ЕС ввел единый «ковидный паспорт»: как это работает – МК

ЕС ввел единый «ковидный паспорт»: как это работает - МК Сертификаты
На чтение 29 мин. Просмотров 17 Опубликовано
Содержание
  1. Описание политик
  2. Domain validation
  3. Organization validation
  4. Ес ввел единый «ковидный паспорт»: как это работает
  5. Изобразительное искусство и архитектура
  6. Мода и дизайн
  7. Музыка
  8. Об авторе
  9. Обновление сертификатов цс
  10. Общий план развёртывания
  11. Планирование аппаратных требований
  12. Планирование имён цс
  13. Планирование сроков действия crl
  14. Подготовка веб-сервера
  15. Построение диаграммы pki
  16. Предварительная конфигурация
  17. Программирование политик
  18. Прочие настройки
  19. Разновидности ssl-сертификатов
  20. Резервное копирование
  21. Самоподписные ssl-сертификаты
  22. Установка компонента цс
  23. Установка корневого цс
  24. Шаблоны сертификатов
  25. Extended validation
  26. Состав списков отзыва
  27. Итоговая настройка

Описание политик

Политики выдачи просто характеризуют в общих чертах набор процедур и процессов, выполняемых при выдаче тех или иных сертификатов. Следует понимать, что в программном коде никак не проверяется, соблюдались эти процедуры на самом деле или нет. Если на уровне кода невозможно проверить их выполнение, то зачем они? На этот вопрос есть два ответа.

Первый заключается в том, что ряд ИТ-процессов невозможно отследить на программном уровне. Они проверяются на соответствие принятым правилам аудитом, который проводится людьми. Чаще всего в качестве аудиторов выступают сторонние организации, имеющие компетенцию в рассматриваемых вопросах.

Это касается и политик выдачи сертификатов. В частности, при создании доверия (на уровне PKI и сертификатов) между организациями, они предоставляют документы, описывающие процессы и заказывают сторонний аудит для проверки того, что эти процессы соблюдаются.

Второй ответ вытекает из первого: описание политик выдачи сертификатов в конечном итоге станет документацией на всю PKI и будет иметь своё фирменное название – Certificate Practice Statement или CPS (к сожалению, не нашёл подходящего термина на русском языке, поэтому буду использовать англоязычную аббревиатуру).

Для унификации описания политик выдачи существует рекомендованный (но не обязательный) шаблон, описанный в RFC 3647. По сути, этот документ является фреймворком по написанию политик и освещает всевозможные аспекты работы PKI. Совершенно не обязательно описывать все имеющиеся разделы в документе. Можно документировать только то, что применимо к вашей ситуации, или добавлять что-то своё.

В общем случае CPS будет состоять из двух частей:

  1. Описание иерархий PKI, общих для всех процедур и положений, которые будут общими для всех конкретных политик выдачи.
  2. Описание положения специфичные для конкретной политики выдачи. В зависимости от размерности PKI, её особенностей, на каждую политику может составляться отдельный CPS, но чаще всего это сводится к составлению единого документа, который будет описывать всё.

Domain validation

DV сертификаты подтверждают только факт того, что именно владельцу сертификата действительно принадлежит данный домен и являются наиболее доступной разновидностью SSL-сертификатов. Данные сертификаты лучшего всего подойдут для форумов и небольших сайтов или блогов с не очень большим количеством посетителей.

SSL-сертификат такого уровня:

  • обеспечивает только начальный уровень защиты;
  • доступен физическим и юридическим лицам;
  • не требует предоставление дополнительных документов;
  • выпускается в течение 5-10 минут;
  • обойдётся примерно в 1-4 тысячи рублей за год.

Organization validation

OV-сертификат подтверждает бизнес-статус организации и вызывает куда больше доверия пользователей, чем DV-сертификат. Данный тип сертификата хорошо подойдёт для онлайн-магазина и другого небольшого интернет-бизнеса.

Сертификат уровня защиты OV:

  • обеспечивает средний уровень защиты;
  • выдаётся только юридическим лицам;
  • для регистрации необходимо предоставить копии документов организации, счёт телефонной компании с указанным названием организации и номером телефона её владельца;
  • выпускается в течение 1-5 дней;
  • обойдётся примерно от 4 000 рублей до 50 000 рублей в год.

Ес ввел единый «ковидный паспорт»: как это работает

С 1 июля Европейский союз вводит единый внутренний «ковидный паспорт» для всех граждан и резидентов государств блока, а также определенных категорий путешественников из ряда третьих стран. С помощью этого инструмента европейские чиновники надеются спасти летний туристический сезон и ослабить давление на миллионы людей, вернув им долгожданную свободу передвижения. Рассказываем все, что необходимо знать о новой инициативе ЕС.

Процедуру по запуску «цифровых сертификатов по COVID-19» (именно так официально называется документ) со стороны Еврокомиссии завершены. Теперь государствам-членам ЕС остается лишь внедрить эту систему в ближайшие недели.  

Сегодня депутаты Европарламента выступили за утверждение этой схемы подавляющим большинством голосов: 546 голосов против 93 при 51 воздержавшемся (голосование по паспортам для граждан ЕС) и 553 против 91 и 46 воздержавшихся (для граждан третьих стран).

Но еще до запланированного на 1 июля официального запуска новой системы «ковидные паспорта» начали выдавать девять европейских стран: Болгария, Чехия, Дания, Германия, Греция, Хорватия, Польша, Испания и Литва.

Какова цель «ковидного паспорта» ЕС?

По словам главы Еврокомиссии Урсулы фон дер Ляйен, цифровой сертификат был создан в попытке «восстановить свободу передвижения», ограниченную пандемией коронавируса, «надежным, ответственным и вызывающим доверие способом». Документ избавит его обладателей от необходимости сдавать дополнительные ПЦР-тесты и отбывать длительный карантин при перемещении между странами блока.

Таким образом еще одна не менее важная цель единой системы ЕС – избежать неразберихи и хаоса, возникших прошлым летом, когда каждая из стран блока принимала собственные ограничительные меры.

Носит ли внедрение сертификатов обязательный характер?

Нет, это не обязательный, но желательный процесс. По закону государства Европейского союза не обязаны применять эти сертификаты, однако все они уже так или иначе находятся в процессе их внедрения. Власти по-прежнему смогут вводить собственные ограничения на въезд граждан из других частей ЕС. При этом они должны информировать об этом Еврокомиссию, остальных стран-участниц блока, а также указывать причины, по которым подобные меры принимаются.

«Сертификат по COVID-19 не будет обязательным условием для свободного перемещения, поскольку это основополагающее право граждан Европейского союза», – заверили в Еврокомиссии.

Кто может претендовать на получение «ковидного паспорта»?

Граждане Европейского союза, их семьи и законные резиденты стран, входящих в блок. ЕС также распространит действие сертификатов на страны, не имеющие с ним жестких границ благодаря Шенгенскому соглашению: Исландию, Лихтенштейн, Норвегию и Швейцарию.

Однако представитель Евросоюза ранее сообщил CNN, что блок рассчитывает расширить эту схему и превратить внутренние «ковидные паспорта» в заграничные. Ожидается, что дополнительная информация по этому поводу будет опубликована до 1 июля. В Еврокомиссии надеются убедить другие государства, такие как Соединенные Штаты и Великобританию, присоединиться к этой системе. А вот России подобную опцию пока не предлагают.  

Что представляет из себя «ковидный паспорт»?

Паспорт/сертификат – единый документ, который может быть выдан путешественнику как в бумажном, так и в цифровом формате. Оба будут содержать специальный QR-код с цифровой подписью, который нужно сканировать при въезде в ту или иную страну. Граждане ЕС смогут получить его совершенно бесплатно.

Существует три вида «ковидных паспортов»: паспорт вакцинации, включающий информацию о сделанных прививках, сертификат о тестировании, а также о выздоровлении от COVID-19.

Каковы условия выдачи паспортов вакцинации в ЕС?

Сертификат о прохождении вакцинации будет выдан тем, кто был привит от COVID-19 одной из четырех вакцин, одобренных Европейским агентством лекарственных средств (EMA). К ним относятся Pfizer, AstraZeneca, Moderna и Johnson & Johnson.

Однако и здесь есть некоторые исключения. Каждое государство вправе самостоятельно решать, выдавать ли сертификаты о вакцинации путешественникам из ЕС, привитым препаратом не одобренным европейским регулятором (к примеру, российским или китайским).

Нужно ли привиться обеими дозами вакцины, чтобы получить сертификат?

Не обязательно. Но опять-таки, каждое государство принимает собственное решение о том, является ли сертификат приемлемым при наличии только одного укола.

Что представляет из себя сертификат о тестировании?

Все путешественники, сдавшие тест на наличие COVID-19 и получившие отрицательный результат, смогут получить сертификат о тестировании.

«Для каждого теста будет выдаваться отдельный сертификат, который не будет содержать никаких данных из предыдущих документов», – рассказали в Еврокомиссии.

Между тем ЕС еще не определился с общими сроками, в течение которых должны быть проведены эти тесты, поэтому пока ответственность за эти решения лежит государствах-членах блока.

Что представляет из себя сертификат о выздоровлении?

Граждан, переболевшим COVID-19, разрешено путешествовать по Евросоюза при наличии специального сертификата о выздоровлении.  

«Он должен быть выдан не ранее, чем через 11 дней после первого положительного теста на COVID-19», – поясняют в Еврокомиссии.

Вместе с тем для получения данного сертификата не может быть использован тест на наличие антитела против SARS-CoV-2.

Какую личную информацию будет содержать сертификат?

В «ковидном паспорте» будут указываться имя и фамилия держателя, год и место его рождения, QR-код и название государства, выдавшего сертификат.

Каждый документ будет также содержать следующие дополнительные сведения о путешественниках:

Для вакцинированных путешественников: название вакцины и ее производитель, количество введенных доз, дата (даты) вакцинации

Для путешественников с тестом: тип теста, дата и точное время теста, название клиники или центра, где был сдан тест, и его результаты

Для путешественников, выздоровевших от вируса: дата получения положительного результата теста, название центра или клиники, где был сдан тест, дата выдачи и срок действия

Про сертификаты:  Постановление Правительства РФ от 26 февраля 2021 г. № 270 "О некоторых вопросах контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота и внесении изменений в некоторые акты Правительства Российской Федерации"

Где можно получить этот документ?

Сертификат можно получить в органах здравоохранения ЕС и стран Шенгенской зоны, а также в больницах и центрах тестирования.

Когда истекает срок действия сертификата по COVID-19?

Срок действия документа пока ограничен одним годом (с 1 июля 2021 года по 30 июня 2022 года).

Изобразительное искусство и архитектура

Художники и архитекторы имеют больше возможностей управлять судьбой результатов своего труда, чем другие творцы. Например, у них есть право следования и право доступа. Право следования позволяет авторам получать вознаграждение при перепродаже оригинала, а право доступа упрощает отношения с собственником оригинала при реализации исключительного права автора.

При этом авторское право, особенно в сфере изобразительного искусства, допускает, что иногда произведения можно использовать свободно — например, чтобы создать карикатуру или разместить изображение в учебнике, согласия правообладателя не требуется. И выплата вознаграждения тоже не предусмотрена. Единственное условие — обязательно указывать имя автора и источник заимствования.

Мода и дизайн

Мода и дизайн затрагивают все области права интеллектуальной собственности, включая технические виды творчества — например, разработку новых видов тканей, пошива, способы креплений фурнитуры и прочее. Для промышленных образцов мало факта создания объекта, нужно пройти через бюрократические процедуры.

Для предметов стиля, относящихся к вечной классике, регистрация в патентных органах целесообразна. Так, защищен дизайн сумок «Биркин» и цвет подошвы обуви Кристиана Лабутена. Но охрана вещей из сезонных коллекций, часто основанных на заимствованиях и быстро теряющих актуальность, настолько затруднена, что фэшн-индустрия часто игнорирует как свои, так и чужие законные интересы.

Интеллектуальное право в каждой креативной индустрии раскрывается по-своему. Как правильно распоряжаться исключительным правом на интеллектуальный продукт в творческих сферах, можно узнать на бесплатной открытой лекции 21 сентября в 19:00.

Музыка

Музыка — одна из индустрий, где творческий продукт доходит до потребителя через посредников.

Музыкальное произведение должно быть выражено в доступной для восприятия форме, например, в виде аудиозаписи или нот. Это условие охраны авторским правом. Но защиту могут получить и произведения, записанные нестандартным способом. Так, во время работы над музыкой к фильму «Асса» у Бориса Гребенщикова и группы «Аквариум» на пюпитре вместо нот стояли листы с нарисованными солнышками и коньками-горбунками. Такая графическая запись музыки тоже имеет право на жизнь.

Об авторе

ЕС ввел единый «ковидный паспорт»: как это работает - МКВадим Поданс

— специалист в области автоматизации PowerShell и Public Key Infrastructure, Microsoft MVP: Cloud and Datacenter Management с 2009 года и автор модуля PowerShell PKI. На протяжении 9 лет в своём блоге освещает различные вопросы эксплуатации и автоматизации PKI на предприятии. Статьи Вадима о PKI и PowerShell можно найти на его

Обновление сертификатов цс


Периодически необходимо обновлять сертификаты ЦС. Рассмотрим несколько аспектов, связанных с обновлением сертификатов ЦС.

Периодичность обновления сертификата ЦС

Это делается в следующих случаях:

Первый вопрос, если всё идёт штатно, за какое время до истечения срока действия сертификата ЦС его нужно обновлять?

Сертификат издающего ЦС должен обновляться за максимальный срок действия издаваемых сертификатов. В нашем случае срок действия сертификата издающего ЦС 15 лет, а максимальный срок действия издаваемых сертификатов 5 лет (см. конфигурационную таблицу).

Порядок обновления ЦС

В нашей двухуровневой иерархии сертификаты корневого и издающего ЦС имеют одинаковый срок действия. Поэтому, когда вы принимаете решение об обновлении сертификата любого ЦС, необходимо обновлять их вместе. Первым обновляется сертификат корневого ЦС, затем сертификат издающего ЦС.

Генерация ключей при обновлении сертификатов ЦС

При обновлении сертификатов ЦС вам предлагается две опции: использовать существующую ключевую пару или сгенерировать новую:

В диалоговом окне обновления ключевой пары приведены рекомендации Microsoft по выбору ключевой пары. Однако, практика показывает, что эти рекомендации устарели. Следует всегда генерировать новую ключевую пару. При использовании нескольких сертификатов ЦС клиентский модуль построения цепочки сертификатов иногда может ошибиться и выбрать неправильный сертификат. В базе знаний Microsoft отмечены такие проблемы. Примеры статей:

При генерации новой ключевой пары для каждого сертификата будет гарантирован только один путь к корневому сертификату и модуль построения цепочек сертификатов уже не ошибётся.

