Imtiyozli maslahatchi. Faxriylar. Pensionerlar. Nogiron odamlar. Bolalar. Oila. Yangiliklar

Sertifikat kengaytma kalitidan foydalanish. SSL sertifikatini o'rnatish uchun ma'lumotni qayerdan olsam bo'ladi? Xalqaro elektraloqa ittifoqi

Ushbu ilovada Windows 2000 sertifikat xizmatlari amal qiladigan standartlar va ushbu standartlarning maxsus qo'llanilishi tasvirlangan. Shuningdek, ushbu standartlar sertifikat organlari tomonidan qanday va qayerda qo'llanilishini tavsiflaydi. Ushbu mavzular quyidagi kichik bo'limlarda yoritilgan:

Xalqaro elektraloqa ittifoqi

Xalqaro elektraloqa ittifoqi (XEI) aloqa sohasida standartlarni belgilovchi tashkilotdir. Uning a'zolari 150 dan ortiq davlatdir. ITU hukumatlar va xususiy sektor global telekommunikatsiya tarmoqlari va tizimlarini muvofiqlashtirilgan rivojlantirish mumkin bo'lgan mexanizm. ITU-T - XEIning telekommunikatsiya standartlari uchun mas'ul sektori. ITU-T tarmoq protokollari, faksimil uzatish tizimlari uchun standartlarni ishlab chiqish va modemni qurish va ishlatish standartlarini ishlab chiqish uchun javobgardir.

X.509 3-versiya sertifikatlari

Bugungi kunda foydalanilayotgan sertifikatlarning aksariyati ITU-T X.509 standartiga asoslangan. Bilan ishlaganda Windows sertifikatlari 2000 ushbu standartga mos keladi.

X.509 sertifikati ochiq kalit va sertifikat berilgan shaxs yoki yuridik shaxs haqidagi maʼlumotlar, sertifikatning oʻzi haqidagi maʼlumotlar va sertifikat bergan sertifikatlashtirish organi (CA) haqidagi qoʻshimcha maʼlumotlarni oʻz ichiga oladi. Egasi haqidagi ma'lumotlarga korxona nomi (sertifikatni olgan nom), ochiq kalit, ochiq kalit algoritmi va variant sifatida egasining noyob identifikatori kiradi. Standart kengaytmalari X.509 3-versiya sertifikatiga kalit identifikatorlari, kalitlardan foydalanish maʼlumotlari, sertifikat siyosati, qoʻshimcha nomlar va atributlar, sertifikatlashtirish yoʻli cheklovlari va sertifikatni bekor qilish kengaytmalari, jumladan, bekor qilish sabablari va CRL bilan bogʻliq maʼlumotlarni qoʻshish imkonini beradi. sertifikat organini (CA) yangilashda bo'linish amalga oshiriladi.

Sanoat standarti X.509 3-versiya sertifikat formatlari va ochiq interfeyslardan foydalanish Windows 2000 sertifikat xizmatlariga kriptografiya asosidagi foydalanishni qoʻllab-quvvatlaydigan koʻplab boshqa mahsulotlar va texnologiyalar bilan oʻzaro hamkorlik qilish imkonini beradi. umumiy kalitlar va ochiq kalitlar infratuzilmasi.

IETF hamjamiyati

Internet Engineering Task Force (IETF) hamjamiyati Internet arxitekturasini rivojlantirishga qiziqqan tarmoq dizaynerlari, operatorlari, ishlab chiqaruvchilari va tadqiqotchilarining ochiq xalqaro hamjamiyatidir. IETF hamjamiyati mavzular bo'yicha bir nechta ishchi guruhlarga bo'lingan. Har bir ishchi guruh o'z mavzulariga muvofiq Internet standartlarini ishlab chiqadi. Har bir standart RFC hujjatida (RFC - Sharh so'rovi) ma'lum bir raqam ostida nashr etiladi. Keyinchalik standart qayta ko'rib chiqilishi mumkin, natijada yangi RFC raqami nashr etiladi va asl hujjat eskirgan deb hisoblanadi.

Ishchi guruh Ochiq kalitlar infratuzilmasining o'zaro ishlashi uchun asoslarni ishlab chiqishga qaratilgan IETF PKIX deb nomlanadi. (PKIX veb-sayt manzili "Qo'shimcha ma'lumotlar" bo'limida keltirilgan). Internet uchun ochiq kalitlar infratuzilmasi standartlari hali ham ishlab chiqilmoqda. Shunga qaramay, Microsoft ochiq kalitlar infratuzilmasi bilan mosligini ta'minlash uchun mavjud standartlarga rioya qilish uchun sertifikat xizmatlarini ishlab chiqdi. Xususan, Microsoft Windows 2000 sertifikat xizmatlarining RFC 2459 (keyinroq tavsiflangan) talablariga muvofiqligini taʼminladi.

Hujjat RFC 2459

RFC 2459 spetsifikatsiyasi Internetda X.509 ochiq kalitlar infratuzilmasi sertifikatidan foydalanishni tavsiflovchi standartlardan biridir. RFC 2459 xususiyatlari quyidagi kichik bo'limlarda tasvirlangan:

Sertifikatlardagi maydon nomlari

RFC 2459 ga muvofiq, Windows 2000 Sertifikat organlari (CA) ma'lumotni Mavzu nomi, Emitent nomi, Muqobil sub'ekt nomi va Muqobil emitent nomlari maydonlarida ma'lum bir kodlashda yozib oladi. RFC 2459 sertifikatlarda foydalanish uchun uchta kodlash turini belgilaydi: PrintableString, BMPString Va Unicode Transformation Format 8 (UTF-8). Kodlashdan foydalanish TeletexString ushbu RFCga mos kelmaydigan mijozlarni qo'llab-quvvatlashga ham ruxsat beriladi. Har bir kodlash turi turli belgilar to'plamini qo'llab-quvvatlaydi. Sertifikatlarda ishlatiladigan belgilar to'plami ishlatilishi kerak bo'lgan kodlash turini belgilaydi.

Standart kodlash PrintableString. Kodlash tomonidan qo'llab-quvvatlanadigan belgilar to'plami PrintableString, ASCII belgilarning kichik to'plamidir. Kichik to'plam quyidagi belgilar bilan ifodalanadi:

Belgilar o'rnatilgan bo'lsa PrintableString foydalanish uchun mos emas, keyin qo'llang BMPString. BMPString Unicode belgilar to'plamidan foydalanadi, shuning uchun u ko'pgina xalqaro belgilar to'plamidagi belgilarni kiritish uchun ishlatilishi mumkin (Unicode har bir belgini kodlash uchun ikki baytdan foydalanadi, bu 65 536 ta belgi kombinatsiyasiga imkon beradi). Belgilar to'plamidan foydalanish mumkin bo'lmagan taqdirda PrintableString va agar mijoz qo'llashda Unicode-ni qo'llab-quvvatlamasligi ma'lum bo'lsa, belgilar to'plami ishlatiladi TeletexString. Windows 2000 platformasi hozirda kodlashni qo'llab-quvvatlamaydi UTF-8.

Ayrim ochiq kalit infratuzilma mahsulotlari sertifikatlarda Unicode-ni qo'llab-quvvatlamaydi. Bunday yordamning etishmasligi aniqlash qiyin bo'lgan muvofiqlik muammolariga olib kelishi mumkin. Aksariyat ishlab chiqaruvchilar o'z mahsulotlarida RFC 2459 ni qo'llab-quvvatlash niyatini bildirdilar. Ushbu turdagi kodlashni qo'llab-quvvatlash uchun yangilangan mahsulotlar qancha ko'p bo'lsa, muammolar kamroq bo'ladi. Hozirda sertifikatlarga kiritilmagan belgilarni ishlatishdan oldin, PrintableString Windows 2000 sertifikatlashtirish organi (CA) sertifikatlaridan foydalanadigan barcha PKI mahsulotlari sertifikatlarda ishlatiladigan Unicode kodlashni qo'llab-quvvatlashi mumkinligini tekshirish muhim.

Sertifikat kengaytmalari

RFC 2459 ko'p sonli kengaytmalarni belgilaydi, ularning aksariyati ixtiyoriydir. Aksariyat kengaytmalar qo'shimcha sozlamalarni o'z ichiga oladi. RFC 2459-ga asoslangan PKI mahsulotlarining o'zaro ishlashi bilan bog'liq eng katta muammolardan biri bu standart tomonidan ruxsat etilgan ko'p sonli parametr almashinuvidir.

2-jadvalda Windows 2000 sertifikat idoralari (CA) yaratilganda sertifikatlarda foydalanadigan barcha RFC 2459 kengaytmalari ro'yxati keltirilgan.

2-jadval - Windows 2000 sertifikatlashtirish organi (CA) tomonidan foydalaniladigan RFC 2459 sertifikat kengaytmalari

Sertifikat turi Korxona sertifikat idoralari (CA) Izolyatsiya qilingan sertifikat idoralari (CA)
Sertifikat ildiz markazi sertifikatlash (CA) (Asosiy cheklovlar)

Asosiy cheklovlar

Kalitdan foydalanish

(Mavzu kaliti identifikatori)
Kalit identifikatori egasi


(Sertifikat shabloni)

Sertifikat shabloni
(CA versiyasi)

 (Asosiy cheklovlar)
Asosiy cheklovlar

(Kalitlardan foydalanish)
Kalitdan foydalanish

(Mavzu kaliti identifikatori)
Ega kaliti identifikatori

(CRL tarqatish nuqtasi (CDP))
Bekor qilish ro'yxatini tarqatish nuqtasi (CDP)

(Sertifikat shabloni)

Sertifikat shabloni
(CA versiyasi)

Sertifikat organi (CA) versiyasi
Subordinate Certificate Authority (CA) sertifikati (Asosiy cheklovlar)
Asosiy cheklovlar

Kalitdan foydalanish

(CRL tarqatish nuqtasi (CDP))

Bekor qilish ro'yxatini tarqatish nuqtasi (CDP)
(Vakolat kaliti identifikatori)


(Authority Information Access, AIA)

Markazlar haqida ma'lumot olish sertifikatlash (AIA)
(Sertifikat shabloni)

Sertifikat shabloni
(CA versiyasi)

Sertifikat organi (CA) versiyasi

 (Asosiy cheklovlar)
Asosiy cheklovlar

(Kalitlardan foydalanish)
Kalitdan foydalanish

(CRL tarqatish nuqtasi (CDP))

Bekor qilish ro'yxatini tarqatish nuqtasi (CDP)
(Vakolat kaliti identifikatori)
Sertifikat organi (CA) kalit identifikatori

(Authority Information Access (AIA))
Markazlar haqida ma'lumot olish sertifikatlash (AIA)
(CA versiyasi)

Sertifikat organi (CA) versiyasi
Yakuniy egasi guvohnomasi (Kalitlardan foydalanish)

Kalitdan foydalanish
(Kengaytirilgan kalitlardan foydalanish)

Kengaytirilgan kalitdan foydalanish
(CRL tarqatish nuqtasi (CDP))

Bekor qilish ro'yxatini tarqatish nuqtasi (CDP)
(Vakolat kaliti identifikatori)

Sertifikat organi (CA) kalit identifikatori

(Mavzuning muqobil nomi)

Muqobil egasi nomi

(Sertifikat shabloni)

Sertifikat shabloni

 (Kalitlardan foydalanish)

Kalitdan foydalanish
(Kengaytirilgan kalitlardan foydalanish)

Kengaytirilgan kalitdan foydalanish
(CRL tarqatish nuqtasi (CDP))

Bekor qilish ro'yxatini tarqatish nuqtasi (CDP)
(Vakolat kaliti identifikatori)

Sertifikat organi (CA) kalit identifikatori
(Authority Information Access, AIA)

Access Authority Information (AIA)

Sertifikat va CRL kengaytmalari

Quyida eng muhim sertifikat kengaytmalari va CRLlarning tavsifi keltirilgan:

  • Kengaytma Asosiy cheklovlar faqat sertifikatlashtirish organi (CA) sertifikatlari uchun ishlatiladi. U sertifikatlashtirish organining (CA) sertifikatini ko'rsatish uchun mantiqiy bayroqni o'z ichiga oladi. Ushbu kengaytma sertifikatda muhim deb belgilangan. IN bu daqiqa Windows 2000 korporativ sertifikat organlari (CA) va mustaqil sertifikat idoralari (CA) ushbu kengaytmadagi yo'l uzunligi opsiyasini qo'llab-quvvatlamaydi.

    Kengaytma Kalitdan foydalanish kalit juftlaridan foydalanish mumkin bo'lgan kriptografik operatsiyalarni belgilaydi. Quyidagi foydalanish variantlari mumkin:

    • Raqamli imzo
    • Rad etmaslik
    • Kalit shifrlash
    • Ma'lumotlarni shifrlash
    • Asosiy kelishuv
    • Sertifikatlarni imzolash
    • Bekor qilish ro'yxatini imzolash (CRL)
    Sertifikat organi (CA) sertifikatlaridagi kalitlardan foydalanish kengaytmasi raqamli imzolash, sertifikat imzolash va bekor qilish roʻyxatini (CRL) imzolash imkonini beradi. Bundan tashqari, raqamli imzolarga sertifikat va bekor qilish roʻyxatini (CRL) imzolash bilan ruxsat beriladi, chunki baʼzida sertifikat organi (CA) sertifikatlar va bekor qilish roʻyxatlaridan (CRLs) boshqa obʼyektlarni imzolashi kerak boʻladi. Yakuniy foydalanuvchi sertifikatlaridan quyidagi hollarda foydalanish mumkin:
    • Faqat imzolash uchun. Elektron raqamli imzo faqat imzolash uchun mo'ljallangan sertifikatlarda ruxsat etiladi.
    • Faqat kalit almashinuvi uchun. Faqat kalit almashinuvi uchun ishlatilishi mumkin bo'lgan sertifikatlar uchun. Bunday holda, kalitlar va ma'lumotlar RSA kalitlari yordamida shifrlanadi. Windows 2000 sertifikat ma'murlari (CA) Diffie-Hellman ochiq kalitlarini qo'llab-quvvatlamaydi.
    • Ham imzolash, ham kalit almashish uchun. Imzolash va kalit almashish operatsiyalarida foydalaniladigan sertifikatlar uchun raqamli imzo va kalit va maʼlumotlarni shifrlashga ruxsat beriladi.
  • Bekor qilish ro'yxatini tarqatish punktlari (CDP - CRL tarqatish nuqtalari). CDP kengaytmasi CRL qaerda chop etilganligini ko'rsatadi. Nashr qilingan joy sertifikatni bekor qilish holatini o'z ichiga oladi. Windows 2000 sertifikat idoralari (CA) URI lardan foydalanadi turli xil turlari. Odatiy bo'lib, korporativ sertifikat organi (CA) LDAP va HTTP URI'laridan foydalanadi. Izolyatsiya qilingan sertifikat organi (CA) HTTP va FILE URI'laridan foydalanadi. Agar siz qo'shimcha joylarni belgilashingiz kerak bo'lsa, qo'shimcha qurilma yordamida URIlar ro'yxatini tahrirlashingiz kerak. Sertifikat organi (CA) MMC konsollari.
    • Vakolat kaliti identifikatori (AKI). AKI kengaytmasi sertifikatni imzolash uchun qaysi kalit ishlatilganligini aniqlash imkonini beradi. Agar sertifikat organi (CA) yangilangan bo'lsa va bir nechta kalitlarga ega bo'lsa, bu juda foydali bo'lishi mumkin. Shuningdek, Windows 2000 sertifikatlashtirish idoralari (CA) qo'shimcha ravishda emitent va ishlab chiqarish raqami sertifikat, sertifikat bergan sertifikatlashtirish organini (CA) aniq aniqlash imkonini beradi. Bu xususiyat juda ishonchli ilovalarda foydalanish uchun foydali bo'lishi mumkin.
  • Sertifikatlash organlari haqidagi ma'lumotlarga kirish (Authority Information Access, AIA). AIA kengaytmasi sizga sertifikat bergan sertifikatlashtirish organini (CA) joylashtirish imkonini beradi. Ko'pgina ochiq kalit infratuzilma protokollari o'z ichiga oladi to'liq zanjir sertifikatlar, lekin bu kafolatlanmaydi. Windows 2000 sertifikat idoralari (CA) har xil turdagi URIlardan foydalanadi. Odatiy bo'lib, korporativ sertifikat organi (CA) LDAP va HTTP URI'laridan foydalanadi. Izolyatsiya qilingan sertifikat organi (CA) HTTP va FILE URI'laridan foydalanadi. Agar siz qo'shimcha joylarni belgilashingiz kerak bo'lsa, qo'shimcha qurilma yordamida URIlar ro'yxatini tahrirlashingiz kerak. Sertifikat organi (CA) MMC konsollari.
  • Muqobil egasi nomi. Foydalanuvchi sertifikatlarida ularni aniqlash uchun ko'plab nomlar mavjud. Ushbu kengaytmadagi korporativ sertifikat idoralari (CA) Kerberos nomlari va manzillaridan foydalanishi mumkin Elektron pochta.

    • Windows 2000 maxsus kengaytmalari

    Windows 2000 korporativ sertifikat organlari (CA) ikkita maxsus Microsoft kengaytmalarini o'z ichiga oladi. Ushbu kengaytmalar nazorat vazifalarida qo'llaniladi:

    2000 yil va sertifikatlar

    Sertifikatlar va CRLlar sanani o'z ichiga oladi. Sertifikatlar uchun sana amal qilish muddatini ko'rsatadi. CRL uchun sana CRL qachon yaratilganligini va keyingi CRL qachon e'lon qilinishi kutilayotganligini ko'rsatadi. RFC 2459 1949 va 2050 yillar oralig'ida ikki xonali yil yozuvidan foydalanishini belgilaydi. 2050 yildan keyingi sanalar uchun to'rt xonali belgi qo'llaniladi. Windows 2000 sertifikat xizmatlari ushbu ko'rsatmalarga to'liq mos keladi.

    Xalqaro belgilar to'plami va DNS nomlari

    IETF hamjamiyati barcha yangi RFClar xalqaro belgilar to‘plamini qo‘llab-quvvatlashini, UTF-8 dan foydalanishga ruxsat berishini yoki UTF-8 qo‘llab-quvvatlashi taqdim etilishi kerak bo‘lgan vaqt oralig‘ini belgilashini ta’minlaydi (Ochiq kalitlar infratuzilmasi standartlari UTF-8 ni to‘liq qo‘llab-quvvatlashini belgilaydi. 2003 yilgacha taqdim etilishi kerak). Bu jarayonning barcha bosqichlari hali tugallanmagan. URI-larda xalqaro belgilar to'plamidan qanday foydalanish masalasi hal etilmagan. Windows 2000 sertifikat xizmatlari tugallanganda, buni tavsiflovchi standart hali mavjud emas edi. URI'lar CRL va sertifikatlashtirish organi (CA) sertifikatlari chop etilgan joyni aniqlash uchun sertifikatlarda ko'rsatilgan. URIlar qisman sertifikatlashtirish organining (CA) DNS nomidan olingan. Shuning uchun, Windows 2000 sertifikat idoralari (CA) server DNS nomidagi xalqaro belgilar to'plamidan foydalanishni qo'llab-quvvatlamaydi.

    Ochiq kalit kriptografiya standartlari (PKCS)

    Ochiq kalitli kriptografiya standartlari (PKCS) RSA Laboratories tomonidan Apple, Digital, Lotus, Microsoft, MIT, Northern Telecom, Novell va Sun kompaniyalari bilan hamkorlikda ishlab chiqilgan ochiq kalitlarni shifrlash standartlari oilasidir. PKCS standartlari ochiq kalitlarni shifrlashda ishlatiladigan ko'plab ma'lumotlar tuzilmalarining sintaksisini tavsiflaydi.

    Xususan, PKCS standartlari sintaksisni tavsiflaydi:

    Xabarni raqamli imzolash. Standartlar xabarni qanday imzolashni belgilaydi raqamli imzo boshqalar bu xabarni kim imzolaganini va u imzolangandan beri o'zgartirilganligini tekshirishi mumkin.
    Xabarni shifrlash. Standartlar xabarni qabul qiluvchi bilan oldindan aloqa qilmasdan qanday shifrlanishi mumkinligini belgilaydi, shuning uchun qabul qiluvchidan boshqa hech kim xabarni parolini hal qila olmaydi.
    So'rovchi shaxsiy kalitga ega bo'lishini ta'minlash. Standartlar sertifikat organiga (CA) qanday so'rov yuborishni belgilaydi, shunda u xabar so'rovdagi kalit bilan imzolanganligini tekshirishi mumkin va shu bilan so'rovchi shaxsiy kalitga ega bo'lishini ta'minlaydi.

    Barcha standartlar o'z raqamlari bilan ajralib turadi (1 dan 15 gacha). Windows 2000 sertifikat xizmatlari quyidagi PKCS standartlaridan foydalanadi:

    PKCS-1. IN bu standart xesh algoritmlari bilan birgalikda RSA ochiq kalit algoritmi asosida raqamli imzolarni yaratishni tavsiflaydi. Shuningdek, u RSA kalit almashinuvi algoritmi yordamida simmetrik kalitlar qanday shifrlanganligini tasvirlaydi. Ushbu standart PKCS-7 standarti bilan birgalikda imzolangan xabarlar qanday yaratilishini aniqlash uchun ham qo'llaniladi. Ushbu standart, shuningdek, RSA ochiq kalitlari va shaxsiy kalitlarni taqdim qilishni tavsiflaydi. Windows 2000 sertifikat xizmatlari RFC 2459 ga mos keladi, u RSA bilan X.509 sertifikatlarini qanday imzolash va ularga RSA ochiq kalitlarini qachon kiritish haqida PKCS-1 standartiga havola qiladi.
    PKCS-7. Ushbu standart har qanday ma'lumotlar blokining raqamli imzolanishi va shifrlanishini tavsiflaydi. Shuningdek, u xabarga qo'shimcha ma'lumotni kiritish (masalan, xabar imzolangan vaqt) va uni bir xil raqamli imzo bilan himoya qilish imkoniyatini tavsiflaydi. Shuningdek, u PKCS-7 xabarining maxsus shaklidan foydalanishni tasvirlaydi degenerativ xabar, sertifikatlar va CRLlarni tashish uchun. PKCS-7 shuningdek, simmetrik kalitlarni shifrlash algoritmi (masalan, kontentni shifrlash algoritmi) va simmetrik kalitlarni shifrlash uchun RSA ochiq kalitlari (masalan, kalit almashinuvi algoritmi) (kalit almashish algoritmi)) yordamida ma'lumotlarning shifrlanishini ham belgilaydi.
    PKCS-10. Ushbu standart sertifikat so'rovi xabari qanday yaratilishini tavsiflaydi. Sertifikat so'rovi ochiq kalit va qo'shimcha atributlar to'plamidan iborat. Masalan, ular quyidagilar bo'lishi mumkin: so'rovda ko'rsatilgan ochiq kalitga mos keladigan shaxsiy kalit bilan imzolangan so'rovchining taniqli ismi yoki elektron pochta manzili. PKCS-10 xabari Windows 2000 sertifikat xizmatlari sertifikat so'rovini olish uchun amal qiladigan standartdir. So'rov qabul qilingandan so'ng, Windows 2000 sertifikat xizmatlari uni qayta ishlaydi va uni rad etadi yoki so'rovchiga X.509 sertifikatini beradi. So'rovchi oladigan ma'lumot bitta X.509 sertifikati yoki sertifikat va sertifikatlarning butun zanjiri shaklida bo'ladi. ildiz sertifikati. IN Ushbu holatda ma'lumotlar degeneratsiyalangan PKCS-7 xabari shaklida bo'ladi.

    qo'shimcha ma'lumot

    Windows 2000 Server haqida so'nggi ma'lumot uchun http://www.microsoft.com/windows2000/ saytiga tashrif buyuring.

    Qo'shimcha ma'lumot olish uchun qarang:

    Kriptografiya asoslari bo'yicha astar: Schneier, Bryus. "Amaliy kriptografiya: C tilidagi protokollar, algoritmlar, manbalar", ikkinchi nashr, Jon Wiley & Sons, 1995 (Schneier, Bryus. Amaliy kriptografiya: C tilidagi protokollar, algoritmlar va manba kodi. 2-nashr. John Wiley & Sons, 1995) (EN).

    Rasmiy hujjat: " Windows 2000 ochiq kalitlar infratuzilmasini (PKI) joylashtirish va smart-kartaga kirish bilan bog'liq muammolarni bartaraf etish" Windows 2000 PKI Deployment va Smart Card tizimga kirish (EN) muammolarini bartaraf etish.

    Rasmiy hujjat: " Active Directory arxitekturasi" Active Directory Arxitekturasi (EN).

    1 Windows 2000 da kirishni boshqarish ro'yxati (ACL) qo'llaniladi, bu butun ob'ektga, ob'ekt xususiyatlari to'plamiga yoki ob'ektning yagona xususiyatiga taalluqli xavfsizlik cheklovlari ro'yxati. Har bir Active Directory ob'ektida u bilan bog'langan ikkita ACL mavjud: ixtiyoriy kirishni boshqarish ro'yxati (DACL) va tizimga kirishni boshqarish ro'yxati (SACL). DACL ro'yxati Hisoblar ob'ektga kirishga ruxsat berilgan (yoki rad etilgan) foydalanuvchilar, guruhlar va kompyuterlar. DACL ACE (Access Control Entries, ACE) yozuvlaridan iborat bo‘lib, ularning har biri DACL ro‘yxatidagi foydalanuvchilarga, guruhlarga yoki kompyuterlarga ruxsat yoki rad etishni bildiradi. ACE yozuvi o'qish, yozish yoki to'liq boshqarish kabi kirish huquqlariga ega xavfsizlik identifikatorini (SID) o'z ichiga oladi. SACL foydalanuvchilar yoki guruhlar uchun ob'ektdagi (masalan, faylga kirish) tegishli harakatlarning xavfsizlik jurnalini tekshirish uchun javobgardir.
    2 LDAP - bu TCP/IP tepasida ishlaydigan katalog xizmati protokoli. Bu Active Directory-da saqlangan ma'lumotlarni qo'shish, o'zgartirish va o'chirish uchun ishlatiladigan oddiy katalogga kirish protokoli. Bundan tashqari, u Active Directory-dan ma'lumotlarni so'rash va olish uchun ishlatiladi. Active Directory mijozlari Active Directory-dan ma'lumotlarni olish yoki Active Directory-da ma'lumotlarni saqlash uchun LDAP-dan foydalanishlari kerak. Active Directory ushbu protokoldan LDAP-mos keluvchi mijoz ilovalari bilan bog'lanish uchun foydalanadi. Agar sizda tegishli ruxsatlar bo'lsa, Active Directory ma'lumotlarini ko'rish, so'rash, qo'shish, o'zgartirish yoki o'chirish uchun har qanday LDAP-mos keluvchi mijoz ilovasidan foydalanishingiz mumkin.
    3 MIME - bu elektron pochta orqali Internet orqali matnsiz ma'lumotlarni uzatish usuli. MIME matn bo'lmagan ma'lumotlarni ASCII belgilaridan foydalangan holda kodlaydi va keyin uni qabul qiluvchi tomonda asl shakliga o'zgartiradi. S/MIME - xavfsiz pochtani qo'llab-quvvatlaydigan MIME kengaytmasi. S/MIME jo'natuvchiga xabarning kelib chiqishi va ma'lumotlarning yaxlitligini tekshirish uchun xabarni raqamli imzolash imkonini beradi. S/MIME maxfiylikni ta'minlash uchun xabarlarni shifrlangan holda yuborish imkonini beradi.
    4 SSL (Secure Sockets Layer, SSL) Netscape Communications tomonidan tinglashning oldini olish uchun xavfsiz aloqa kanalini yaratish uchun taklif qilingan ochiq standartdir. muhim ma'lumotlar, masalan, raqamlar kabi kredit kartalari. U dastlab Internet orqali moliyaviy ma'lumotlarning raqamli almashinuvi xavfsizligini ta'minlash uchun ishlab chiqilgan, ammo endi boshqa Internet xizmatlarida ham foydalanish mumkin.
    5 TLS protokoli Transport Layer Security (TLS) - bu Internet va intranetlarda xavfsiz veb-ulanishlarni ta'minlash uchun ishlatiladigan standart protokol. Bu mijozlarga serverlarni yoki serverlarni mijozlarni autentifikatsiya qilish uchun autentifikatsiya qilish imkonini beradi (ikkinchisi - bu variant). Maxfiylik maqsadida u kanalni shifrlash orqali ham himoya qiladi.
    6 EFS fayl tizimi yangi imkoniyat Windows 2000 da, bu NTFS bo'limlaridagi fayllarda saqlangan nozik ma'lumotlarni himoya qiladi. Ushbu fayllarning maxfiyligini ta'minlash uchun EFS ochiq kalit texnologiyasi bilan birgalikda simmetrik kalit shifrlashdan foydalanadi.
    7 Kerberos Key Distribution Center (KDC) bu Kerberos autentifikatsiya protokolida foydalaniladigan seans chiptalari va vaqtinchalik seans kalitlarini yetkazib beruvchi tarmoq xizmatidir. Windows 2000 da KDC barcha domen kontrollerlarida imtiyozli jarayon sifatida ishlaydi. KDC hisob parollari kabi maxfiy hisob ma'lumotlarini boshqarish uchun Active Directory-dan foydalanadi.
    8 Xavfsizlik konteksti hozirda amalda bo'lgan xavfsizlik atributlari yoki qoidalariga ishora qiladi. Masalan, foydalanuvchi himoyalangan ob'ektda qanday amallarni bajarishi mumkinligini belgilovchi qoidalar foydalanuvchi kirish tokenidagi va ob'ektning xavfsizlik deskriptoridagi xavfsizlik ma'lumotlari bilan belgilanadi. Kirish tokeni va xavfsizlik deskriptori birgalikda foydalanuvchining ob'ektdagi harakatlari uchun xavfsizlik kontekstini tashkil qiladi.
    9 Olish uchun Umumiy ma'lumot Active Directory replikatsiyasi haqida iltimos, qarang rasmiy hujjat ("Active Directory Architecture") (EN), havolasi yuqorida ushbu bo'limda keltirilgan. Tafsilotlar uchun hujjatga qarang "Active Directory replikatsiyasi"("Active Directory Replication") (EN) Internetda.
    10 URI - bu Internetning istalgan joyidan manbani (masalan, faylni) turi va joylashuvi bo'yicha aniqlash uchun ishlatiladigan belgilar qatoridir. URIlar yagona manba nomlari (URN) va yagona resurs joylashtiruvchilarini (URL) o'z ichiga oladi.
    11 SGClar odatda butun dunyo bo'ylab malakali bank va moliya institutlari uchun mavjud. Istisno - bu AQSh embargosiga duchor bo'lgan mamlakatlarda joylashgan banklar va moliya institutlari (embargolar ro'yxatiga Kuba, Eron, Iroq, Liviya, Shimoliy Koreya, Suriya va Sudan kiradi), shuningdek, bir qator boshqa yo'nalishlar (ro'yxatda Rossiya va Xitoy Xalq Respublikasi).
    12 Xavfsizlik paketining xavfsiz kanali (schannel - Secure Channel) ochiq kalitlarga asoslangan protokollarni qo'llab-quvvatlaydi SSL (Secure Sockets Layer, SSL) 2 va 3 versiyalari, shuningdek, TLS (Transport Layer Security, TLS). TLS protokoli SSL va PCT (Private Communication Technology) protokoli uchun IETF standartidir. Schannel boshqa kompyuter bilan aloqa qilishda ushbu protokollardan qaysi biri ishlatilishi kerakligini aniqlaydi. SSL, TLS va PCT protokollari haqiqiyligini isbotlash uchun sertifikatlardan foydalanadi. IIS 5.0 xalqaro mijozlarga standart 40 bitli shifrlash sxemalarini qo'llab-quvvatlaydigan SCHANNEL.DLL fayli bilan jo'natiladi. Bundan tashqari, agar IIS serveri sertifikat organidan (CA) SGC sertifikatini olsa, SCHANNEL.DLL SGC sertifikat kalitlari yordamida 128 bitli kanal yaratishni qo'llab-quvvatlaydi.
    13 Har bir Active Directory ob'ekti LDAP ajratilgan nomiga ega (ba'zan qisqartirilgan DN - ajratilgan nom). Active Directory LDAP DN nomlarini qanday boshqarishi haqida ma'lumot olish uchun rasmiy hujjatga qarang "Active Directory arxitekturasi"("Active Directory Architecture") (EN), havolasi yuqorida ushbu bo'limda keltirilgan.

SSL sertifikatini o'rnatish uchun ma'lumotlar yuboriladi chiqarilgandan keyin Va faollashtirish. Ular sertifikatning aloqa elektron pochtasiga yuboriladi. Ba'zi ma'lumotlar (CSR so'rovi va shaxsiy kalit) faqat SSL sertifikatini sotib olish paytida yaratiladi va elektron pochta orqali yuborilmaydi.

Qaysi kontakt elektron pochtasiga xabar yuborilganligini qanday aniqlash mumkin?

Agar SSL sertifikati hamkor veb-sayti orqali buyurtma qilingan bo'lsa, aloqa elektron pochtasi hamkor veb-saytida ko'rsatilgan.

Tayyor! Siz SSL sertifikat ma'lumotlari yuborilgan elektron pochta manzilini tan oldingiz.

Maktubda o'rnatish ma'lumotlari

O'rnatish ma'lumotlari bilan xatning boshlanishi

Xatda siz quyidagilarni topasiz:

  • SSL sertifikati("Sizning sertifikatingiz quyida keltirilgan" so'zidan keyin ko'rsatilgan);
  • Ildiz sertifikati;
  • O'rta sertifikat(ildiz sertifikati bo'lgan zanjirda ishlatiladi. Bu shuni anglatadiki, o'rnatish vaqtida birinchi navbatda ildiz sertifikati, so'ngra oraliq sertifikat yangi qatorga kiritiladi);
  • Sertifikat uchun so'rov— uning asosida sertifikatlashtirish markazi SSL sertifikatini yaratdi va berdi;
  • Shaxsiy kalit(Uchun bepul sertifikat) - "Mahalliy kompyuteringizda shaxsiy kalitni saqlang" so'zidan keyin. To'langan sertifikat uchun shaxsiy kalit buyurtma bosqichida saqlanishi kerak.

Diqqat!

Sertifikatning shaxsiy kaliti sayt serverlarida saqlanmaydi. Maxfiy kalitni xatdan nusxa ko'chiring, uni bo'sh matn fayliga joylashtiring va formatda saqlang .Xabar yoki .key.

Agar siz shaxsiy kalitingizni yo'qotgan yoki buzilgan bo'lsangiz, joriy SSL sertifikatingizdan foydalanib bo'lmaydi. Muammoni hal qilish uchun ko'rsatmalarga muvofiq SSL sertifikatini qayta chiqaring: .

Ma'lumotlar Shaxsiy hisob

Ba'zi ma'lumotlar ( Sertifikat, ildiz + oraliq sertifikat va CSR so'rovi) Shaxsiy hisobingizda takrorlanadi. Ular serverga SSL sertifikatini o'rnatganingizda yuklab olishingiz va keyin yuklashingiz mumkin bo'lgan fayllar shaklida keladi.

Sertifikat va shaxsiy kalitni o'rnatish

Biz sertifikatni o'rnatishni tasvirlab beramiz elektron imzo va Windows operatsion tizimlari uchun shaxsiy kalit. O'rnatish jarayonida bizga Administrator huquqlari kerak bo'ladi (shuning uchun sizda mavjud bo'lsa, tizim administratori kerak bo'lishi mumkin).

Agar siz hali elektron imzo nima ekanligini tushunmagan bo'lsangiz, iltimos, Yoki o'qing agar siz hali elektron imzo olmagan bo'lsangiz, Sertifikatlash markaziga murojaat qiling, biz SKB-Konturni tavsiya qilamiz.

Aytaylik, sizda allaqachon elektron imzo (token yoki flesh-disk) bor, lekin OpenSRO sizning sertifikatingiz o'rnatilmaganligi haqida xabar beradi, agar siz ikkinchi yoki uchinchi kompyuteringizni sozlashga qaror qilsangiz, bu holat yuzaga kelishi mumkin (albatta, imzo "o'smaydi" ” faqat bitta kompyuterga va u bir nechta kompyuterlarda ishlatilishi mumkin). Odatda dastlabki sozlash Sertifikatlashtirish markazining texnik yordami yordamida amalga oshiriladi, lekin aytaylik, bu bizning holatimizda emas, shuning uchun ketaylik.

1. CryptoPro CSP 4 kompyuteringizda o'rnatilganligiga ishonch hosil qiling

Buning uchun menyuga o'ting Boshlash CRYPTO-PRO CryptoPro CSP uni ishga tushiring va dastur versiyasi 4 dan past emasligiga ishonch hosil qiling.

Agar u mavjud bo'lmasa, brauzerni yuklab oling, o'rnating va qayta ishga tushiring.

2. Agar sizda token bo'lsa (masalan, Rutoken)

Tizim u bilan ishlashdan oldin siz kerakli drayverni o'rnatishingiz kerak bo'ladi.

  • Haydovchilar Rutoken: https://www.rutoken.ru/support/download/drivers-for-windows/
  • Haydovchilar eToken: https://www.aladdin-rd.ru/support/downloads/etoken
  • Haydovchilar Jakarta: https://www.aladdin-rd.ru/support/downloads/jacarta

Algoritm quyidagicha: (1) Yuklab olish; (2) O'rnatish.

3. Maxfiy kalit fayllar shaklida bo'lsa

Maxfiy kalit 6 ta fayl shaklida bo'lishi mumkin: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key.

