Многим организациям приходится в рамках проводимой ими политики безопасности выпускать сертификаты высокого уровня надежности, такие как сертификаты смарт-карт. Причины, побуждающие компании использовать сертификаты смарт-карт, могут быть различными. Возможно, компания хочет отказаться от использования паролей в своей сети. А может быть, она стремится повысить уровень доверия к себе со стороны других организаций и с этой целью удостоверяет, что только одно лицо, указанное в сертификате, имеет доступ к секретному ключу.

Выпущенный корпорацией Microsoft продукт Identity Lifecycle Manager (ILM) 2007 дает возможность повысить уровень надежности сертификатов посредством определения рабочих процедур для различных видов деятельности, связанных с управлением и осуществляемых на протяжении жизненного цикла сертификатов. Эти процедуры обеспечивают выполнение в организации сформулированных в письменном виде политик безопасности, что, в свою очередь, повышает доверие к ее сертификатам со стороны других организаций.

ILM 2007 включает в себя два выпущенных ранее продукта: Microsoft Identity Integration Server (MIIS) 2003 и недавно приобретенный продукт Alacris idNexus (в период прохождения бета-тестирования он был известен также под названием Certificate Lifecycle Manager или CLM). В пакете ILM 2007 эти продукты были переименованы и называются теперь метакаталогом и средствами синхронизации, а также средствами управления сертификатами.

В предлагаемой вниманию читателей статье основное внимание я уделяю компоненту, осуществляющему управление сертификатами. Кроме того, я приведу пример, показывающий, как можно использовать этот компонент для повышения уровня надежности сертификатов и обеспечить выполнение заранее определенных рабочих процедур в случае выпуска сертификатов среднего уровня надежности.

Метакаталог и синхронизация

Главная функция реализованных в ILM 2007 метакаталога и средств синхронизации состоит в обеспечении предприятия средствами инициализации и деинициализации. Средства синхронизации позволяют сводить подтверждающую идентичность информацию, содержащуюся во всех имеющихся в организации и связанных между собой хранилищах данных по идентичности. ILM включает в себя свыше 30 типов агентов управления Aanagement Agent (MA), которые могут без предварительной настройки использоваться для работы во многих существующих службах каталогов, базах данных, системах обработки электронной почты, мэйнфреймах и базовых бизнес-приложениях. Один из новых агентов управления, Certificate Lifecycle Manager 2007 Management Agent, обеспечивает синхронизацию содержимого метакаталога и средств управления сертификатами. Этот агент управления позволяет в рамках процесса инициализации выпускать сертификаты и смарт-карты для новых пользователей. Кроме того, в ситуациях, когда пользователь покидает организацию, данный агент управления может проследить за тем, чтобы выданные этому пользователю важные сертификаты были отозваны в рамках процесса деинициализации.

Управление сертификатами

Реализованные в пакете ILM 2007 средства управления сертификатами управляются политиками и потоком работ. Они представляют собой подтверждающую идентичность систему управления, которая помогает организациям управлять жизненным циклом цифровых сертификатов на базе программ и на базе смарт-карт. Средства управления сертификатами ILM 2007 дают возможность определять процедуры управления сертификатами, которые обеспечивают выполнение политик организации и повышают уровни надежности сертификатов, выпускаемых в рамках этих рабочих процедур. К примеру, вполне вероятно, что уверенность делового партнера вашей компании в том, что один из ваших сотрудников действительно является тем, за кого он себя выдает, возрастет, если они встретятся лицом к лицу в процессе выдачи сертификата. Наряду с этим средства управления сертификатами ILM 2007 облегчают инициализацию, настройку и управление цифровыми сертификатами и смарт-картами, а также повышают степень защиты за счет применения технологии многофакторной аутентификации. Средства управления сертификатами ILM 2007 полностью интегрируются как со службой Microsoft Certificate Services, так и с Active Directory (AD); таким образом, в процессе развертывания клиенты могут пользоваться имеющейся инфраструктурой.

Компоненты

В состав средств управления сертификатами ILM 2007 входят два обязательных и два факультативных компонента. Два обязательных элемента — это сервер управления сертификатами и модули центров сертификации (Certification Authority, CA).

Сервер управления сертификатами ILM 2007 — это приложение ASP.NET, для функционирования которого требуется как Microsoft Internet Information Server (IIS) 6.0, так и Microsoft .NET framework 2.0. Данные, собираемые сервером управления сертификатами, могут храниться либо в базе данных SQL Server 2005 SP1, либо в базе данных SQL Server 2000 SP4. Сервер управления сертификатами ILM 2007 включает в себя два Web-портала, используемых в процессе рабочих процедур управления сертификатами: это Web-портал, выполняющий функции диспетчера, и Web-портал-подписчик.