Общий план развёртывания


Для развёртывания службы сертификатов нам потребуется четыре машины с Windows Server 2021, которые будут выполнять следующие функции:

  1. Контроллер домена — необходим для функционирования домена Active Directory;
  2. Веб-сервер — будет обеспечивать доступ к сертификатам ЦС и спискам отзывов для клиентов;
  3. Корневой ЦС — будет выполнять функции корневого ЦС;
  4. Подчинённый ЦС — будет выполнять функции издающего ЦС.

Развёртывание PKI будет проходить поэтапно на каждом сервере в том порядке, в котором они указаны выше. Подготовка контроллера домена будет сводиться к обеспечению функций Active Directory, GPO и учётных записей.

Планирование аппаратных требований

Службы сертификатов AD CS в целом нетребовательны к аппаратным ресурсам (на фоне других серверных служб). Основная нагрузка ложится на центральный процессор для выполнения криптографических операций (хэширование, шифрование и подпись). Кроме того, есть определённая нагрузка на диски для работы базы данных сертификатов (AD CS использует JET Database Engine). Это в теории.

На практике аппаратных ресурсов даже бюджетных линеек серверов будет более чем достаточно для функционирования служб сертификатов, поскольку реальные потребности весьма малы на фоне требований ОС к аппаратным ресурсам. В эпоху Windows Server 2003 была написана статья Evaluating CA Capacity, Performance, and Scalability (ссылка на архивную копию, т.к. оригинал удалён с сайта TechNet), освещающую общие моменты, которые нужно учитывать при планировании аппаратных ресурсов.

В 2021 году, Windows PKI Team провела тесты производительности с использованием более современного оборудования (образца 2007 года) под управлением Windows Server 2008. С результатами можно ознакомиться в их блоге: Windows CA Performance Numbers.

Данные в этих статьях, говорят о том, что сервер AD CS на аппаратном сервере выпуска 2007 года позволяет выпускать порядка 150 сертификатов в секунду. Реальная же потребность в скорости выдачи сертификатов на порядки ниже. Поэтому для ЦС общего назначения советую ориентироваться на рекомендуемые аппаратные требования к самой ОС.

Здесь следует отметить, что в конфигурации для корневого ЦС будет отсутствовать (или должен быть отключен) сетевой интерфейс (поскольку он не будет подключен к сети) и присутствовать хотя бы один интерфейс для съёмных носителей.

Планирование имён цс


Имя ЦС – это имя, которое будет отображено в поле

Subject

конкретного ЦС. Не путать с именем хоста, на котором работает служба сертификатов. Полное имя ЦС будет состоять из двух компонентов, самого имени (атрибут CN или Common Name) и опционального суффикса в формате X.500. По умолчанию ADCS назначает имя в следующем формате:

Для Standalone CA: <ComputerName>-CA

Для Enterprise CA: <DomainShortName>-<ComputerName>-CA, <X500DomainSuffix>

Хорошо это или плохо? Технически, вы можете выбрать любое имя, функционально оно ни на что влиять не будет. Есть мнение, что имя вашего ЦС является в некотором роде визитной карточкой вашей PKI, отражая ваше отношение к деталям, которые не имеют непосредственного отношения к функциональности, но обеспечивают достаточный уровень информативности и открытости. Поэтому при выборе полного имени сертификата следует руководствоваться несколькими рекомендациями:

Предположим, что вы подбираете имя для корневого ЦС компании Contoso Pharmaceuticals Ltd., которая находите в городе Рига, Латвия и управление обеспечивается отделом информационных технологий. В этом случае имя ЦС может иметь следующий вид:

CN=Contoso Pharm Root Certification Authority, OU=Division Of IT (DoIT), O=Contoso Pharmaceuticals Ltd., L=Riga, C=LV

Следует помнить, что атрибут Country поддерживает только двухбуквенный индекс страны. Например, LV, GB, RU, US и т.д. В качестве дополнительных примеров, можете обратиться к сертификатам ЦС коммерческих провайдеров, как VeriSign/Symantec, DigiCert и т.д.

Для подчинённого ЦС это имя будет похожим, за исключением того, что слово Root в имени будет заменено на Subordinate или Issuing. В случае трёхуровневой иерархии, где явно выделяется ЦС политик, слово Root будет заменено на Policy. Как я выше отмечал, в вашей компании могут применяться другие правила, и вы можете их внедрить в имена ЦС, на функциональность это влиять не будет. При этом следует избегать:

  • Чрезмерно длинных имён в атрибуте CN (не более 50 символов). При длине атрибута CN свыше 51 символа, оно будет укорочено с пристыковкой хэша отброшенного фрагмента имени в конец имени. Это называется процессом «санитизации» имени, который описан в §3.1.1.4.1.1 протокола [MS-WCCE]. Т.е. может случиться так, что при слишком длинном имени слово оборвётся на середине и будет иметь неприглядный вид.
  • Использовать буквы, которые не входят в состав латинского алфавита, т.е. никакой криллицы или диактрических букв (например, ā, ž, Ü, ẞ). ADCS поддерживает только однобайтовые кодировки для атрибута CN и для ограниченного набора символов. Неподдерживаемые символы будут преобразованы в другую кодировку и станут нечитаемыми. Полный список запрещённых символов представлен в §3.1.1.4.1.1.2 протокола [MS-WCCE]. Здесь работает принцип «лучшее – враг хорошему», поэтому имена должны быть достаточно лаконичными и информативными.
Про сертификаты:  Пособие по безработице в 2021 году: что изменилось

