Как обеспечить надежную отказоустойчивую работу центров сертификации мы разобрались в статье [1], но это недостаточно для полноценного решения отказоустойчивой инфраструктуры открытых ключей. Уверен, что вы уже обнаружили узкое место. Конечно, это точки распространения (Distribution Points). При их недоступности мы оказываемся в ситуации неработающего решения, поскольку пользователь не может проверить сертификаты удостоверяющих центров, а значит нет доверия к инфраструктуре и списки отзыва сертификатов, стало быть, не можем доверять конкретному сертификату.
-
Отказоустойчивость и доступность центров распространения (Distribution Points)
- Рубрика: Networks,Security,Windows,Без рубрики
- Автор: Леонид Шапиро
- Дата: Monday 25 Feb 2019
-
Инфраструктура открытых ключей в Windows Server 2016. Отказоустойчивость
Продолжаем тему построения инфраструктуры открытых ключей для корпоративного использования. Нельзя забывать о необходимости отказоустойчивости и доступности, причем это касается не только самих удостоверяющих центров/центров сертификации, но и, разумеется, всего необходимого для их работы окружения.
-
Внедрение Инфраструктуры Открытых Ключей на основе Windows Server. Установка и настройка издающего центра сертификации
В этой части нашего цикла мы рассмотрим развертывание издающего удостоверяющего центра в двухуровневой иерархии. В отличие от корневого, этот сервер должен быть постоянно доступен клиентам, причем здесь мы имеем в виду не только возможность получения сертификатов, но и что важней, их отзыва при компрометации. Точно также, как и с корневым УЦ, перед установкой понадобится подготовить файл capolicy.inf [1] и разместить его правильном месте расположения [2].
-
Установка и настройка корневого центра сертификации (RootCA)
Степан Москалев
Леонид Шапиро
Следующий этап внедрения инфраструктуры открытых ключей – установка корневого удостоверяющего центра. Как правило это виртуальная машина, при этом ее не следует подключать к сети, поскольку это может создать потенциальный риск компрометации. Весь информационный обмен: перенос сертификатов и списков отзыва, передача запросов к центру сертификации и выданных сертификатов с него осуществляется с помощью внешнего защищенного носителя, доступ к которому ограничен доверенным кругом лиц.
-
Внедрение Инфраструктуры Открытых Ключей на основе Windows Server 2016
Внедрение собственной инфраструктуры открытых ключей часто становится одной их задач, которую приходится решать ИТ отделам предприятия. Причины этого вполне объяснимы: тут и вопросы безопасной аутентификации, защиты передаваемых и хранимых данных, потребность в использовании электронной цифровой подписи, и другое. Далеко не всегда эти задачи могут быть решены средствами внешних поставщиков, несмотря на очевидную тенденцию развития облачных решений.
-
Доверие в сфере информационных технологий
Может показаться странным, но доверие – не что иное, как основа безопасности.
Это относится и к сфере информационных технологий в том числе. Как же так?
Как эти понятия вообще могут сочетаться? Давайте разберемся -
Публикация виртуальных машин в UAG
- Рубрика: Security,Windows,Без рубрики,Новое
- Автор: gexeg
- Дата: Saturday 06 Apr 2013
Microsoft Forefront Unified Access Gateway (UAG) 2010 – очень интересное средство для публикации внутренних ресурсов для внешних (да и внутренних тоже) пользователей. Но вот есть в нем очень серьезный недостаток – нет никаких средств автоматизации процесса управления. Точнее так, средства автоматизации есть, в виде COM-интерфесов, но они недокументированы и понять, как они работают и какие параметры принимают, мне так и не удалось. -
Microsoft DirectAccess 2012: DirectAccess и Windows 8
- Рубрика: Networks,Security,Windows,Без рубрики,Новое
- Автор: Дмитрий Фомичев
- Дата: Sunday 06 Jan 2013
В прошлой статье я постарался в понятной форме рассказать о технологии DirectAccess, о ее плюсах и минусах. Теперь, как и обещал, расскажу о том, каким образом настроить сервер DirectAccess в базовой конфигурации для работы только с клиентами Windows 8. Что значит в базовой конфигурации? Это когда у вас есть Windows Server 2012 на котором будет поднята роль для DirectAccess и клиенты (с операционной системой Windows 8 Enterprise) имеющие прямое подключение к интернету . В базовой конфигурации не будет использоваться инфраструктура открытых ключей (PKI) и используется только одна входная точка (сервер DirectAccess), подключенная в одном сайте Active Directory. Так же в базовую конфигурацию не могут входить дополнительные опции, такие как двухфакторная аутентификация (OTP Auth), проверка доступа к сети (NAP). Ну и самое важное – в ней не могут использоваться клиенты Windows 7.
-
Microsoft DirectAccess 2012: Введение
- Рубрика: Networks,Security,Windows,Без рубрики,Новое
- Автор: Дмитрий Фомичев
- Дата: Sunday 02 Dec 2012
Время не стоит на месте, и мы, что бы не отставать от современного ритма, должны быть активными и мобильными. Для организаций любого уровня становится все более важным иметь простой и безопасный способ подключения удаленных и мобильных клиентов к внутренней сети предприятия. Одной из распространенных технологий удаленного доступа является VPN, хотя можно было обойтись и без него, используя прямые подключения средствами RDP, Radmin, Ammyy и тому подобных вещей. Теперь в списке появляется значимая альтернатива – Microsoft DirectAccess 2012. Число 2012 говорит нам о том, что это сервис включенный в новую редакция сервера Windows Server 2012. Это важно, потому что DirectAccess уже был реализован в 2008 R2, но с кучей нюансов и серьезных требований к инфраструктуре предприятия, где внедряли DirectAccess 2008 R2. Именно поэтому я специально сказал, что только теперь появилась альтернатива для удаленного подключения клиентов, и сейчас объясню почему.
-
Windows Server 2012: новые возможности (Часть1)
- Рубрика: Windows,Без рубрики,Новое
- Автор: Илья Рудь
- Дата: Thursday 06 Sep 2012
До последнего момента не доходили руки пощупать Windows Server 2012, но все же нужда заставила и пришлось развернуть тестовый стенд. Ощущения не однозначные, но скажу честно, появилось множество возможностей, значительно упрощающих жизнь. В рамках небольшой заметки хотелось бы познакомить читателей с основными изменениями операционной системы, которые бросились в глаза. Можно не пугаться, революции не произошло, домены на месте, все изменения больше качественные, хотя есть и совсем новые технологии, но обо всем по порядку.