2. Реализация сервера сертификатов в виртуальных частных сетях

Во многих организациях в настоящее время имеется множество служащих или групп служащих, которые управляют безопасностью среды. Для администратора тун­нелей сотрудничество с администраторами безопасности имеет большое значение. Администраторам необходимо ответить на основной вопрос: имеют ли клиенты, вхо­дящие в сеть, сертификаты, выпущенные доверяемым сервером сертификатов?

В системе Windows NT 4.0 было возможно (и очень привычно) разворачивание тун­нельного сервера вообще без использования сервера сертификатов. Туннельный адми­нистратор по-прежнему может разворачивать сервер Windows 2000 (с протоколом РРТР) без применения сервера сертификатов, но при установке протоколов L2TP и IPSec этот сервер весьма пригодится.

Можно выдавать сертификаты для всех типов туннелей. С помощью протокола расширяемой аутентификации (ЕАР — Extensible Authentication Protocol) администра­тор может распространить указания для всех подключений РРТР на использование пользовательских сертификатов для аутентификации. Это решение может быть реали­зовано наравне с развертыванием сетей VPN, целиком основанных на выпущенных корпорациями смарт-картах. Для корпорации, заботящейся о своей безопасности, — это отличный способ гарантирования безопасности при получении доступа к корпоративной сети. Это побуждает выдвигать в процессе регистрации физическое требование — ис­пользование смарт-карты. В результате, хакер не сможет получить доступ, располагая только именем пользователя и паролем.

Если даже ваша организация не изменяет радикально среду размещения и приме­нения туннельных серверов и клиентов, тем не менее, возможно, что серверу придет­ся и в дальнейшем поддерживать несколько различных опций подключения. Вероят­но, в пользовательском плане разворачивания будет установлено направление разви­тия туннельной среды, а также установлена полная поддержка инфраструктуры сертификатов, с тем, чтобы ни одна комбинация "клиент/конфигурация" не смогли начать ее применение. Туннельному серверу, по-прежнему, придется в течение неко­торого времени поддерживать традиционную регистрацию имени пользователя и па­роля (без применения сертификатов). В большинстве случаев не следует полагать, что возможна реализация переключения по принципу "вырезать-очистить".

Обычно большинство сред сертификатов относятся к одной из двух категорий:

• компания не располагает существующей структурой сертификатов (эта ситуация является распространенной среди небольших или средних организаций, и ее довольно легко исправить);

• организация имеет существующую инфраструктуру сертификатов, однако требует разворачивания сетей VPN. Эта ситуация является обычной в случае крупных корпораций, и детали процесса разворачивания в данной среде могут быть весьма сложными.

Сервер сертификатов Microsoft в плане развертывания Windows 2000 предлагает, вероятно, наилучший метод развертывания сети VPN. Возможности, присущие серве­ру сертификатов Microsoft, характерны и для многих других программных продуктов, однако поскольку эта книга не посвящена подробному рассмотрению сертификатов, стоит ознакомиться с тем, каким образом развертываются сертификаты с помощью сервера сертификатов фирмы Microsoft. Можно интегрировать сертификаты сторон­них производителей с целью выдачи машинных сертификатов для развертывания сети VPN, однако каждый сертификат является уникальным для определенного программ­ного продукта. Для администратора важно осознать последствия использования лю­бого сертификата, а также гарантировать, что сервер стороннего производителя явля­ется полностью совместимым с потребностями среды VPN.

2.1.СЕРТИФИКАТЫ Windows 2000. Как уже говорилось ранее, Windows 2000 использует сертификаты весьма интенсивно. Сертификаты требуются даже при запуске DCPromo. Если не найден сервер серти­фикатов, то сертификат будет генерироваться случайным образом для процесса. Это справедливо за исключением тех случаев, когда отсутствует практический метод отслеживания данных автоматически генерируемых сертификатов. Поскольку в этом случае применяется подход, ориентированный на использование сертификатов, вообще говоря, неплохо было бы располагать сервером ЦС при развертывании Windows 2000.

Несмотря на то, что обычно организация уже имеет структуру сертификатов, возмож­но, возникает потребность добавления в иерархию сервера сертификатов Microsoft с целью развертывания доверяемых сертификатов. Эта цель преследовалась при разработке многих программных продуктов. По сути, многие сертификаты могут стыковаться непосредствен­но с решением Windows 2000 PKI. Это происходит, в основном, благодаря тому, что сервер сертификатов Windows 2000 представляет собой решение, основанное на стандартах.

Если организация не располагает существующей структурой сертификатов, и единст­венной причиной для установки этой структуры является удовлетворение требований про­токола IPSec, попробуйте установить интегрированный сервер сертификатов Microsoft в Active Directory. Эта процедура довольно проста, она обычно предусматривает установку и конфигурирование с целью выполнения автоматического развертывания, но очень часто пользователь об этом просто забывает. Данный подход обычно используется в небольших организациях, которым не требуется владеть сложной структурой сертификатов.

В сетях VPN применение сертификатов возможно с помощью одного из следую­щих методов:

развертывание машинных сертификатов для IPSec;

развертывание смарт-карт или других решений на основе сертификатов для ре­гистрации в сетях VPN;

установка соответствия между сертификатами и специфическими учетными за­писями (обычно учетные записи службы).

В следующих разделах представлены инструкции по установке и настройке сервера сертификатов, обеспечивающего развертывание сертификатов в среде сетей VPN.