К числу модулей CA относятся модуль выхода и подключаемый модуль политик. Модуль выхода дает возможность средствам управления сертификатами ILM 2007 вводить все сертификаты, выпущенные управляемым модулем CA, в базу данных управления сертификатами ILM 2007. Модуль политик позволяет организации изменять запросы на сертификаты при обработке для обеспечения более тесной интеграции и более эффективного управления с помощью средств управления сертификатами ILM 2007.

Два факультативных компонента средств управления сертификатами ILM 2007 — это программный клиент управления сертификатами ILM 2007 и клиент Bulk Enrollment Client. Программный клиент управления сертификатами ILM 2007 потребуется лишь в том случае, если вы намереваетесь выпускать сертификаты на основе смарт-карт и управлять ими. Эта клиентская программа устанавливает элемент управления ActiveX, с помощью которого Web-портал управления сертификатами ILM 2007 взаимодействует со смарт-картами, осуществляет запись на них и управляет этими картами.

Bulk Enrollment Client обеспечивает возможность печати и управления многочисленными смарт-картами. Этот компонент требует установки программного клиента управления сертификатами ILM 2007, а также пакета ID Works Enterprise Identification Software компании DataCard. Пакет ID Works позволяет организации определять макет печатаемой смарт-карты и содержит программные интерфейсы для принтеров смарт-карт.

Шаблоны профилей

В системе управления сертификатами ILM 2007 контроль управления сертификатами осуществляется с помощью шаблонов профилей. Шаблон профиля представляет собой новый объект AD (создаваемый путем модификации схемы), который обеспечивает определение задач управления сертификатами. Шаблон профиля включает три взаимосвязанных компонента.

  • Один или несколько шаблонов сертификатов, сгруппированных для выполнения таких действий, как внесение в список регистрации, отзыв или восстановление, в ходе одной операции. К примеру, если вы захотите развернуть отдельные сертификаты для электронной почты и для шифрования, оба шаблона сертификатов будут включены в один шаблон профиля.
  • Детали профиля, указывающие на то, является ли шаблон профиля программным или он создан на базе смарт-карты. Совмещение программных сертификатов и сертификатов на базе смарт-карт в одном шаблоне профиля не допускается. Если вы настраиваете шаблон профиля смарт-карты, в число деталей профиля будут входить сведения о связующем программном обеспечении, установленном на смарт-карте, о генерировании персонального идентификационного номера пользователя и о настройках повторного использования.
  • Политики управления, которые определяют процедуры для управления сертификатом на протяжении всего его жизненного цикла. Для каждой политики управления существует отдельная процедура, включая определение того, кто выполняет задачи управления в течение рабочих процедур. Так, можно одному человеку поручить активацию смарт-карт, другому — снятие блокировки запросов, третьему — санкционирование снятия блокировки. В таблице показаны политики управления, реализуемые средствами управления сертификатами ILM 2007.

Структура рабочих процедур

Самое очевидное достоинство средств управления сертификатами ILM 2007 — это возможность определять процедуры для управления сертификатами. К примеру, вы можете точно определить, какой процесс используется для получения сертификатов Secure MIME (S/MIME) или для снятия блокировки смарт-карты. В области управления сертификатами существует три распространенные модели.

В соответствии с моделью самообслуживания (Self-Service model), все процессы внутри рабочих процедур инициируются подписчиком сертификата, определенным в шаблоне профиля. Так, пользователь может инициировать запрос файловой системы EFS (Encrypting File System). Модель самообслуживания при получении сертификата обычно рассматривается как модель низкого уровня надежности, поскольку в выпуске сертификата участвует лишь одно лицо — тот, кто его запрашивает. Но в некоторых других случаях, относящихся к сертификатам IPsec или к сертификатам шифрования в системе EFS, самообслуживание допустимо.

В модели делегирования (Delegated model) процедура инициируется менеджером сертификата, но завершается подписчиком сертификата. Считается, что эта процедура характеризуется средним уровнем надежности. Обычно его используют для сертификатов, которые требуют тщательной проверки личности подписчика. К примеру, при выполнении запроса на агент восстановления EFS или агент Key Recovery Agent можно использовать модель делегирования рабочих процедур. Запрос обычно инициирует менеджер сертификата, затем для завершения запроса управление передается подписчику с использованием «одноразовых» секретов в почтовом сообщении.

В централизованной модели весь процесс обработки запроса выполняет менеджер сертификатов. Эта процедура обычно используется для сертификатов с высоким уровнем надежности. Менеджер сертификатов выступает в роли агента развертывания и вводит данные об имени подписчика в соответствующее поле выдаваемого сертификата.

Разрешения

Чтобы определить процедуры управления сертификатами, администратор должен назначить расширенные разрешения CLM. Пользователям, группам или точке подключения Connection Point службы управления сертификатами ILM 2007 (SCP, определение которой я сформулирую в следующем разделе) назначаются семь расширенных разрешений.

  • СLM Audit — дает возможность просматривать настройки шаблона профиля, одобрять запросы и генерировать отчеты.
  • CLM Enrollment Agent — позволяет держателю запрашивать сертификат от имени другого пользователя.
  • CLM Request Enroll — дает возможность инициировать, выполнять или завершать запрос сертификата.
  • CLM Request Recover — дает возможность инициировать операции по восстановлению ключа шифрования из базы данных модуля CA.
  • CLM Request Renew — дает возможность инициировать, выполнять или завершать выполнение запроса по возобновлению сертификата, когда срок действия исходного сертификата пользователя истекает и требуется замена сертификата новым сертификатом с другим сроком действия.
  • CLM Request Revoke — дает возможность прекращать действие сертификата до истечения срока его действия (например, сертификат может быть отозван потому, что у пользователя украли ноутбук).
  • CLM Request Unblock Smart Card — дает возможность переустанавливать персональный идентификационный номер пользователя смарт-карты, возобновляя доступ к ключу смарт-карты.

 Экран 1. Расположение назначенных разрешений

Кроме того, к объектам шаблона профилей относится разрешение CLM Enroll. Пользователям, запрашивающим сертификаты, которые включены в шаблон профиля, должно быть предоставлено разрешение CLM Enroll на шаблон профиля. Если пользователь запрашивает сертификат от имени другого пользователя, как лицу, запрашивающему сертификат, так и целевому пользователю должно быть предоставлено разрешение CLM Enroll.

Отметим, что разрешения на управление сертификатами ILM 2007 могут быть предоставлены только пользователям, глобальным группам или универсальным группам. Разрешения, предоставленные локальным группам доменов, игнорируются.

Места предоставления разрешений

В системе управления сертификатами ILM 2007 эффективное управление разрешениями подразумевает «переплетение» следующих пяти мест назначения разрешений. Эти места показаны на экране 1.

Service Connection Point. Если пользователю или группе назначается расширенное разрешение CLM в точке SCP, это значит, что такой пользователь получает доступ к Web-порталу управления CLM. Назначение разрешения в точке SCP равнозначно потенциальному предоставлению разрешений. Эти разрешения вступают в силу лишь в том случае, если соответствующие разрешения назначаются пользователю или группе. Чтобы пользователи могли участвовать в рабочей процедуре CLM, им достаточно получить разрешение Read.

Объект шаблона профиля. Чтобы предоставить пользователю или группе пользователей возможность на основе шаблона профиля получать сертификаты от имени других пользователей, этому пользователю или группе необходимо предоставить разрешение Read и CLM Enroll на данный объект шаблона профиля. Если процедура включает действия менеджера в качестве субъекта, запрашивающего сертификат от имени других пользователей, и менеджеру, и целевым пользователям необходимо назначить разрешение CLM Enroll.

Пользователи/группы. Это место назначения разрешений идет рука об руку с SCP. Как я отмечал выше, разрешение SCP представляет собой потенциальное назначение. Назначенное действие можно выполнить в отношении одного пользователя или группы. Назначение разрешения пользователю или группе завершает этот цикл. В разрешении пользователю или группе определяется целевой объект управленческого действия.

Шаблон(ы) сертификатов. Если процедура требует предоставления запросов на выдачу сертификатов CA, автору запроса необходимо предоставить разрешения Read и Enroll на включенные шаблоны сертификатов.

Внутри политики управления. Окончательное назначение разрешения происходит внутри политики управления. Менеджерам внутри рабочих процедур должно быть предоставлено право инициировать, одобрять сертификаты или запрашивать их от имени другого лица в рабочей процедуре. Другой вариант: можно включить функцию самообслуживания, чтобы пользователь мог инициировать персональные запросы в рамках рабочих процедур.

Отчеты

Средства управления сертификатами ILM 2007 включают в себя превосходные функции составления отчетов. Вообще говоря, отчеты можно разделить на три категории.

