Понятие про центры сертификации (ЦС).

Понятие про центры сертификации (ЦС).

Центр сертификации или Удостоверяющий центр— это организация или подразделение организации, которая выпускает сертификаты ключей электронной подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

55. Предназначение и функции ЦС. ЦС предназначен для обеспечения участников корпоративных информационных систем средствами и спецификациями для использования сертификатов открытых ключей в целях обеспечения: применения электронной цифровой подписи;контроля целостности информации, представленной в электронном виде, передаваемой в процессе взаимодействия участников информационных систем;аутентификации участников информационных систем в процессе взаимодействия;конфиденциальности информации, представленной в электронном виде, передаваемой в процессе взаимодействия участников Понятие про центры сертификации (ЦС). информационных систем.функциисоздание пары из секретного и открытого ключей, вычисление сертификатов открытых ключей;создание усиленных сертификатов открытых ключей по заявкам, которые содержат открытые ключи;управление сертификатами открытых ключей;создание списков отозванных сертификатов открытых ключей; управление списками отозванных сертификатов открытых ключей;изменение статуса сертификатов открытых ключей по заявкам подписчиков или по собственной инициативе;управление доступом подписчиков к сертификатам открытых ключей и персонала к базе данных;ведение журналов событий; обеспечение синхронизации с Всемирным координированным временем с точностью до одной секунды;формирование по заявке подписчика криптографической отметки времени;предоставление по заявке подписчика данных о текущем состоянии сертификата открытого ключа.

56. Модели иерархий ЦС и Понятие про центры сертификации (ЦС). критерии выбора. Одноуровневая модель. Когда не существует потребность только в базовом наборе криптографических сервисов и количество учетных записей невелико, то можем воспользоваться одноуровневой иерархией. Корневой ЦС не удаляется из сети и всегда доступен для выдачи сертификатов. Внедряя такой вариант, следует избегать развертывания службы на контроллере домена, так как это может повлечь ряд проблем в дальнейшем. Управление одноуровневой иерархией не будет сложным, так как в данном случае используется схема только с одним сервером. Недостатками подобного решения является низкая отказоустойчивость. Выход из строя сервера приводит к невозможности обработки запросов на выдачу, обновление, отзыв сертификатов. Другим важным минусом подобного решения Понятие про центры сертификации (ЦС). является ненадлежащий уровень безопасности. Компрометация единственного сервера сертификатов, приводит к недействительности всех сертификатов организации. Двухуровневая модель. Иерархия, состоящая из двух уровней представляет собой отключенный корневой сервер и один или несколько издающих сертификаты серверов. При этом на издающие ЦС ложится функционал по управлению политиками сертификатов. Tем самым, мы избегаем атак на корневой сервер. Что касается издающих центров, то они получают сертификат, подписанный корневым сервером, которому доверяют все участники взаимодействия, то есть обладатели сертификатов, полученных с любого ЦС предприятия. Для повышения уровня доступности и отказоустойчивости сервиса предусматривается развертывания более чем одного издающего сервера. Что касается количества издающих центров, то оно определяется Понятие про центры сертификации (ЦС). бизнес-требованиями компании. Необходимо также предусмотреть отказоустойчивость списков отозванных сертификатов. Чуть позже мы рассмотрим механизмы решения проблемы отказоустойчивости. Трехуровневая модель.Трехуровневая архитектура обеспечивает наилучшие характеристики безопасности, масштабируемости инфраструктуры. В этом варианте осуществляется развертывание корневого центра на отдельностоящем сервере, не входящем в состав корпоративной сети. Дополнительно выполняется внедрение серверов политик (Policy CA), являющихся подчиненными к корневому ЦС. Эти серверы, также, не входят в состав корпоративной сети, и являются отдельностоящими. И корневой, и подчиненные ему Policy CA, являются отключенными (Offline). Издающие сертификаты серверы являются подчиненными к Policy CA и могут быть как корпоративными (Enterprise), так и отдельностоящими (Standalone).



Четырехуровневая модель.В ряде случаев Понятие про центры сертификации (ЦС). может потребоваться более сложная модель, состоящая из 4-х уровней иерархии. Такой вариант архитектуры более сложен в реализации.



documentaagupsr.html
documentaaguxcz.html
documentaagvenh.html
documentaagvlxp.html
documentaagvthx.html
Документ Понятие про центры сертификации (ЦС).