Планирование сроков действия crl


Это всё было о составе списков отзыва для каждого ЦС. Теперь следует определить сроки:

Здесь тоже можно применить подход в зависимости от условий эксплуатации. Риск отзыва промежуточного ЦС весьма низкий, следовательно, нет смысла слишком часто публиковать пустой CRL. В современной практике применяются следующие типовые значения по сроку действия CRL для ЦС, которые выписывают сертификаты только другим ЦС:

Для подчиненных ЦС схема такая же. Поскольку риск отзыва клиентских сертификатов высокий, то можно предположить и высокую частоту отзыва. Следовательно, таким ЦС следует выполнять публикацию списков отзыва гораздо чаще, а для экономии трафика комбинировать базовые и дифференциальные CRL.

Можно понять желание администраторов уменьшить это время (в идеале – мгновенно), чтобы клиенты не признавали отозванный сертификат действительным. Однако, уменьшение одного риска приводит к увеличению другого риска. Представьте, что по какой-то причине отказал сервер ЦС в момент, когда предыдущий CRL близок к истечению срока действия, а новый CRL невозможно опубликовать.

Microsoft CA по умолчанию уже закладывает некоторый резерв по времени на непредвиденные случаи и когда распространение списков отзыва по всем точкам публикации занимает некоторое время (например, вызваны латентностью репликации). Этот резерв в английской терминологии называется CRL overlap.

Это достигается использованием двух полей в списке отзыва: Next CRL Publish и Next Update. Поле Next CRL Publish указывает на время, когда ЦС опубликует обновлённый список отзыва (автоматически). Next Update указывает на время, когда срок действия текущего списка истечёт.

Поле Next Update будет всегда выставлен на несколько позднее время, чем Next CRL Publish. Другими словами, ЦС опубликует обновлённый список отзыва до истечения срока предыдущего. Алгоритм вычисления автоматических значений для этих полей нетривиален и описан в следующей статье:

How ThisUpdate, NextUpdate and NextCRLPublish are calculated (v2). Если значения по умолчанию вас не устраивают по тем или иным причинам, их можно отредактировать. Необходимо учитывать, что запас по времени имеет нижние и верхние границы.

Например, верхняя граница не может превышать срока действия самого CRL. Так, если срок действия CRL составляет 1 день, то запас может составлять максимум 1 день, и тогда ЦС будет публиковать списки отзыва ежедневно, но срок действия будет составлять 2 дня. Тем самым достигается запас времени на восстановление ЦС в случае непредвиденных обстоятельств.

На практике я достаточно часто наблюдал желание администраторов закрутить настройки сроков действия CRL до минимального предела с таким обоснованием: «пользователь уволился и не должен иметь возможность аутентифицироваться с отозванным сертификатом».

При планировании сроков действия CRL и периодичности следует руководствоваться следующими рекомендациями:

Подготовка веб-сервера


На веб-сервере нам потребуется выполнить следующее: установить службу IIS (если ещё не установлена), создать общую папку и сконфигурировать веб-сайт на использование этой папки.

Для установки службы IIS можно воспользоваться следующей командой:

Install-WindowsFeature -Name Web-Server, Web-WebServer -IncludeManagementTools

Согласно нашей конфигурационной таблице (см. часть 2), для хранения сертификатов ЦС и списков отзыва нам потребуется общая папка с сетевым именем PKI по следующему пути: C:InetPubwwwrootPKIdata

New-Item -ItemType Directory -Path C:InetPubwwwroot -Name PKIdata -Force
New-SmbShare -Path C:inetpubwwwrootPKIdata -Name PKI -FullAccess everyone

После этого нужно выдать права NTFS на запись в эту папку для группы Cert Publishers.

Построение диаграммы pki

Как я уже говорил, всё начинается с логической диаграммы выбранной модели. Логическая диаграмма отображает все компоненты PKI и она должна быть переложена на физическую топологию. В случае применения двухуровневой модели PKI такая диаграмма может иметь следующий вид:

На диаграмме представлены следующие компоненты и их логические связи:

Физическая топология будет несколько отличаться и иметь следующий вид:

В физической топологии в явном виде выделено, что сервер отзыва доступен для всех клиентов, как внутри, так и снаружи сети, благодаря чему клиенты могут проверять сертификаты в любом месте.

Предварительная конфигурация

Предварительные конфигурационные файлы необходимы для ряда настроек, которые невозможно задать во время установки компонента (ни при помощи графического интерфейса, ни при помощи командной строки или PowerShell). К ним обычно относятся настройки расширений сертификата ЦС.

Например, для настройки расширения сертификата Certificate Policies, необходимо использовать предварительный конфигурационный файл, в котором настраиваются параметры расширения. Для Microsoft ADCS таким файлом является файл CAPolicy.inf, который должен быть расположен по следующему пути: %windir%CAPolicy.inf. С синтаксисом этого файла можно ознакомиться в следующей статье:

. Поскольку никаких специфичных или нестандартных настроек в сертификате корневого ЦС мы делать не будем, поэтому и предварительный конфигурационный файл сейчас нам не потребуется.

Программирование политик


В процессе составления CPS будет определена одна или несколько уникальных политик выдачи (как минимум одна будет обязательно). Каждая политика выдачи должна иметь уникальный идентификатор и указатель на CPS (гиперссылка или текстовая строка).

Идентификаторы политик должны быть представлены в формате ITU-T и ISO. В своё время я написал небольшую вводную статью про объектные идентификаторы: Что в OID’е тебе моём? В ней есть информация о том, как получить в IANA (Internet Assigned Numbers Authority) свою ветку идентификаторов.

Далее вы назначаете конкретные политики выдачи для ЦС, которые будут их поддерживать. Например, у вас может быть несколько издающих ЦС, каждый из которых будет поддерживать только определённые политики. Список поддерживаемых политик будет содержаться в расширении Certificate Policies сертификата ЦС, а также в сертификатах конечных потребителей.

Прочие настройки


После того как издающий ЦС установлен и сконфигурирован, убедитесь, что всё прошло без ошибок:

Когда основные параметры проверены, необходимо убедиться в правильной связи иерархии ЦС и доступности всех внешних файлов для клиентов. Для этого на сервере ЦС (а лучше, на рабочей станции, где установлены средства удалённого администрирования ЦС) необходимо запустить оснастку

Enterprise PKI Health

(pkiview.msc). Оснастка автоматически построит текущую иерархию и проверит доступность всех путей для скачивания сертификатов ЦС и списков отзыва. Никаких ошибок быть не должно. Если есть ошибка, необходимо её точно идентифицировать и устранить. В случае успешной настройки оснастка будет выглядеть следующим образом для корневого ЦС:

И для издющего ЦС:

Если вся итоговая конфигурация соответствует ожидаемым значениям и оснастка Enterprise PKI Health не показывает ошибок, это может судить о том, что PKI установлена верно.

Разновидности ssl-сертификатов

Если же вы решили приобрести SSL-сертификат у одного из центров сертификации, то следует разобраться, какие же их разновидности существуют. С первого взгляда выбрать себе SSL-сертификат из множества тех, что представлены сегодня на рынке довольно сложно: разница в цене может достигать 100 000 рублей, и не всегда понятно, какие из возможностей того или иного сертификата действительно нужны конкретно вашему проекту.

  1. желаемая степень доверия к ресурсу;
  2. количество доменов и поддоменов, для которых осуществляется покупка сертификата;
  3. вид субъекта, приобретающего сертификат: физическое или юридическое лицо;
  4. размер финансовых возможностей для приобретения сертификата.

Разберёмся сначала с первым пунктом.

Валидность вашего ресурса может быть подтверждена тремя различными степенями его проверки. Соответственно, существует три разных вида SSL-сертификата, различающихся по типу валидации:

  • сертификаты, подтверждающие право владения доменом (Domain Validation);
  • сертификаты, подтверждающие помимо домена юридическое существование организации (Organization Validation);
  • сертификаты с расширенной проверкой организации (Extended Validation).

Резервное копирование

Вопросы резервного копирования и восстановления после отказа являются отдельной темой. Здесь я лишь отмечу основные моменты, которые следует учесть при планировании стратегии резервного копирования.

Microsoft Active Directory Certificate Services предоставляет инструменты для резервного копирования компонентов ЦС:

С ними можно сделать резервную копию для ключевой пары ЦС и базы данных. Однако эти инструменты не позволяют делать резервную копию настроек ЦС. Эти операции необходимо выполнять вручную. Все настройки ЦС находятся в реестре по следующему пути:

HKLMSystemCurrentControlSetServicesCertSvc


При резервном копировании всегда экспортируйте данную ветку реестра. При восстановлении ЦС сохранённый REG файл импортируется обратно в реестр после установки роли ЦС.

Полный список элементов ЦС, который подлежит обязательному резервному копированию выглядит так:

Этот список не зависит от принятой в вашей компании стратегии резервного копирования, он всегда должен быть включён в список резервных копий.

Самоподписные ssl-сертификаты

Получение SSL- сертификата, разумеется, стоит денег, при этом действует он ограниченное количество времени. Поэтому многие используют так называемые самоподписные SSL-сертификаты. Сгенерировать их можно с помощью панели управления хостингом прямо на веб-сервере, причём сделать это можно совершенно бесплатно. Однако, далеко не всегда целесообразно использовать самоподписной сертификат.

Любой браузер проверяет, выдан ли сертификат известным ему центром сертификации, и если нет (а это и есть случай самоподписного сертификата), то выдаёт на него ошибку и выводит на экран большую табличку с надписью “Сертификат безопасности сайта не является доверенным!”.

