждый раз при предъявлении сертификата . Е с л и п р е д с т а в л е н н ы й
сертификат присутствует в этом списке, он автоматически отклоняется .
• Сетевой ответчик			Эта служба предназначена д л я			о б р а б о т к и з а п р о с о в
подтверждения сертификатов через п р о т о к о л				O C S P		( O n l i n e C e r t i f i c a t e
Status Protocol). С помощью сетевого ответчика					системе, п р и м е н я ю щ е й
PKI, нет необходимости получать п о л н ы й список					C L R д л я запроса под-
тверждения конкретного сертификата. Сетевой				ответчик ш и ф р у е т запрос
подтверждения и определяет подлинность сертификата . П р и о п р е д е л е н и и
состояния запрошенного сертификата ответчик пересылает обратно з а ш и ф -
рованный ответ, содержащий информацию д л я				з а п р а ш и в а ю щ е й стороны .
Сетевые ответчики работают намного быстрей и э ф ф е к т и в н е й , чем списки
CLR. Сетевые ответчики в AD CS являются н о в ы м к о м п о н е н т о м W i n d o w s
Server 2008.
К СВЕДЕНИЮ		Сетевые ответчики

Сетевые ответчики часто являются альтернативой или дополнением к спискам CLR, которые поддерживают процесс отзыва сертификатов. Сетевые ответчики Microsoft соответствуют стандартам RFC 2560 для OCSP. Более подробную информацию об этих стандартах RFC можно найти по адресу http://go.microsoft.com/ fwlink/?LinkID-67082.

• Служба подачи заявок сетевых устройств Устройства, к о т о р ы е исполь - зуют низкоуровневые операционные системы, например м а р ш р у т и з а т о р ы и коммутаторы, также могут принимать участие в инфраструктуре P K I через службу NDES (Network Device Enrollment Service) с п о м о щ ь ю п р о т о к о л а SCEP (Simple Certificate Enrollment Protocol), разработанного к о м п а н и е й Cisco Systems, Inc. Эти устройства обычно не участвуют в каталоге AD DS и поэтому не располагают учетными записями AD DS. О д н а к о с п о м о щ ь ю службы NDES и протокола C S E P их также можно сделать частью иерархии PKI, которая поддерживается и управляется службами AD CS.

Эти четыре компонента ф о р м и р у ю т я д р о с л у ж б ы AD CS в W i n d o w s Server 2008.

К СВЕДЕНИЮ Новые компоненты AD CS

Более подробную информацию о новых компонентах, поддерживаемых службами AD CS в Windows Server 2008, можно найти по адресу http://technet2.microsoft.com/ windowsserver2008/en/library/171362c0-3773-498d-8cc3-0ddcd8082bf51033.mspx.

Независимые СА и центры с е р т и ф и к а ц и и п р е д п р и я т и я

При подготовке к развертыванию AD CS особое в н и м а н и е следует уделить структурированию основных четырех служб AD CS. Прежде всего нужно за-

Занятие 1

Установка служб сертификации Active Directory 75-]

няться первой ролыо: центрами сертификации, которые необходимо развернуть. Службы AD CS поддерживают два типа СА.

•	Автономные СА	Центр сертификации, который необязательно интегри-
	ровать в службу ее каталогов. Независимые центры сертификации уста-
	навливаются на рядовых или независимых серверах (в рабочей группе).
	Автономные центры сертификации часто используются в качестве внутрен-
	них корневых СА, и после генерирования сертификатов для подчиненных
	серверов их часто отключают от сети из соображений безопасности. Выдача
	и подтверждение сертификатов выполняются вручную, а сами сертифика-
	ты основаны на стандартных шаблонах, которые нельзя модифицировать.
	Клиентами независимого СА могут быть члены каталога AD DS, однако
	членство в каталоге AD DS необязательно. Независимые СА можно уста-
	новить в системах Windows Server 2008 Standard Edition, Windows Server
	2008 Enterprise Edition и Windows Server 2008 Datacenter Edition.
•	CA предприятия	Центр сертификации, интегрируемый в службу катало-
	гов AD DS. Центры сертификации предприятия обычно устанавливаются
	на рядовых серверах и часто используются в иерархии как подчиненные
	еще одному СА, предоставляя сертификаты конечным пользователям
	и устройствам. Поскольку центры сертификации интегрируются в каталоги
	AD DS, центры сертификации предприятия автоматически выпускают и

подтверждают сертификаты, запрашиваемые членами каталога. Расширенные шаблоны таких сертификатов можно редактировать в соответствии с требованиями. Все ключи шифрования защищены с помощью интеграции каталогов. Центры сертификации предприятия можно установить только в системах Windows Server 2008 Enterprise Edition и Windows Server 2008 Datacenter Edition.

В табл. 15-1 описаны различные компоненты, поддерживаемые независимыми центрами сертификации, а также центрами сертификации предприятий.

Как описано в табл. 15-1, независимые центры сертификации сфокусированы на предоставлении конкретных служб и должны устанавливаться в автономных средах, где не нужно использовать автоматику. В качестве примеров можно привести корневые центры сертификации и СА, локализованные в периметре сети и предоставляющие услуги в Интернете.

Центры сертификации предприятия следует использовать в основном для выдачи сертификатов СА во внутренних сетях, включая структуры лесов AD DS. Центры сертификации предприятия автоматизируют процесс выдачи сертификатов. Их удобно использовать для выдачи сертификатов устройствам беспроводных сетей и пользователям с целью интеграции смарт-карт. Представьте себе управление целым лесом с процессом подтверждения, выполняемым вручную для тысяч пользователей и устройств.

СОВЕТ К ЭКЗАМЕНУ

Изучите различия между независимым СА и центром сертификации предприятия, поскольку эти вопросы включены в темы сертификационного экзамена, связанные с тематикой AD CS.

[. 7 4 0	Службы сертификации Active Directory		Глава 15
Табл. 15-1.	Сравнение независимых СА и центров сертификации предприятий
Компонент		Независимый	Предприятие
Публикация конфигурации СА		Опциональная	Обязательная
в каталогах доменных служб
Active Directory
Интеграция данных сертификатов		Опциональная (вы-	Обязательная и автома-
СА с лесами AD DS		полняется вручную)	тическая
Публикация списка отзыва серти-		Опциональная (вы-	Обязательная и.автома-
фикатов (CLR) в лесах AD DS		полняется вручную)	тическая, с включением
			списков Delta CLR
Публикация леса AD DS, назна-		Нет данных	Поддерживается
чаемая на уровне шаблона как его
атрибут
Подача заявок в Веб для запроса		Поддерживается	Поддерживается
и подтверждения сертификатов
ММС-консоль управления сер-		Нет данных	Поддерживается
тификатами (Certificate Microsoft
Management Console) для запроса
и подтверждения сертификатов
Запросы сертификатов через		Поддерживается	Поддерживается
HTTP и HTTPS

Запросы сертификатов через удаленный вызов процедур (Remote Procedure Call, RPC) в модели DCOM (Distributed Component Object Model)

Шаблоны V i c настраиваемыми идентификаторами объектов

(Object Identifier, OID) в качестве источника сертификатов Настраиваемые шаблоны V2 и V3 как источник сертификатов. Шаблоны также можио дублировать Ввод данных пользователем в процессе создания сертификата Поддерживаемые методы подачи заявок

Процесс подтверждения сертификата

Публикация сертификатов

Нет данных

По умолчанию

Нет данных

Вручную

Автоматически или в режиме очереди для всех шаблонов Вручную

Вручную для клиента или СА. Можно выполнять в AD DS, но только через настраиваемый модуль политики

Режим по умолчанию

Нет данных

По умолчанию

Данные извлекаются из AD DS .

Автоматически или в режиме очереди и применяется на основе шаблона Вручную или автоматически проверяются подлинность и контроль доступа AD DS

Зависит от типа сертификата и параметров шаблона, однако может выполняться автоматически в хранилищах сертификатов клиента

и публиковаться в AD DS

Занятие 1		Установка служб сертификации Active Directory 75-]
Табл. 15-1	(окончание)
Компонент		Независимый	Предприятие
Публикация сертификатов		Нет даииых	Поддерживается
и управление с помощью AD DS
Параметры развертывания		Контроллер домена,	Только контроллер доме-
		рядовой и независи-	на или рядовой сервер
		мый сервер
С о з д а н и е	и е р а р х и и центров	с е р т и ф и к а ц и и

Вторым важным аспектом планирования иерархии СА является безопасность. Поскольку иерархия СА основана на цепочке сертификатов, при взломе любого корневого СА или центра сертификации высшего уровня автоматически взламываются все его сертификаты. По этой причине корневые центры сертификации нужно максимально защитить. Обычно для этого создается связанная иерархия СА и члены высшего уровня связанной архитектуры отключаются от сети. Смысл в том, что если сервер отключен от сети, он защищен от сетевых атак.

Однако определение количества уровней архитектуры AD CS также зависит от некоторых других факторов. Следует учесть размер и географическое распределение сети. Кроме того, необходимо идентифицировать доверительную связь между центрами сертификации и обладателями сертификатов. Помните, что сертификат каждый раз необходимо подтверждать с помощью списка CLR или сетевого ответчика. Поэтому для использования сертификатов требуются сетевые коммуникации .

Учтите также потенциальные сценарии развертывания AD CS. Будете ли вы взаимодействовать с партнерами вне вашей сети? Будут ли использоваться смарт-карты? Будут ли задействованы беспроводные сети? Будет ли использоваться IPSec или новый SSTP? Для сертификации подлинности устройства, приложения или пользователя необходимо использовать AD CS и, возможно, сторонние коммерческие центры сертификации.

Получив ответы на эти вопросы, можно переходить к планированию иерархии AD CS. При этом необходимо учесть следующее.

•Единая связанная иерархия с одним корневым центром сертификации создается только в тех случаях, когда корневые СА нельзя взломать ни при каких обстоятельствах.

•Иерархия их двух уровней с корневым центром сертификации и подчиненными СА для защиты корневого СА создается, когда для организации не нужно создавать более сложную иерархию. В этой модели корневой центр сертификации можно отключить от сети для защиты, как показано на рис. 15-4.

•Иерархия из трех уровней с корневым СА, промежуточными СА и СА выдачи сертификатов создается в тех случаях, когда для СА выдачи сертификатов требуется более высокий уровень безопасности и готовности, а административная модель, популяция пользователей и географическая область требуют создания дополнительного уровня. Часто в этой модели для поддержки различных политик в разных средах используется множество

[. 765 Службы сертификации Active Directory

Глава 15

промежуточных центров сертификации. При использовании этой модели отключите от сети корневой и промежуточные центры сертификации для обеспечения их безопасности, как показано на рис. 15-5.

Реализация иерархии из двух уровней

Службы сертификации Active Directory

Центры сертификации предприятия

Легенда
В сети	Не в сети i

Рис. 15-4. Иерархия из двух уровней

ш Более трех уровней рекомендуется создавать только в очень сложных средах, где требуются самый высокий уровень безопасности и постоянная защита инфраструктуры СА.

Как видите, чем больше уровней в иерархии, тем выше уровень сложности процессов управления и администрирования. Однако по мере усложнения иерархии также нужно повышать уровень безопасности. Кроме того, нужно учесть тип СА, который будет развернут на каждом уровне. Типы СА в зависимости от количества уровней в этой модели описаны в табл. 15-2.

Табл. 15-2. Назначение типа СА в зависимости от числа уровней в модели

Тип СА	Один уровень	Два уровня	Три уровня
Корневой СА	СА предприятия	Автономный С А	Автономный СА
	(в сети)	(не в сети)	(не в сети)
Промежуточный СА	—	—	Автономный СА
			(не в сети)
СА выдачи сертификатов	-	СА предприятия	СА предприятия
		(в сети)	(в сети)

З а н я т ие 1

Установка с л у ж б с е р т и ф и к а ц и и Active Directory 75-]

Реализация из,трёхтуровней

Службы сертификации Active Directory

' i j p

Независимый корневой центр сертификации

Ли'

Независимые промежуточные центры сертификации

		Центры сертификации предприятия для выдачи сертификатов
	Легенда
	В сети	I Не в сети

Рис. 15-5.		Иерархия из трех уровней в географическом развертывании
СОВЕТ К Э К З А М Е Н У
З а п о м н и т е		эти и е р а р х и и в процессе подготовки к сертификационному экзамену.
И е р а р х и и		СА я в л я ю т с я в а ж н ы м аспектом любого развертывания AD CS.

Рекомендации по развертыванию AD CS

Ч а щ е в с е г о д л я р а з в е р т ы в а н и я A D C S и с п о л ь з у е т с я архитектура и з двух или н е с к о л ь к и х у р о в н е й . П р и п л а н и р о в а н и и и н ф р а с т р у к т у р ы A D C S п р и м и т е в о в н и м а н и е с л е д у ю щ и е р е к о м е н д а ц и и .

