Открыть сервис

Служба сертификации Active Directory

Служба сертификации Active Directory (Active Directory Certificate Services, AD CS) — это серверная роль операционной системы Windows Server, предоставляющая инфраструктуру открытых ключей (PKI) для создания, управления, распространения и отзыва цифровых сертификатов в среде домена Active Directory. AD CS является компонентом, интегрированным с доменными службами Active Directory (AD DS), и позволяет организациям развернуть собственный удостоверяющий центр (Центр сертификации, CA) для обеспечения безопасности сетевых коммуникаций, аутентификации пользователей и устройств, шифрования данных и цифровой подписи.

История и развитие

Первая версия службы сертификации появилась в составе Windows 2000 Server как часть пакета Windows 2000 Advanced Server. На ранних этапах она называлась просто «Certificate Services» и предоставляла базовые возможности по выпуску сертификатов X.509. С выходом Windows Server 2003 служба была переименована в Active Directory Certificate Services, что подчеркнуло её глубокую интеграцию с каталогом Active Directory. В Windows Server 2008 и 2008 R2 были добавлены важные функции, такие как поддержка шаблонов сертификатов версии 3, улучшенное управление отзывом сертификатов и возможность развёртывания нескольких уровней центров сертификации. В Windows Server 2012 и 2012 R2 появилась поддержка криптографии на основе эллиптических кривых (ECC), а также улучшена интеграция с политиками группового управления. В Windows Server 2016 и 2019 были добавлены функции, связанные с автоматическим развёртыванием сертификатов для современных сценариев, таких как Windows Hello for Business и Always On VPN. В Windows Server 2022 продолжено развитие в сторону повышения безопасности и упрощения управления, включая поддержку более строгих алгоритмов подписи и улучшенное ведение журналов.

Архитектура и компоненты

AD CS состоит из нескольких ключевых компонентов, которые могут быть развёрнуты как на одном сервере, так и распределены по нескольким.

Центр сертификации (CA)

Центр сертификации является основным компонентом AD CS. Он отвечает за выпуск, проверку и отзыв сертификатов. Различают два основных типа CA:

Веб-регистрация (Certificate Enrollment Web Service, CEWS)

Компонент, позволяющий пользователям и устройствам запрашивать сертификаты через веб-интерфейс, используя протокол HTTPS. Это особенно полезно для устройств, не входящих в домен, или для удалённых пользователей.

Служба регистрации политики сертификатов (Certificate Enrollment Policy Web Service, CEP)

Служба, предоставляющая клиентам информацию о доступных политиках и шаблонах сертификатов. Она позволяет клиентам автоматически получать настройки для запроса сертификатов без необходимости ручной настройки.

Служба управления ключами (Key Management Service, KMS)

Служба, предназначенная для управления ключами шифрования, используемыми для шифрования данных на диске (например, BitLocker). Она позволяет восстанавливать ключи доступа в случае утери или поломки устройства.

Служба отзыва сертификатов (Certificate Revocation List, CRL)

Служба, отвечающая за публикацию списков отозванных сертификатов. CRL — это файл, содержащий серийные номера сертификатов, которые были аннулированы до истечения срока их действия. Клиенты проверяют CRL перед доверием сертификату. AD CS также поддерживает протокол OCSP (Online Certificate Status Protocol) для более быстрой проверки статуса сертификата в реальном времени.

Принцип работы

Процесс выпуска сертификата в AD CS включает несколько этапов:

  1. Запрос: клиент (пользователь, компьютер или служба) создаёт запрос на сертификат, который содержит открытый ключ и информацию о субъекте. Запрос может быть отправлен через консоль управления сертификатами, веб-интерфейс или автоматически через групповые политики.
  2. Проверка: центр сертификации проверяет запрос на соответствие политикам безопасности и шаблону сертификата. Если запрос отправляется от имени пользователя, AD CS может проверить его подлинность через аутентификацию в Active Directory.
  3. Выпуск: после успешной проверки CA подписывает сертификат своим закрытым ключом и выдаёт его клиенту. Сертификат содержит открытый ключ клиента, информацию о субъекте, срок действия, серийный номер и подпись CA.
  4. Установка: клиент устанавливает полученный сертификат в своё хранилище сертификатов. После этого сертификат может использоваться для аутентификации, шифрования или подписи.
  5. Обновление и отзыв: сертификаты имеют ограниченный срок действия. AD CS может автоматически обновлять сертификаты до истечения их срока. Если сертификат скомпрометирован (например, закрытый ключ украден), администратор может отозвать его, добавив в CRL.

Шаблоны сертификатов

Шаблоны сертификатов являются ключевым элементом управления AD CS. Они определяют набор правил и параметров, которые CA применяет при выпуске сертификатов. Шаблоны включают:

Шаблоны сертификатов хранятся в Active Directory и реплицируются на все контроллеры домена. Это позволяет централизованно управлять политиками сертификации.

Применение

AD CS используется в широком спектре задач информационной безопасности:

Интеграция с Active Directory

AD CS тесно интегрирована с Active Directory. Это проявляется в нескольких аспектах:

Безопасность и управление

Развёртывание AD CS требует тщательного планирования безопасности. Ключевые меры включают:

Критика и ограничения

Несмотря на широкое распространение, AD CS имеет ряд критических замечаний:

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →