Certyfikaty – czas na zmiany, cz. I

Opublikowano: 30 sierpnia 2007
Autor: Barbara Wróbel

Zawartość strony

	Wstęp
	Credential roaming
	Otrzymać certyfikat przez www
	Przeczytaj pozostałe części tego artykułu

Wstęp

Certyfikaty zawsze były nieodłącznym elementem powiązanym z bezpieczeństwem systemów informatycznych. Vista i nadchodzący Windows Server 2008 wprowadziły szereg zmian w zakresie funkcjonowania mechanizmu obsługi certyfikatów w celu zapewnienia jeszcze większego poziomu bezpieczeństwa, jak i usprawnienia całego mechanizmu obsługi certyfikatów. Do podstawowych z nich można zaliczyć między innymi:

• ułatwienia w implementacji credential roaming;
• zmiany w mechanizmie sprawdzania statusu certyfikatów w postaci zintegrowanego Online Certificate Status Protocol Suport;
• różnice w pozyskiwaniu certyfikatów za pośrednictwem strony www;
• większą kontrolę nad zarządzaniem certyfikatami w postaci uszczegółowienia kompetencji agenta rejestrowania (ang. enrollment agent) jak i agenta zarządzania (ang. management agent);
• ulepszoną diagnostykę problemów związanych z certyfikatami i monitoring;
• wprowadzenie Network Device Enrollment Service;
• odnowienie interfejsu uzyskiwania certyfikatów;
• rozszerzenie zakresu algorytmów kryptograficznych o nowe algorytmy należące do grupy Suite B;
• dodanie certyfikatów generowanych na podstawie szablonów w wersji 3;
• zmiany związane z użyciem kart inteligentnych.

Jak widać, nowości jest dość dużo i dotykają różnych płaszczyzn. Można je rozważać pod kątem kryptograficznym, administracyjnym czy też programistycznym. Temat jest dość rozległy i nie sposób go wyczerpać w jednym artykule. Dlatego tutaj postaram się, choć w niewielkim stopniu, przybliżyć wybrane zmiany, jak sądzę ciekawe szczególnie z punktu widzenia administratora. A zostały wspomniane one w pięciu pierwszych podpunktach wymienionych powyżej. Jednakże, ponieważ Windows Server 2008 jest ciągle produktem rozwijanym, należy zwrócić uwagę, że niektóre z wspomnianych elementów mogą ulec pewnym modyfikacjom, dlatego celem artykułu jest nie tyle nadzwyczaj szczegółowe ich opisanie, co bardziej ogólne nakreślenie tego, co interesującego czeka nas w przyszłości.

 Do początku strony

Credential roaming

Czym jest credential roaming (co w polskiej dokumentacji tłumaczone jest również jako mobilny dostęp do poświadczeń)? Jest pomysłem na to, by nadać profilowi lokalnemu cechy mobilności w odniesieniu do certyfikatów (a dokładniej również wszystkich elementów powiązanych z certyfikatami, takich jak chociażby klucze główne DPAPI czy też klucze Digital Signature Algorithm (DSA) oraz Rivest-Shamir-Adleman (RSA)).

Certyfikaty każdego użytkownika i wspomniane powyżej elementy przechowywane są w jego profilu. Jeśli jest to profil mobilny, nie ma większego problemu, gdyż profil ten podąża za użytkownikiem, gdy użytkownik przemieszcza się pomiędzy komputerami, a co za tym idzie - również certyfikaty. Gdy jednakże jest to profil lokalny - standardowo tak się nie dzieje. Na każdej maszynie, na której użytkownik się zaloguje, tworzony jest nowy profil i pobierane są za każdym razem nowe certyfikaty niezbędne danemu użytkownikowi na przykład do zaszyfrowania dokumentów.

Głównie by ograniczyć takie zachowanie i tym samym zapobiec nadmiernym ilościom certyfikatów wymyślono coś, co nazwano credential roaming. Przejdźmy zatem do tego jak w skrócie działa ten mechanizm.

Przyjmijmy, że użytkownik loguje się na stacji, a następnie dokonuje ściągnięcia potrzebnego mu certyfikatu. Oto, co dzieje się dalej:

• certyfikat taki po około dziesięciu sekundach zostanie przesłany do kontrolera domeny i powiązany z obiektem danego użytkownika;
• w przypadku środowiska z kilkoma kontrolerami domeny certyfikat podlega replikacji;
• gdy dany użytkownik następnie zaloguje się na innej maszynie nastąpi synchronizacja certyfikatów obecnych w AD i na danej maszynie; synchronizacja ta ma miejsce zawsze przed procesem autorejestrowania (ang. autoenrollment).

Przez takie skonstruowanie kolejności całego procesu nie będzie już konieczności wystawiania następnego certyfikatu, gdyż wszystko jak widać bazuje na rotacji certyfikatów już istniejących.

Cały ten mechanizm nie wymaga w Windows Server 2008 żadnej dodatkowej konfiguracji. Natomiast po stronie klienta konieczne jest tylko jego włączenie przez skonfigurowanie odpowiednich wpisów w GPO.

Rys. 1. Karta Certificate Services Client-Credential Roaming.

Dokładnie chodzi tu o włączenie „User Configuration\Windows Settings\Security Settings\Public Key Policies\Certificate Services Client-Credential Roaming”. Można tutaj dokonfigurować również dodatkowo takie elementy, jak:

• maximum tombstone credentials lifetime in days – określa jak długo elementy związane z credential roaming pozostaną faktycznie w Active Directory po ich wykasowaniu;
• maximum number of roaming credentials per user – określa maksymalną liczbę kluczy i certyfikatów przechowywanych w Active Directory;
• maximum size (in bytes) of a roaming credential – określa maksymalny rozmiar elementów związanych z credential roaming przechowywanych w Active Directory;
• roam stored user names and passwords – pozwala określić, czy przemieszczaniu mają podlegać również przechowywane nazwy użytkowników i hasła.

Credential roaming wbrew pozorom nie jest nową funkcjonalnością. Możliwość wykorzystania tego mechanizmu była już obecna w systemie Windows Server 2000 SP3 i oczywiście Windows Server 2003, w połączeniu z klientem w postaci Windows XP SP2. Nie była to jednak rzecz prosto dostępna, bo zanim można było ją wykorzystać, należało zainstalować odpowiednie poprawki na serwerze i kliencie, a przede wszystkim dokonać odpowiednich zmian w schemacie AD, co wymagało już nieco większych nakładów pracy. W Windows Server 2008 i Viście stopień konfiguracji credential roaming uproszczono do minimum.

Warto też dodać, że w Vista i Windows Server 2008 przemieszczaniu podlegają nie tylko certyfikaty i wymienione już powyżej związane z nimi elementy, ale również przechowywane nazwy użytkowników i hasła.

 Do początku strony

Otrzymać certyfikat przez www

Tak jak i dawniej, Windows Server 2008 kontynuuje możliwość pozyskiwania certyfikatu poprzez stronę www. Parę rzeczy jednak uległo tu zmianie. Po pierwsze obecnie wymagane jest by cała transmisja z tym związana szyfrowana była protokołem HTTPS.

I tu obecnie może nas spotkać mała niespodzianka. Pomimo, że w przeglądarce wpiszemy adres z HTTPS, a na serwerze wszystko wydaje się być skonfigurowane, aby obsłużyć taki ruch, przeglądarka uporczywie sygnalizuje jak gdyby brak szyfrowanej transmisji. Objawia się to poniższym komunikatem.

Rys. 2. Komunikat Internet Explorer'a.

Komunikat jest nieco mylący, bo okazuje się, że by zmusić wszystko do działania należy dodatkowo dodać daną stronę do witryn zaufanych i problem znika.

Drugie zastrzeżenie w odniesieniu do pobierania certyfikatów przez www to takie, że nie każdy rodzaj certyfikatu można w ten sposób uzyskać. Chodzi o najnowsze wersje certyfikatów wprowadzone przez Windows Server 2008, oznaczone v3.

Poprzez stronę www nie będzie możliwe skorzystanie z tzw. „enroll on behalf of”, czyli nie będzie można uzyskać certyfikatu w czyimś imieniu. Nie można również uzyskać certyfikatu dla komputera.

Ale nie tylko w Windows Server 2008 czekają nas niespodzianki a propos uzyskiwania certyfikatów przez www. Również w Windows Server 2003 nie wszystko pójdzie standardowo, gdy klientem jest Vista. Vista albowiem korzysta z zupełnie nowego komponentu o nazwie CertEnroll, który zastąpił obecny Xenroll. System Windows 2003, jak łatwo zgadnąć, domyślnie nie jest na tę zmianę przygotowany i by mógł obsłużyć żądanie certyfikatu z systemu Vista wymagane jest kilka modyfikacji, które to opisane są szczegółowo w artykule https://support.microsoft.com/kb/922706. W przypadku systemu Windows Server 2008 zmian tych dokonywać nie trzeba, gdyż obsługuje on zarówno CertEnroll jak i Xenroll w celu zapewnienia kompatybilności ze starszymi od Visty systemami.

 Do początku strony

Przeczytaj pozostałe części tego artykułu

• Certyfikaty – czas na zmiany, cz. II

Do początku strony