Professional Documents
Culture Documents
Infrastruktura klucza
publicznego (PKI)
Autor: Andrzej Szelg
ISBN: 83-246-1914-3
Stron: 300
Poznaj i wprowad PKI dla wasnego bezpieczestwa i ochrony danych
Jak zarzdza infrastruktur PKI?
Jak zabezpiecza konta administracyjne?
Jak przygotowa stacj rejestrowania certyfikatw cyfrowych kart inteligentnych?
Infrastruktura klucza publicznego PKI (skrt od ang. Public Key Infrastructure) stanowi
zbir sprztu, oprogramowania, regu oraz procedur koniecznych do tworzenia,
zarzdzania, przechowywania i dystrybucji certyfikatw opartych na kryptografii
z kluczem publicznym. Dziki tej infrastrukturze mona tworzy bezpieczne kanay
do wymiany informacji oraz przesyania wanych danych przy uyciu Internetu.
Najczciej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, poniewa
pozwala na wzajemn weryfikacj sprzedawcy i kupujcego oraz zapewnia bezpieczny
kana podczas obustronnej komunikacji sieciowej.
Ksika Windows Server 2008. Infrastruktura klucza publicznego (PKI) zawiera
wszystkie niezbdne informacje, zwizane z infrastruktur klucza publicznego.
Dziki temu podrcznikowi poznasz zasady tworzenia PKI w przedsibiorstwach
dowolnej wielkoci, a take wszystkie zagadnienia dotyczce szczegowego procesu
instalacji oraz konfiguracji nadrzdnego i podrzdnego urzdu certyfikacji. Dowiesz si,
na czym polega konfigurowanie zasad grupy, zwizanych z infrastruktur klucza
publicznego w szczeglnoci tych dotyczcych kart inteligentnych i usug, ktre s
z nimi zwizane na komputerze pracujcym pod kontrol serwerowego systemu
operacyjnego Windows Server 2008 Standard.
Wydawnictwo Helion
ul. Kociuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl
Bezpieczestwo to podstawa.
Profesjonalnie ochro wartociowe dane firmy
Spis tre!ci
Wprowadzenie .................................................................................. 7
Rozdzia! 1. Infrastruktura klucza publicznego (PKI) ........................................... 11
1.1. Co to jest PKI? ...................................................................................................... 12
1.2. Dlaczego PKI? ...................................................................................................... 13
1.3. Standardy zwi$zane z PKI .................................................................................... 15
1.3.1. ITU X.509 ................................................................................................. 15
1.3.2. RSA PKCS ................................................................................................ 16
1.3.3. IETF PKIX ................................................................................................ 18
1.4. Architektura PKI w Windows Server 2008 .......................................................... 19
1.4.1. Urz%dy certyfikacji (CA) i urz%dy rejestracji (RA) .......................................... 19
1.4.2. Szablony certyfikatw i certyfikaty cyfrowe ............................................. 22
1.4.3. Repozytoria certyfikatw cyfrowych ......................................................... 26
1.4.4. Listy odwo"ania certyfikatw (CRL) ......................................................... 28
1.4.5. Narz%dzia do zarz$dzania PKI w Windows Server 2008
i Windows Vista .................................................................................... 30
1.5. PKI a szyfrowanie informacji ............................................................................... 36
1.5.1. Podstawowe poj%cia zwi$zane z szyfrowaniem informacji ....................... 37
1.5.2. Symetryczne i asymetryczne metody szyfrowania informacji .................. 38
1.6. Zastosowania PKI ................................................................................................. 43
1.7. Funkcje zabezpieczaj$ce w PKI ........................................................................... 44
Rozdzia! 3. Nadrz"dny urz#d certyfikacji typu offline w Windows Server 2008 ...... 73
3.1. Minimalne wymagania systemowe i sprz%towe dla nadrz%dnego CA .................. 73
3.2. Zalecenia dla nadrz%dnego CA ............................................................................. 74
3.3. Instalowanie nadrz%dnego CA w trybie offline .................................................... 75
Rozdzia! 4. Podrz"dny urz#d certyfikacji typu online w Windows Server 2008 ...... 93
4.1. Minimalne wymagania systemowe i sprz%towe dla podrz%dnego CA .................. 93
4.2. Zalecenia dla podrz%dnego CA ............................................................................. 94
4.3. Instalowanie podrz%dnego CA w trybie online ..................................................... 95
4.4. Uzyskiwanie certyfikatu cyfrowego z nadrz%dnego CA dla podrz%dnego CA ......... 104
4.5. Importowanie certyfikatu nadrz%dnego CA i listy CRL do podrz%dnego CA ........ 109