Про сертификаты:  Постановление Правительства Ростовской области от 3 декабря 2019 г. N 874 "Об утверждении Положения об организации предоставления земельных сертификатов на приобретение (строительство) жилых помещений и порядке использования средств земельных сертификатов" (не вступило в силу)

Установка компонента цс

Прежде всего необходимо добавить установочные компоненты для AD CS:

Install-WindowsFeature AD-Certificate, ADCS-Cert-Authority -IncludeManagementTools

После этого посмотрим на установочную таблицу, чтобы определить параметры установки:

В таблице я выделил только те параметры, которые задаются в процессе установки. Остальные параметры будут настраиваться после установки. Исходя из этих данных сформируем параметры для командлета

Install-AdcsCertificationAuthority -CACommonName "Contoso Lab Issuing Certification authority" `
    -CADistinguishedNameSuffix "OU=Division Of IT, O=Contoso Pharmaceuticals, C=US" `
    -CAType EnterpriseSubordinateCa `
    -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
    -KeyLength 4096 `
    -HashAlgorithmName SHA256

После выполнения этой команды будет выведено сообщение о том, что установка ЦС не завершена и для её завершения необходимо отправить сгенерированный запрос (находится в корне системного диска) на вышестоящий ЦС и получить подписанный сертификат. Поэтому находим файл с расширением «.req» в корне системного диска и копируем его на корневой ЦС и на корневом ЦС выполняем следующие команды:

Установка корневого цс

Фактическая установка ЦС будет включать в себя несколько этапов:

  1. Подготовка предустановочных конфигурационных файлов (CAPolicy.inf);
  2. Установка компонента ЦС;
  3. Выполнение постустановочной конфигурации;
  4. Проверка установки.

Перед установкой корневого ЦС, необходимо ещё раз вернуться к конфигурационным таблицам:

В таблице я выделил только те параметры, которые задаются до и в процессе установки. Остальные параметры будут настраиваться после установки.

Шаблоны сертификатов

Наряду с установкой издающего ЦС, в Active Directory устанавливается набор уже готовых шаблонов сертификатов. Их можно просмотреть в оснастке

Certificate Templates MMC

(certtmpl.msc). Рекомендации по шаблонам сертификатов:

Использование готовых шаблонов сертификатов

Я рекомендую использовать их копии, даже если вы не планируете вносить в них изменения. Для создания копии шаблона выберите в списке подходящий шаблон, в контекстном меню выберите Duplicate Template и создайте его копию. Целесообразно в имя шаблона включить название компании, чтобы отличить предустановленный шаблон от вами созданного.

Версия шаблона

Начиная с Windows Server 2021, интерфейс создания шаблона несколько изменился. В самом начале появляется окно с выбором версии ОС на ЦС и предполагаемом клиенте:

Если у вас используются современные версии ОС (например, Windows 7 и выше), может появиться желание выставить настройки на максимум. Если вы не уверены, что ваше приложение совместимо с CNG (Cryptography Next Generation), следует использовать настройки, которые приведены на картинке.

Если вы выставляете ОС сервера и клиента выше, чем Windows Server 2003/Windows XP, шаблон будет использовать криптографию несовместимую с этими приложениями. Например, большинство приложений, написанных на .NET, семейство продуктов System Center, службы федераций (AD FS) и т.д. не смогут использовать ключи таких сертификатов (но проверять смогут).

Успешно такие сертификаты смогут использовать приложения, которые используют не .NET, а нативные функции CryptoAPI. К таким приложениям можно отнести, например, IIS, Remote Desktop Services.Поля Subject и Subject Alternative Names

Существует два метода заполнения поля Subject и расширения Subject Alternative Names: автоматический и ручной. Это настраивается в настройках шаблона сертификата, во вкладке Subject Name.

Если выбран второй пункт (как на картинке), ЦС игнорирует имя субъекта из запроса сертификата и заполняет эти поля из свойств учётной записи пользователя или устройства, которое запрашивает сертификат. В ряде случаев это не подходит (например, сертификаты для внутренних веб-сайтов) и имя субъекта заполняется из значения в запросе сертификата.

Это необходимо затем, что имя для сертификата никак не проверяется. Если этот момент не контролировать, пользователь может запросить сертификаты на любое имя и скомпрометировать весь лес Active Directory. Вряд ли вы позволите рядовому пользователю получить сертификат на имя администратора.

После требования одобрения запроса менеджером сертификатов на ЦС, каждый запрос с явным указанием субъекта сертификата будет попадать на ЦС в папку Pending Requests и не будет подписан, пока оператор ЦС не изучит его содержимое и не примет решение о выпуске. Т.е. каждый такой запрос необходимо вручную проверять на содержимое и убедиться, что в запросе указаны верные и допустимые имена. В противном случае запрос должен быть отклонён.