Bu erda noziklik bor agar bu fayllar yozilgan bo'lsa qattiq disk kompyuteringiz, keyin CryptoPro CSP ularni o'qiy olmaydi, shuning uchun barcha harakatlar avval ularni flesh-diskga (olinuvchi media) yozish orqali amalga oshirilishi kerak va siz ularni birinchi darajali papkaga joylashtirishingiz kerak, masalan: E. :\Andrey\(fayllar), agar E :\Andrey\ da joylashtirilgan boʻlsa kalitlari\(fayllar), keyin u ishlamaydi.

(Agar siz buyruq satridan qo'rqmasangiz, olinadigan xotirani quyidagi kabi emulyatsiya qilish mumkin: subst x: C: \ tmp yangi disk (X:) paydo bo'ladi, u C: \ tmp jildining tarkibini o'z ichiga oladi. , u qayta ishga tushirilgandan so'ng yo'qoladi, agar siz kalitlarni ro'yxatga olish kitobiga o'rnatishni rejalashtirmoqchi bo'lsangiz, ushbu usuldan foydalanish mumkin)

Biz fayllarni topdik, ularni flesh-diskga yozib oldik va keyingi bosqichga o'tamiz.

4. Shaxsiy kalitdan sertifikat o'rnatish

Endi biz sertifikat olishimiz kerak, buni quyidagicha qilishimiz mumkin:

  1. Ochilish CryptoPro CSP
  2. Yorliqga o'ting Xizmat
  3. Tugmasini bosing Sertifikatlarni konteynerda ko‘rish, bosing Ko‘rib chiqish va bu erda (agar biz avvalgi bosqichlarda hamma narsani to'g'ri bajargan bo'lsak) bizning konteynerimiz bo'ladi. Tugmasini bosing Keyinchalik, sertifikat haqidagi ma'lumotlar paydo bo'ladi va keyin tugmani bosing O'rnatish(dastur shaxsiy kalitga havolani taqdim etishni so'rashi mumkin, "Ha" deb javob bering)
  4. Shundan so'ng, sertifikat xotiraga o'rnatiladi va hujjatlarni imzolash mumkin bo'ladi (shu bilan birga, hujjatni imzolash vaqtida kompyuterga flesh-disk yoki tokenni kiritish kerak bo'ladi)

5. Token yoki flesh-disksiz elektron imzodan foydalanish (reestrga o'rnatish)

Agar tezlik va foydalanish qulayligi siz uchun xavfsizlikdan biroz yuqoriroq bo'lsa, u holda shaxsiy kalitingizni Windows ro'yxatga olish kitobiga o'rnatishingiz mumkin. Buning uchun siz bir necha oddiy qadamlarni bajarishingiz kerak:

  1. (2) yoki (3) bosqichlarda tavsiflangan shaxsiy kalitni tayyorlashni bajaring
  2. Keyin ochamiz CryptoPro CSP
  3. Yorliqga o'ting Xizmat
  4. Tugmasini bosing Nusxalash
  5. Tugma yordamida Ko‘rib chiqish kalitimizni tanlang
  6. Tugmasini bosing Keyinchalik, keyin biz biron bir nomni topamiz, masalan, "Pupkin, LLC Romashka" va tugmani bosing Tayyor
  7. Mediani tanlash so'raladigan oyna paydo bo'ladi, tanlang Ro'yxatga olish kitobi, bosing KELISHDIKMI
  8. Tizim so'raydi Parolni o'rnating konteyner uchun parolni o'ylab toping, bosing KELISHDIKMI

Muhim eslatma: OpenSRO portali sertifikatning amal qilish muddati tugagan bo'lsa, uni "ko'rmaydi".

Shaxsiy kalitga havola bilan shaxsiy sertifikatni o'rnatish uchun CryptoPro CSP ilovasidan foydalaning. Uni Windows operatsion tizimida Boshlash >> Barcha dasturlar >> CRYPTO-PRO >> CryptoPro CSP ga o‘tish orqali ishga tushirishingiz mumkin. Ko'rsatilgan dastur oynasida yorliqni tanlang Xizmat va u yerdagi tugmani bosing O'rnatish shaxsiy guvohnoma . Keyinchalik, sertifikat faylining (.cer kengaytmali fayl) joylashishini belgilashingiz kerak va tugmani bosing Keyinchalik. Sertifikat xususiyatlari oynasi siz tanlaganingizga ishonch hosil qilish imkonini beradi to'g'ri sertifikat; Tekshirgandan so'ng tugmani yana bosing Keyinchalik .

Keyingi oynada siz o'z ichiga olgan kalit konteynerni ko'rsatishingiz kerak shaxsiy kalitlar foydalanuvchi.

MUHIM! Bu qadam faqat olinadigan USB drayvlar yoki smart-kartalar va operatsion tizim registridan foydalanadi.

Ilova CryptoPRO CSP 3.9 versiyasi tegishli katakchani belgilash orqali konteynerni avtomatik ravishda topish imkonini beradi; tugmani bosgandan keyin oldingi versiyalar Ko‘rib chiqish keraklisini tanlashingiz kerak bo'lgan mavjud media ro'yxatini taqdim eting. Konteynerni tanlagandan so'ng, bosing Keyinchalik. Keyingi oyna do'konda sertifikatni o'rnatish uchun parametrlarni o'rnatish imkonini beradi. Kerakli xotirani tanlab, tugmani bosing Keyinchalik .

Keyingi qadam yakuniy hisoblanadi va tugmani bosishdan boshqa hech qanday harakatni talab qilmaydi Tayyor .

Do'stlaringizga ulashing:
Tegishli nashrlar