  • Сводные отчеты CLM — в них приводятся сводные данные по всем управляемым запросам, по использованию сертификатов, по истечению срока их действия и по запасам смарт-карт. Эти отчеты полезны в тех случаях, когда возникает необходимость отчитаться перед руководством о состоянии всех сертификатов, управляемых с помощью ILM 2007.
  • Подробные отчеты CLM — в них содержатся подробные сведения по смарт-картам, по истории смарт-карт, по запросам, по статистике использования шаблонов сертификатов, а также списки отозванных сертификатов. Подробные отчеты полезны в тех случаях, когда приходится изучать статистику использования сертификатов отдельным лицом или смарт-картой.
  • Отчеты по настройкам CLM — в них содержатся подробные сведения о настройках для шаблонов сертификатов или шаблонов профилей. Эти отчеты можно использовать при документировании окончательно установленных настроек для каждого развертываемого шаблона сертификата или шаблона профиля.

Пример реализации разрешений CLM

В порядке иллюстрации возможностей компонента управления сертификатами ILM 2007 рассмотрим пример реализации разрешений CLM. В этом примере группа Certificate Managers использует модель делегирования полномочий в процессе выпуска сертификатов для подписи кода группе Certificate Subscribers. В данном примере рассматривается только рабочий поток Enroll. Как правило, процедуры должны определяться для каждой политики управления в шаблоне профиля. К примеру, можно определять отдельные процедуры для отзыва сертификатов и для восстановления сертификатов.

Экран 2. Настройки Profile Details

Определение деталей профиля

Чтобы создать новый шаблон профиля, необходимо создать дубликат существующего шаблона профиля. Поскольку этот шаблон профиля будет выпускать программный сертификат, можно сформировать дубликат входящего в комплект поставки ILM 2007 шаблона профиля CLM Sample Profile Template, выполнив описанные ниже действия.

  1. Запустите браузер Microsoft Internet Explorer (IE). Откройте страницу http://clmserver/clm; щелкните на логотипе Microsoft Certificate Lifecycle Manager.
  2. На странице Home в разделе Administration нужно выбрать пункт Manage profile templates.
  3. На странице Profile Template Management в разделе Profile Template List следует установить флажок CLM Sample Profile Template и выбрать пункт Copy a selected profile template.
  4. На странице Duplicate Profile в поле New Profile Template Name раздела Profile Template Name наберите Code Signing Certificates и нажмите кнопку ОК.
  5. В разделе Certificate Templates выберите пункт Add new certificate template.
  6. В разделе Certificate Authorities выберите пункт CAName.
  7. В разделе Certificate Templates выберите пункт CodeSigning и нажмите кнопку Add.
  8. В разделе Certificate Templates установите флажок User и выберите пункт Delete selected certificate templates.

После выполнения этих действий шаблон Profile Template будет иметь настройки Profile Details, показанные на экране 2. Если предстоит развертывать смарт-карты, нужно будет также настроить провайдера Cryptographic Service Provider-CSP смарт-карты, детали смарт-карты и, при необходимости, параметры печати смарт-карты в деталях профиля.

Определение политики развертывания Enroll

Политика развертывания Enroll определяет процедуру для выпуска сертификатов. В приведенном примере используется процедура с делегированием полномочий; в рамках этого подхода менеджеры сертификатов должны инициализировать процедуру для сертификата подписи кода, выпущенного для подписчика сертификата. Для определения политики Enroll нужно выполнить следующие действия (см. экран 3):

Экран 3. Задание политики Tnroll

  1. В разделе Select a view щелкните на пункте Enroll.
  2. В разделе Workflow: General щелкните на пункте Change general settings.
  3. Отключите параметр Disable the Use self serve и нажмите ОК
  4. В разделе Workflow: Initiate Enroll Requests добавьте группу DomainCertificate Managers и удалите группу NT AuthoritySystem.
  5. В разделе Data Collection выберите пункт Sample Data Item.
  6. Измените имя элемента data collection на Photo Identification, замените Data Item Originator на Certificate Manager и нажмите ОК.
  7. В разделе OneTime Passwords оставьте предлагаемую по умолчанию настройку, предусматривающую использование одноразового пароля.
  8. В разделе Passwords Distribution оставьте предлагаемый по умолчанию параметр Display on screen.

Теперь одноразовый секрет будет отображаться для менеджера сертификатов и будет предоставляться подписчику сертификатов после проверки идентификации фотографии подписчика.

Определение разрешений

Для разрешения обработки рабочих процедур необходимо, чтобы разрешения были назначены во всех пяти местах назначения разрешений. Когда вы используете предыдущую процедуру для определения политики Enroll, определяются только разрешения Management Policy. Должны быть назначены следующие дополнительные разрешения.

  • Service Connection Point. Назначьте группе Certificate Managers разрешения CLM Enroll, чтобы позволить инициировать процесс регистрации.
  • Certificate Subscribers Group. Назначьте группе Certificate Managers разрешение CLM Enroll. Это назначение определяет, что Certificate Managers могут инициировать регистрацию только для членов группы CLM Subscribers.
  • Code Signing Certificates Profile Template. Назначьте членам групп Certificate Managers и Certificate Subscribers разрешения Read и CLM Enroll. В модели с делегированием полномочий как менеджер, так и подписчики должны иметь разрешения CLM Enroll.
  • Code Signing Certificate Template. Назначьте группе Certificate Subscribers разрешения Read и Enroll. Необходимо назначить разрешения Read и Enroll только той группе, которая представляет запрос в CA. Группа Certificate Managers всего лишь инициирует запрос, тогда как передача запроса в модуль CA осуществляется группой Certificate Subscribers.

Выполнение рабочих процедур

Чтобы начать регистрацию рабочих процедур, требуется зарегистрироваться на Web-портале управления сертификатами ILM 2007 в качестве члена группы Certificate Managers. Для инициирования рабочих процедур нужно выполнить следующие действия:

  1. Запустите браузер IE.
  2. Откройте страницу http://clmserver/clm.
  3. Щелкните на логотипе Microsoft Certificate Lifecycle Manager 2007.
  4. На странице Home в разделе Common Tasks щелкните на пункте Enroll a user for a new set of certificates or a smart card.
  5. В поле Name раздела Search Criteria for Users введите пользовательское имя целевого подписчика и щелкните на пункте Search.
  6. Если в вашей сети имеется несколько шаблонов профилей, выберите шаблон профиля Code Signing Certificates и нажмите Next.
  7. В разделе Data Collection введите Driver’s license и нажмите ОК.
  8. На странице Request Status передайте подписчику сертификата значение One-time password 1.

После того как вы инициируете процедуру, подписчик сертификата может завершить процедуру с помощью одноразового секрета, предоставленного менеджером сертификата. Для завершения процесса регистрации подписчик сертификата должен подключиться к Web-порталу управления сертификатами ILM 2007. Для завершения рабочих процедур следует зарегистрироваться в качестве целевого подписчика и выполнить следующие действия:

  1. Запустите браузер IE.
  2. Откройте страницу http://clmserver/clm.
  3. Щелкните на логотипе Microsoft Certificate Lifecycle Manager 2007.
  4. На странице Home в разделе Common Tasks выберите пункт Complete a request with one-time passwords.
  5. В поле One-time password 1 раздела Enter Passwords введите одноразовый секрет, предоставленный менеджером сертификата, и щелкните на пункте Next.
  6. Нажатием кнопки Yes примите тот факт, что Web-портал передает запрос модулю CA.
  7. Нажатием кнопки Yes примите тот факт, что Web-портал устанавливает сертификаты.
  8. На странице Installing Certificates нажмите кнопку Next.
  9. На странице Request Summary убедитесь в том, что статус запроса завершен.

Доступность и цена

Во время подготовки данной статьи предполагалось, что ILM 2007 будет выпущен 1 мая. Цена лицензии должна составить 15 тыс. долл. за сервер и 25 долл. в расчете на пользователя за клиентский доступ. Это намного ниже цен, предусмотренных в модели лицензирования MIIS, где цена лицензии составляет 25 тыс. долл. в расчете на процессор. Кроме того, Microsoft предлагает 25-процентные скидки на лицензии Client Access License (CAL) компаниям, заказавшим 250 или более пользовательских лицензий и купившим Software Assurance.

Компания должна приобретать лицензии CAL лишь в том случае, если руководство решит реализовывать средства управления сертификатами на своей системе ILM 2007. Если ILM 2007 используется исключительно для служб метакаталога, можно обходиться без лицензий CAL. Но если планируется с помощью системы ILM 2007 выпускать сертификаты и управлять ими, необходимо получить одну лицензию CAL на каждого пользователя (вне зависимости от числа пользовательских учетных записей, которые этот пользователь имеет в AD).

Недостающее звено

По умолчанию инфраструктура открытых ключей Microsoft (PKI) не дает возможности определять и внедрять процедуры управления или составлять отчеты. Реализованные в ILM 2007 средства управления сертификатами — это недостающее звено в PKI. Теперь вы можете с легкостью определять процедуры для выпуска сертификатов высокого уровня надежности. Web-портал CLM позволяет управлять сертификатами, а благодаря агентам управления CLM отзыв и выпуск сертификатов являются частью используемых в организации процессов подготовки технических средств к работе и к прекращению работы.

Политики управления сертификатами ILM 2007