Права на шаблоны сертификатов

Шаблоны сертификатов в Active Directory хранятся в разделе configuration naming context, который реплицируется между всеми контроллерами домена в лесу. Поэтому для назначения прав на шаблоны сертификатов можно использовать только глобальные и универсальные группы. Избегайте назначения прав отдельным пользователям и устройствам.

Extended validation

SSL-сертификаты с расширенным уровнем проверки являются самыми надёжными, но и самыми дорогими. Хорошо подойдут для крупной и серьезной организации, для которой важны престиж и безопасность.

Сертификат уровня EV:

  • предлагает самый высокий уровень защиты и наивысший уровень доверия среди других SSL-сертификатов
  • выдаётся только юридическим лицам;
  • для регистрации необходимы следующие дополнительные документы: свидетельство о постановке на учёт в налоговом органе, уведомление о регистрации юридического лица, извещение о регистрации в качестве страхователя и другие;
  • поддерживает кириллические домены;
  • выпускается в течение 3-10 дней.
  • обойдётся примерно от 10 000 до 100 000 рублей в год.

Также после документальной проверки провайдер может позвонить по официально заявленному телефону организации, совершив тем самым дополнительный этап проверки. Зато после прохождения всего этого документооборота ваш сайт будет обладать самым высоким уровнем доверия, о чём будет свидетельствовать зелёная панелька с названием компании в адресной строке.

По ней пользователи и смогут определить высокий бизнес статус компании, а при нажатии на панель узнать полные сведения об организации. Сертификаты этого типа служат отличной защитой от фишинга: из-за строгих требований верификации, злоумышленники не смогут пройти все этапы проверки, в результате чего “липовые” EV-сертификаты встречаются в крайне редких случаях.

Состав списков отзыва

Перед планированием состава и срока действия списков отзыва необходимо понять назначение списков отзыва и оптимальные параметры в зависимости от условий их эксплуатации. Как известно, каждый ЦС периодически публикует списки отзывов, которые включают списки всех отозванных конкретным ЦС сертификатов.

Даже при наличии высокоскоростных подключений трафик списков отзыва будет существенным по размеру, т.к. все потребители сертификатов нуждаются в актуальной версии списка отзыва. Для уменьшения трафика списков отзыва предусматривают публикацию двух типов CRL:

базовый (Base CRL) и дифференциальные (Delta CRL). Базовый список включает полный список отзыва. Дифференциальный список включает в себя только список отозванных сертификатов, которые были отозваны с момента последней публикации базового CRL. Это позволяет вам публиковать базовый список реже и на более длительный срок, а для ускорения времени реакции клиентов на отозванные сертификаты в промежутке выпускать несколько короткоживущих дифференциальных CRL.

Подбор параметров зависит от несколько факторов. Например, планируемый объём издаваемых сертификатов и планируемый объём отзыва. Рассмотрим типовые сценарии.

Корневой ЦС

Корневой ЦС выписывает сертификаты только промежуточным ЦС, количество которых обычно в пределах десятка. Срок действия промежуточных ЦС сопоставим со сроком жизни сертификата корневого ЦС. Также предполагается, что риск отзыва нижестоящих ЦС весьма низкий, поскольку они управляются обученным персоналом и в отношении них обеспечиваются надлежащие меры безопасности.

Справка: как посчитать планируемый размер файла CRL исходя из объёмов отзыва? Типичный пустой CRL занимает примерно 600-800 байт. Каждая запись об отозванном сертификате занимает 88 байт. Исходя из этих значений можно высчитать размер CRL в зависимости от количества отозванных сертификатов.

Отсюда следует, что на протяжении всей жизни корневого ЦС список отзыва будет в пределах 1кб и смысла в дифференциальном CRL нет.

Издающий ЦС

Для издающего ЦС картина меняется. Объём издаваемых сертификатов уже высок, он может составлять тысячи и миллионы штук. Потребителями являются пользователи и устройства, которые обладают высоким риском отзыва, поскольку они не находятся под постоянным контролем квалифицированного персонала, и невозможно обеспечить надлежащие меры.

Как следствие, список отзыва может достигать серьёзных размеров. Например, если заложить 10% риск отзыва, то на миллион изданных сертификатов приходится порядка 100к отозванных. 100к записей по 88 байт будет составлять немногим меньше 10мб. Очень часто обновлять файл на 10мб не очень практично, целесообразней его публиковать реже, а в интервале между публикациями основного CRL распространять несколько облегчённых дифференциальных Delta CRL. Т.е. если для корневого ЦС достаточно только базового списка отзыва, то для ЦС, выпускающих сертификаты конечным потребителям, следует применять и дельты.

Итоговая настройка

По аналогии с корневым ЦС, нам потребуется сконфигурировать ряд параметров на издающем ЦС. Для этого мы снова напишем BATCH скрипт с использованием утилиты certutil.exe. Но прежде всего посмотрим установочную таблицу и выясним параметры, которые нам необходимо настроить:

Аналогичная таблица составляется и для издающего ЦС.

За основу мы возьмём скрипт с корневого ЦС и изменим только отдельные фрагменты:

Великобритания Германия Греция Евросоюз - ЕС Испания Литва Общество Польша Россия Свежий МК
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат