Certification Authority (CA) nudi primarnu funkcionalnost za PKI. Da bismo implementirali pouzdani PKI, veoma je važno razumeti različite uloge i tipove Certification Authorities (CA).
Ova lekcija Vam nudi predstavljanje Certification Authorities-a (CA)
Šta je Certification Authority?
CA u Windows Server 2003 mreži je kompjuter sa učitanim Certificate Services servisom. CA će potpisivati sertifikate da bi osigurao da korisnici, servisi, i kompjuteri dobiju svoje validne sertifikate. CA odrađuje nekoliko mrežnih upravljačkih zadataka u Windows Server 2003 mreži:
- Proverava identitet onoga ko podnosi zahtev za dobijanje sertifikata: Pre samog dodeljivanja sertifikata korisniku, kompjuteru ili servisu, CA procenjuje podnosioca zahteva da bi osigurao da sertifikati budu dodeljeni samo validnim korisnicima i kompjuterima. Metod validacije (provere) korisnika, kompjutera ili servisa zavisi od tipa CA kojem je poslat zahtev za izdavanjem sertifikata. Na primer, sertifikat polisa CA može zahtevati proveru pozadine sedktopa (background check) pre dodeljivanja sertifikata.
- Dodeljivanje sertifikata korisnicima, kompjuterima i servisima: Nakon što je CA proverio identitet korisnika, kompjutera ili servisa, CA izdaje sertifikat. Tip traženog sertifikata određuje sadržaj dodeljenog sertifikata. Na primer, IPSec sertifikat uključuje Application policies (aplikacijske polise) koje omogućavaju IPSec autentifikaciju za korisšćenje sertifikata.
- Upravlja opozivom sertifikata (Certificate revocation): CA objavljuje CRL u regularnim intervalima. CRL se sastoji iz liste serijskih brojeva sertifikata koje je izdao CA i kojima se više ne može verovati. U objavljenoj CRL, CA uključuje serijski broj sertifikata i razlog zašto je sertifikat opozvan.
Tipovi CA
Windows Server 2003 podržava dva različita tipa CAs: Stand Alone CA & Enterprise CA. Oba ova tipa CA mogu da izdaju sertifikate korisnicima i kompjuterima. Ipak, postoje neke razlike između ova dva tipa CA. Sledeća tabela izlistava razlike između Stand-alone CA i Enterprise CA:
Uloge u Certification Authority hijerarhiji
Svakom CA unutar CA hijerarhije dodeljuje se uloga na osnovu lokacije unutar CA hijerarhije. Najčešće uloge u CA hijerarhiji uključuju Root CA, Policy CA i Issuing CA.
Root CAs: Root CA je predodređen da bude najpoverljivi CA u organizacijskoj PKI infrastrukturi. Tipično, i fizička sigurnost i sertifikat polise root CA-ja su mnogo rigoroznije od onih za Subordinate (podređene) Cas. Ako je Root CA napadnut ili mu je ugrožena bezbednost i sigurnost ili izdaje sertifikate neautorizovanim individuama, svaka sigurnost na osnovu sertifikata odjednom postaje ranjiva. Iz ovog razloga, Root CA se generalno konfiguriše kao Stand-alone CA i u većini slučajeva je offline.
Policy CAs: Policy CA je tip Subordinate CA kojeg je sertifikovao Root CA u našoj organizaciji. Policy CA je podređen Root CA ali takođe servisira kao najviši CA jednom ili više podređenih CA, kao pro su Issuing CAs.
Issuing CAs: Issuing CA je tip podređenog CA kojeg je sertifikovao drugi CA u našoj organizaciji. Tipično, Issuing CA izdaje sertifikate za specifične korisnike kao što je sigurni E-mail, Web-based autentifikacija, Smart card autentifikacija. Issuing CAs takođe mogu da izdaju sertifikate drugim, podređenijim CAs.
U manjim organizacijama, neretko se dešava da Root CA dodulje sertifikate ili da podređeni CA odrađuje nekoliko uloga. Na primer, kompanija čija se mreža zasniva na Windows Server 2003 za Microsoft Small Business Server može da koristi jedan Enterprise CA koji će raditi i kao Policy CA i kao Issuing CA.
Certification Authority hijerarhija
Možemo da izgradimo jedan ili dva CA modela: Root hijerarhiju ili Cross-certification hijerarhiju. Windows Server 2003 mreže prepoznaju i podržavaju oba ova modela.
U Root CA hijerarhiji, svi CAs u organizacijskoj CA hijerarhiji su povezani sa zajedničkim Root CA. U Cross-certification hijerarhiji, CA iz jedne root CA hijerarhije u organizaciji dodeljuje podređeni CA sertifikat CA-u koji se nalazi u CA hijerarhiji druge organizacije.
Root CA hijerarhija:
- Povećava sigurnost i skalabilnost (mogućnost rasta): Štiti više slojeve CA hijerarhije od mrežnih napada uklanjanjem sa mreže viših slojeva CA hijerahije.
- Nudi fleksibilnu administraciju CA hijerarhije: Možemo da koristimo Role Separation da delegiramo CA upravljanje odvojenim administrativnim grupama u organizaciji.
- Podržava komercijalne CAs: Svi komercijalni CAs, kao što su VeriSign, GTE, Thawte, RSA implementirali su Trusted Root CA hijerarhije.
- Podržava većinu aplikacija: Aplikacije kao što su Microsoft Internet Explorer i Netscape Communicator podržavaju sertifikate koje dodeljuje Root CA hijerarhija, kao i Internet Information Services (IIS) i Apache Web serveri.
Cross-certification CA hijerarhija:
- Nudi interoperabilnost između dve različite biznis organizacije i između različitih proizvoda: Kada je implementirana Cross sertifikacija, sertifikati su logički povezani sa poverljivim Root CA-om u organizaciji koji vrši procenu postojećeg sertifikata.
- Povezuje različite PKI organizacije: Možemo da implementiramo Cross-certification autoritet (Authority) sa bilo kog CA unutar organizacijske hijerarhije na bilo koji CA u partnerskoj CA hijerarhiji.
- Preuzima kompletno poverenje strane CA hijerarhije: Cross sertifikacija ne postavlja nikakva ograničenja za sertifikate koje je dodelila partnerska organizacija.
Vodič za dizajniranje CA hijerarhije
Od velikog je značaja pažljivo i detaljno dizajnirati CA hijerarhiju da bi se izbeglo kasnije redizajniranje. Jedna pogrešna odluka pri dizajniranju može dovesti do redizajniranja kompletne CA hijerarhije i ponovno dodeljivanje svih sertifikata. Sada ćemo Vam predstaviti vodič za dizajniranje CA hijerarhije koji je potrebno pratiti da bi mogli da izgradite uspešan dizajn CA hijerarhije.
Tebalo bi obratiti pažnju na sledeće stavke pri dizajniranju CA hijerarhiju u organizaciji: - Prvo je potrebno odluičiti koliko CAs nam je potrebno i gde će oni biti smešteni. Sakupiti zahteve za svaki CA.
- Odrediti tip CA pre početka izgradnje bilo kojeg CA.
- Potrebno je početi od vrha pa na dole. Prvo moramo da izgradimo Root CA. Ako izaberemo da izgradimo privatni Root CA, potrebno je obezbediti sigurnost za Root CA.
- Da bi zaštitili Root CA, najčešća solucija je konfiguracija CA kao Stand-alone offline CA. Obavezno izgraditi Root CA na fizički sigurnoj lokaciji. Ovaj kompjuter ne bi trebalo da bude član nijednog aktivnog direktorijuma.
- Svi Issuing i svi Policy CA trebaju da budu konfigurisani kao Enterprise CAs da bi mogli da se integrišu sa aktivnim direktorijumom.
- Hijerarhijsko Drvo CAs mora da ima najviše 4 sloja. Više od četri sloja dodaju dodatnu kompleksnost CA dizajnu i njima je veoma teško upravljati. Manje od tri sloja ne pružaju visok nivo sigurnosti.
- Definisati sigurnosne nivoe i odgovarajuće CA polise za svaki CA unutar hijerarhije, u zavisnosti od zahteva koje zahteva dizajn hijerarhije.
- Potrebno je implentirati odvojene uloge za administratore tako da jedan čovek ne može da ugrozi sigurnost PKI u organizaciji.