•	С т а р а й т е с ь не и с п о л ь з о в а т ь	и е р а р х и и из одного уровня, поскольку их очень
	с л о ж н о з а щ и т и т ь .
•	К о р н е в ы е и п р о м е ж у т о ч н ы е ц е н т р ы с е р т и ф и к а ц и и (если они реализованы)
	с л е д у е т о т к л ю ч а т ь о т с е т и	с р а з у ж е п о с л е р а з м е щ е н и я инфраструктуры.

[. 7 4 4

Службы сертификации Active Directory

Глава 15

По этой причине данные СА являются отличными кандидатами на виртуа - лизацию с помощью Hyper-V в Windows Server 2008. Создайте виртуальную машину, установите в ней роль независимого центра с е р т и ф и к а ц и и AD CS и сохраните состояние машины.

•	Рассмотрите возможность удаления ф а й л о в виртуальной	м а ш и н ы корне -
	вого центра сертификации с хост-сервера сразу после его	о т к л ю ч е н и я от
	сети. Храните защищенную виртуальную машину в безопасном месте.
•	Максимально защитите виртуальные машины, если д л я	п о д д е р ж к и раз -
	вертывания AD CS используется в и р т у а л и з а ц и я . Украсть в и р т у а л ь н у ю
	машину так же просто, как и физический сервер.
•	Создайте виртуальные машины без подключения и л и с о т к л ю ч е н н ы м со-
	единением для корневых и промежуточных СА. Таким образом вы повысите
	уровень защиты. Сертификаты переносятся с этих серверов на устройства
	USB или гибкие диски.
•	Управляйте съемными устройствами в к о р н е в ы х и п р о м е ж у т о ч н ы х СА
	с помощью параметров защиты устройств в консоли Л о к а л ь н а я п о л и т и к а
	безопасности (Local Security Policy). Таким образом будет добавлен еще
	один уровень защиты.

•Ваши администраторы СА должны быть доверенными лицами . О н и управ - ляют целой иерархией СА и поэтому д о л ж н ы располагать очень в ы с о к о й степенью доверия.

• Обеспечьте безопасность центра данных, у п р а в л я ю щ и х ц е н т р а м и серти - фикации. Контролируйте доступ к центру данных и, по возможности, используйте смарт-карты для входа администраторов в сеть.

•Используйте единый корневой СА и добавьте множество установок СА, чтобы создать промежуточные уровни и уровни выдачи сертификатов в иерархии .

• Тщательно планируйте имена серверов, поскольку после установки с л у ж б ы AD CS эти имена изменить нельзя, а использоваться они длительное время.

•Тщательно планируйте центры сертификации, так как после установки СА независимый центр сертификации нельзя преобразовать в СА предприятия, и наоборот.

•Рекомендуется не устанавливать AD CS на контроллере домена. Старайтесь хранить роль сервера AD CS отдельно от всех остальных ролей, за исклю - чением роли DNS (Domain Name System).

Эти рекомендации помогут вам на стадии п л а н и р о в а н и я р а з в е р т ы в а н и я
ADCS.
К СВЕДЕНИЮ	Рекомендации по развертыванию PKI

Дополнительную информацию о развертывании PKI в инфраструктуре Windows можно найти в книге «Best Practices For Implementing A Microsoft Windows Server 2003 Public Key Infrastructure» по адресу http://technet2.microsoft.com/windowsserver/en/

Iibrary/091cda67-79ec-481d-8a96-03e0be7374ed1033.mspx?mfr-true.	Эта книга посвя-
щена версии Windows Server 2003, а не Windows Server 2008,	однако инструкции
в ней можно использовать для любой версии Windows.

Занятие 1			Установка служб сертификации			Active Directory	75-]
Д о п о л н и т е л ь н ы е т р е б о в а н и я п л а н и р о в а н и я
К а к		мы у ж е г о в о р и л и ,	п л а н и р о в а н и е и р а з в е р т ы в а н и е иерархии СА —				это
не	т о л ь к о т е х н и ч е с к а я		задача. Д л я поддержки использования сертификатов
в	сети п о т р е б у ю т с я с о о т в е т с т в у ю щ и е а д м и н и с т р а т и в н ы е					процессы. Прежде
чем		п р и с т у п а т ь к у с т а н о в к е		AD	DS, следует учесть три дополнительных со-
о б р а ж е н и я :
•		п о д д е р ж к а п о д а ч и	з а я в о к	на	получение сертификатов;

•о б н о в л е н и е с е р т и ф и к а т о в ;

ш создание п р а в и л и требований сертификации (Certificate Practice Statement, C P S ) .

