-
Реализация сервера сертификатов в виртуальных частных сетях
Во многих организациях в настоящее время имеется множество служащих или групп служащих, которые управляют безопасностью среды. Для администратора туннелей сотрудничество с администраторами безопасности имеет большое значение. Администраторам необходимо ответить на основной вопрос: имеют ли клиенты, входящие в сеть, сертификаты, выпущенные доверяемым сервером сертификатов?
В системе Windows NT 4.0 было возможно (и очень привычно) разворачивание туннельного сервера вообще без использования сервера сертификатов. Туннельный администратор по-прежнему может разворачивать сервер Windows 2000 (с протоколом РРТР) без применения сервера сертификатов, но при установке протоколов L2TP и IPSec этот сервер весьма пригодится.
Можно выдавать сертификаты для всех типов туннелей. С помощью протокола расширяемой аутентификации (ЕАР — Extensible Authentication Protocol) администратор может распространить указания для всех подключений РРТР на использование пользовательских сертификатов для аутентификации. Это решение может быть реализовано наравне с развертыванием сетей VPN, целиком основанных на выпущенных корпорациями смарт-картах. Для корпорации, заботящейся о своей безопасности, — это отличный способ гарантирования безопасности при получении доступа к корпоративной сети. Это побуждает выдвигать в процессе регистрации физическое требование — использование смарт-карты. В результате, хакер не сможет получить доступ, располагая только именем пользователя и паролем.
Если даже ваша организация не изменяет радикально среду размещения и применения туннельных серверов и клиентов, тем не менее, возможно, что серверу придется и в дальнейшем поддерживать несколько различных опций подключения. Вероятно, в пользовательском плане разворачивания будет установлено направление развития туннельной среды, а также установлена полная поддержка инфраструктуры сертификатов, с тем, чтобы ни одна комбинация "клиент/конфигурация" не смогли начать ее применение. Туннельному серверу, по-прежнему, придется в течение некоторого времени поддерживать традиционную регистрацию имени пользователя и пароля (без применения сертификатов). В большинстве случаев не следует полагать, что возможна реализация переключения по принципу "вырезать-очистить".
Обычно большинство сред сертификатов относятся к одной из двух категорий:
-
компания не располагает существующей структурой сертификатов (эта ситуация является распространенной среди небольших или средних организаций, и ее довольно легко исправить);
-
организация имеет существующую инфраструктуру сертификатов, однако требует разворачивания сетей VPN. Эта ситуация является обычной в случае крупных корпораций, и детали процесса разворачивания в данной среде могут быть весьма сложными.
Сервер сертификатов Microsoft в плане развертывания Windows 2000 предлагает, вероятно, наилучший метод развертывания сети VPN. Возможности, присущие серверу сертификатов Microsoft, характерны и для многих других программных продуктов, однако поскольку эта книга не посвящена подробному рассмотрению сертификатов, стоит ознакомиться с тем, каким образом развертываются сертификаты с помощью сервера сертификатов фирмы Microsoft. Можно интегрировать сертификаты сторонних производителей с целью выдачи машинных сертификатов для развертывания сети VPN, однако каждый сертификат является уникальным для определенного программного продукта. Для администратора важно осознать последствия использования любого сертификата, а также гарантировать, что сервер стороннего производителя является полностью совместимым с потребностями среды VPN.
2.1.СЕРТИФИКАТЫ Windows 2000. Как уже говорилось ранее, Windows 2000 использует сертификаты весьма интенсивно. Сертификаты требуются даже при запуске DCPromo. Если не найден сервер сертификатов, то сертификат будет генерироваться случайным образом для процесса. Это справедливо за исключением тех случаев, когда отсутствует практический метод отслеживания данных автоматически генерируемых сертификатов. Поскольку в этом случае применяется подход, ориентированный на использование сертификатов, вообще говоря, неплохо было бы располагать сервером ЦС при развертывании Windows 2000.
Несмотря на то, что обычно организация уже имеет структуру сертификатов, возможно, возникает потребность добавления в иерархию сервера сертификатов Microsoft с целью развертывания доверяемых сертификатов. Эта цель преследовалась при разработке многих программных продуктов. По сути, многие сертификаты могут стыковаться непосредственно с решением Windows 2000 PKI. Это происходит, в основном, благодаря тому, что сервер сертификатов Windows 2000 представляет собой решение, основанное на стандартах.
Если организация не располагает существующей структурой сертификатов, и единственной причиной для установки этой структуры является удовлетворение требований протокола IPSec, попробуйте установить интегрированный сервер сертификатов Microsoft в Active Directory. Эта процедура довольно проста, она обычно предусматривает установку и конфигурирование с целью выполнения автоматического развертывания, но очень часто пользователь об этом просто забывает. Данный подход обычно используется в небольших организациях, которым не требуется владеть сложной структурой сертификатов.
В сетях VPN применение сертификатов возможно с помощью одного из следующих методов:
развертывание машинных сертификатов для IPSec;
развертывание смарт-карт или других решений на основе сертификатов для регистрации в сетях VPN;
установка соответствия между сертификатами и специфическими учетными записями (обычно учетные записи службы).
В следующих разделах представлены инструкции по установке и настройке сервера сертификатов, обеспечивающего развертывание сертификатов в среде сетей VPN.