4.6. Uruchamianie us"ugi certyfikatw na podrz%dnym CA ...................................... 115
4.7. Konfigurowanie punktu dystrybucji listy CRL (CDP)
i dost%pu do informacji o urz%dach (AIA) ...................................................... 119
4.8. Publikowanie certyfikatu cyfrowego nadrz%dnego CA
w us"udze katalogowej Active Directory ........................................................ 121
Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 ......... 139
6.1. Zasady grupy ...................................................................................................... 139
6.2. Zasady kluczy publicznych ................................................................................. 140
6.3. Konfigurowanie zasad grupy dotycz$cych kart inteligentnych ........................... 146
6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej ............................ 148
6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu
karty inteligentnej ................................................................................ 150
6.4. Us"ugi zwi$zane z kartami inteligentnymi .......................................................... 153
6.5. Uruchamianie us"ugi Zasady usuwania karty inteligentnej ................................. 154
Spis tre$ci
5
8.3.1. Przygotowanie stacji rejestrowania certyfikatw
cyfrowych kart inteligentnych ............................................................. 178
8.3.2. Przygotowanie karty inteligentnej do pracy ............................................ 181
8.3.3. Umieszczenie certyfikatu typu Logowanie kart$ inteligentn$
na karcie inteligentnej .......................................................................... 184
8.4. Zarz$dzanie dost%pem u!ytkownikw w Windows Vista ................................... 194
8.4.1. Zabezpieczanie kont administracyjnych .................................................. 194
8.4.2. Metody uwierzytelniania ......................................................................... 195
8.4.3. Konfigurowanie opcji kont u!ytkownikw w us"udze Active Directory ....... 196
8.4.4. Logowanie do systemu Windows Vista za pomoc$ karty inteligentnej ...... 197
Rozdzia! 9. Zdalny dost"p w Windows Server 2008 i Windows Vista ............... 203
9.1. Narz%dzia administracji zdalnej serwera firmy Microsoft .................................. 204
9.2. Pulpit zdalny firmy Microsoft ............................................................................. 204
9.3. Instalowanie i konfigurowanie narz%dzi administracji zdalnej
serwera w Windows Vista .............................................................................. 207
9.4. Zarz$dzanie PKI za pomoc$ narz%dzi administracji zdalnej
serwera firmy Microsoft ................................................................................. 209
9.5. Konfigurowanie serwera na potrzeby us"ugi Pulpit zdalny firmy Microsoft ......... 215
9.5.1. W"$czanie us"ugi Pulpit zdalny firmy Microsoft ..................................... 216
9.5.2. Konfigurowanie ustawie' serwera terminali ........................................... 217
9.5.3. Zmiana domy#lnego numeru portu dla us"ug terminalowych .................. 222
9.5.4. Konfigurowanie ustawie' programu Zapora systemu Windows ............. 224
9.6. Konfigurowanie klienta us"ugi Pulpit zdalny ...................................................... 224
9.7. Zarz$dzanie infrastruktur$ PKI za pomoc$ klienta us"ugi Pulpit zdalny ............ 228
140
Rysunek 6.1.
Zasady grupy
dotycz<ce komputera
Zasady grupy nie powoduj$ trwa"ych zmian w rejestrze systemu Windows. Mo!na je
wi%c bardzo "atwo dodawa+ i usuwa+ bez za#miecania rejestru czy konieczno#ci
ponownego uruchamiania systemu operacyjnego.
Rozdzia! 6.
141
142
i komputera
Automatyczne rejestrowanie certyfikatw cyfrowych u!ytkownika
i komputera pozwala w niezwykle prosty sposb zautomatyzowa+:
proces odnawiania wygas"ych certyfikatw cyfrowych,
aktualizowanie oczekuj$cych certyfikatw cyfrowych (rwnie! tych,
ktre u!ywaj$ opisanych wcze#niej szablonw certyfikatw cyfrowych),
usuwanie odwo"anych certyfikatw cyfrowych,
powiadamianie o wygasaniu danego certyfikatu cyfrowego, zanim sko'czy
si% jego okres wa!no#ci.
Powy!sze cele mo!na osi$gn$+, edytuj$c w"a#ciwo#ci obiektu Klient usSug
certyfikatw automatyczne rejestrowanie z poziomu kontenera Zasady
kluczy publicznych, co przedstawiono na rysunku 6.5.
Rysunek 6.5.
Klient usSug
certyfikatw
automatyczne
rejestrowanie
dla komputera
Rozdzia! 6.
143
Rysunek 6.6.
Klient usSug
certyfikatw
automatyczne
rejestrowanie
dla uZytkownika
dla komputerw
Jak ju! wspomniano na pocz$tku tego rozdzia"u, zarz$dzanie ka!dym
certyfikatem cyfrowym z osobna jest czasoch"onne. W kontenerze o nazwie
Ustawienia automatycznego Z<dania certyfikatu administrator domeny mo!e
144
Rysunek 6.7.
ZakSadka Magazyny
Rozdzia! 6.