П е р в ы й а с п е к т с в я з а н с п л а н и р о в а н и е м поддержки запросов и распро- с т р а н е н и я с е р т и ф и к а т о в . К а к мы у ж е говорили, сертификат используется для


и д е н т и ф и к а ц и и его		о б л а д а т е л я — пользователя, м а ш и н ы или		приложения,
п о э т о м у н е о б х о д и м		п р о ц е с с и д е н т и ф и к а ц и и з а п р а ш и в а ю щ е й		стороны.	Вы
не станете	в ы д а в а т ь	с е р т и ф и к а т Д ж о н у Кейну, пока	не будете уверены,		что
с е р т и ф и к а т	з а п р а ш и в а е т с я и м е н н о Д ж о н о м Кейном.		Сторонние центры сер-

т и ф и к а ц и и д л я т а к о й и д е н т и ф и к а ц и и используют несколько типов процессов, в самом строгом из к о т о р ы х о ф и ц и а л ь н ы й представитель СА должен посетить лицо, з а п р а ш и в а ю щ е е сертификат . Это означает необходимость в персональной встрече, п р и к о т о р о й п о д т в е р ж д а е т с я личность, запрашивающая сертификат, на чье и м я он и выдается . Д л я дальнейшей защиты сертификат можно хранить на смарт-карте. З а т е м ответственность за безопасность сертификата несет лицо,

к о т о р о м у п е р е д а е т с я	м а р к е р безопасности на смарт-карте.
О д н а к о в с л у ч а е	п л а н и р о в а н и я автоматической подачи заявок в центры

с е р т и ф и к а ц и и п р е д п р и я т и я необходимо гарантировать соответствующую иден- т и ф и к а ц и ю п о л ь з о в а т е л е й перед предоставлением им доступа в сеть. Исполь- з у й т е о ф и ц и а л ь н у ю п р о в е р к у подлинности, например паспорт или другой механизм и д е н т и ф и к а ц и и , который компания должна использовать при работе с кадрами .


Второе с о о б р а ж е н и я с в я з а н о с		временем ж и з н и	сертификатов. Обычно
с е р т и ф и к а т ы содержат по два ключа		— открытый и	частный. Последний ис-
пользуется д л я	ш и ф р о в а н и я данных .
С т о р о н н и е	л и ц а д л я р а с ш и ф р о в к и данных обычно пользуются открытым

ключом. Ч е м д о л ь ш е пара ключей сертификата находится в употреблении, тем в ы ш е в е р о я т н о с т ь атаки на него и л и взлома. При обновлении сертификата генерируется н о в а я пара ключей, поэтому необходимо распланировать время ж и з н и с е р т и ф и к а т о в и регулярно обновлять их.

Кроме того, ваша иерархия из уровней также обязана включать сроки действия на основе уровня . Корневые центры сертификации должны использовать максимальный срок ж и з н и , у промежуточных СА он должен быть несколько меньше, а у СА в ы д а ч и с е р т и ф и к а т о в — еще меньше и т. д. Например, вы можете использовать интервал 10 лет д л я всех уровней архитектуры, то есть назначить 10 лет на каждом уровне. В архитектуре из трех уровней используйте 30 лет д л я корневого СА, 20 — для промежуточных и 10 — для СА выдачи

25 З а к . 3 3 9 9

[. 746

Службы сертификации Active Directory

Глава 15

сертификатов. Затем выдаваемым сертификатам можно назначить срок действия год или два. Установка именно такого времени жизни сертификатов в иерархии обусловливается тем, что по истечении срока действия сертификата сервера также заканчивается время жизни всех подчиненных сертификатов. Поэтому сертификатам серверов следует назначать самое длительное время жизни.

И наконец, вы должны распланировать и подготовить правила и требования сертификации (Certificate Practice Statement, CPS), которые основываются на политиках сертификации. Политики определяют обязанности организации по выдаче всех типов сертификатов. Организация, в ы д а в ш а я сертификаты, в конечном счете отвечает за злонамеренное или некорректное их использование. Поэтому для определения политик в организации используйте традиционные отделы кадров и безопасности и на их основе генерируйте требования CPS. Правила CPS должны включать несколько элементов, например: четкую идентификацию создавшего их лица, список политик сертификации, общую инструкцию процедур выдачи и отзыва сертификатов, метод защиты центров сертификации и т. д.

Правила CPS также должны отражать п о л и т и к у отзыва сертификатов . Отзыв осуществляется для отмены действия сертификата, если, к примеру, некое лицо не придерживается правил политики этого отдельного типа сертификата. Помните, что отзыв сертификата — всего лишь метод аннулирования некорректно используемого сертификата.

Правила CPS должны быть общедоступны для внутренних и внешних пользователей СА. Обычно доступ к правилам предоставляется в Интернете или интрасетях.

К СВЕДЕНИЮ

Правила и требования сертификации CPS

Более подробную информацию об определении правил и требований сертификации CPS можно найти по адресу http://technet2.microsoft.com/z0indoz0sserver/en/library/

78c89e0f-44f8-452a-922c-5dd5b8eaa63b1033.mspx?mfr-*true.

СОВЕТ К ЭКЗАМЕНУ

Ознакомьтесь с политиками сертификации и правилами CPS, поскольку они являются важной темой экзамена 70-640.

Контрольные вопросы

1.Опишите различные типы центров сертификации, поддерживаемые в AD CS.

2.Вы планируете установить корневой центр сертификации в двухъярусной архитектуре. Какой тип СА следует установить?

3.Каким образом обновляется список доверенных центров сертификации в Windows Vista и Windows Server 2008?

Занятие 1

Установка служб сертификации Active Directory 75-]

Ответы на контрольные вопросы

1.Службы AD CS поддерживают два типа центров сертификации. Независимый СА используется в средах, где не поддерживается интеграция с доменными службами Active Directory (AD DS), поскольку по умолчанию он не взаимодействует с AD DS. Центры сертификации предприятия (Enterprise СА) непосредственно интегрируются в каталог AD DS и могут обеспечить автоматизированный процесс подачи заявок пользователей или устройств.

2.Следует использовать независимый СА. Корневые центры сертификации обычно отключаются от сети сразу после развертывания инфраструктуры открытых ключей. Поэтому имеет смысл использовать самый простой тип СА, поддерживаемый в AD CS.

3.Список доверенных центров сертификации в Windows Vista и Windows Server 2008 обновляется параметрами групповой политики, которые включены по умолчанию. В предыдущих версиях Windows список доверенных СА являлся компонентом Windows, управление которым осуществлялось в панели управления (Control Panel).

Установка AD CS

Процесс у с т а н о в к и AD CS более сложный, чем инсталляция служб Active Directory облегченного доступа к каталогам (AD LDS). Причина заключается в выборе между независимым АС и центром сертификации предприятия (Enterprise С А) и последующем выборе на основе исходного.

В б о л ь ш и н с т в е случаев устанавливается структура из двух уровней, где вначале инсталлируется независимый СА, а затем СА предприятия. В более крупных организациях развертываются несколько уровней и на каждом уровне, за исключением корневого, устанавливается несколько серверов.

Серверы, у п р а в л я ю щ и е ролью AD CS, в качестве которых можно использовать ф и з и ч е с к и е компьютеры и виртуальные машины, следует отконфигурировать со с л е д у ю щ и м и параметрами.

•Мультипроцессорные системы, поскольку они ускоряют процесс распространения сертификатов .

• М и н и м а л ь н ы й объем оперативной памяти, поскольку RAM практически не влияет на обработку сертификатов. Д л я виртуальной машины можно выделить 512 М б а й т памяти.

•Отдельные диски для хранилища сертификатов. В идеале, нужен хотя бы один диск данных, на котором будет храниться база данных. Серверы, издающие сертификаты для крупных сообществ, также должны располагать жесткими дисками для файлов журналов.

•Д л и н а ключа влияет на использование процессоров и диска. Для коротких ключей требуется более высокая нагрузка диска, для длинных — больше ресурсов процессоров и меньше диска. Используйте ключи средних размеров для обеспечения оптимальной производительности серверов.

<<< < Предыдущая 65 66 67 68 69 70 71 72 73 74 75 7677 / 9677 78 79 80 81 82 83 84 85 86 87 88 89 > Следующая >>>

Соседние файлы в папке ЛБ

#
02.02.20218.2 Mб268Книга Active directory.pdf
#
02.02.2021368.32 Кб190Методичні вказівки з оформлення робіт.pdf
#
02.02.2021121.86 Кб186Шаблон звіту.doc