145
146
Rozdzia! 6.
147
148
Z poziomu w%z"a Opcje zabezpiecze= zostan$ skonfigurowane dwie wspomniane wcze#niej zasady grupy dotycz$ce kart inteligentnych, czyli:
Logowanie interakcyjne: wymagaj karty inteligentnej,
Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.
Rysunek 6.13. Wynik dziaSania zasady Logowanie interakcyjne: wymagaj karty inteligentnej
Rozdzia! 6.
149
150
Rysunek 6.16. Wynik dziaSania zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty
inteligentnej
Rozdzia! 6.
151
Rysunek 6.17. Zasada Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej
Rysunek 6.18.
ZakSadka
Ustawianie zasad
zabezpiecze=
dla Logowanie
interakcyjne:
zachowanie przy
usuwaniu karty
inteligentnej
152
Rozdzia! 6.
153
Wszystkie omwione w tym rozdziale ustawienia zasad grupy Karty inteligentne dla
obiektu PKI (jednostki organizacyjnej o nazwie PKI) mo!na sprawdzi+ na zak"adce
Ustawienia, przedstawionej na rysunku 6.21.
Rysunek 6.21. Ustawienia zasad grupy Karty inteligentne dla obiektu PKI
Ustawienia zasad grupy Karty inteligentne dla obiektu PKI mo!na wyeksportowa+ do
formatu HTML (jako raport), a nast%pnie przegl$da+ je za pomoc$ przegl$darki internetowej Internet Explorer 7, co przedstawia rysunek 6.22.
154
Stan us!ugi
R%czny
Zatrzymano
Propagacja certyfikatu
(CertPropSvc)
R%czny
Zatrzymano
Zasady usuwania
karty inteligentnej
(SCPolicySvc)
R%czny
Zatrzymano
Nazwa us!ugi
Opis us!ugi
Karta inteligentna
(SCardSvr)
Rozdzia! 6.
155
trzeba uruchomi+ us"ug% o nazwie Zasady usuwania karty inteligentnej, o ktrej by"a
ju! wcze#niej mowa. Dopki ta us"uga nie b%dzie uruchomiona, komputer po wyj%ciu
karty inteligentnej z czytnika kart inteligentnych b%dzie blokowany. Samo ustawienie zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej
nie wystarcza.
Us"uga Zasady usuwania karty inteligentnej (SCPolicySvc) umo!liwia skonfigurowanie najnowszych systemw operacyjnych firmy Microsoft w taki sposb, aby po usuni%ciu karty inteligentnej z czytnika kart inteligentnych by" blokowany pulpit aktualnie zalogowanego u!ytkownika. W przypadku systemw operacyjnych Windows Server
2003 z dodatkiem Service Pack 2 czy Windows XP Professional z dodatkiem Service
Pack 3 nie jest wymagane uruchamianie us"ugi Zasady usuwania karty inteligentnej,
gdy! us"uga taka nie jest w nich dost%pna. Systemy automatycznie blokuj$ komputer
po wyj%ciu karty inteligentnej z czytnika kart inteligentnych. Nie trzeba wi%c wykonywa+ omawianych w tym podrozdziale czynno#ci. Wystarczy tylko dokona+ ustawie'
zasad grupy dotycz$cych kart inteligentnych, ktre zosta"y przedstawione w poprzednich
podrozdzia"ach. Odpowiednio skonfigurowane musz$ by+ tylko najnowsze systemy operacyjne firmy Microsoft.
Jak ju! wcze#niej wspomniano, istnieje kilka metod uruchamiania us"ugi Zasady usuwania karty inteligentnej. Mo!na to wykona+ r%cznie (na ka!dym komputerze wyposa!onym w czytnik kart inteligentnych) z poziomu konsoli MMC o nazwie UsSugi
(ang. Services), ktr$ w"$cza si% za pomoc$ komendy services.msc. Mo!na rwnie!
skorzysta+ z metody automatycznej, tj. z wykorzystaniem zasad grupy, co b%dzie
omwione dalej. To rozwi$zanie jest znacznie mniej pracoch"onne, co ma niebagatelne
znaczenie w przypadku konfigurowania setek czy tysi%cy komputerw. Wystarczy jedynie skonfigurowa+ jedn$ zasad% i za pomoc$ us"ugi katalogowej Active Directory
rozprowadzi+ j$ do komputerw znajduj$cych si% w okre#lonej jednostce organizacyjnej.
Aby uruchomi+ us"ugi Zasady usuwania karty inteligentnej za pomoc$ zasad grupy,
Administrator domeny (u!ytkownik EA.pl\Andministrator) musi wykona+ nast%puj$ce
czynno#ci.
1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$ komendy
gpmc.msc), a nast%pnie wyedytowa+ wcze#niej utworzon$ zasad% grupy