Zapewne nieraz chcielibyśmy poznać funkcjonowanie systemu certyfikatów cyfrowych, a później wykorzystywać je na przykład w sieciach osiedlowych bądź firmowych. Elektroniczne sygnatury przydają się w wielu przypadkach – wymieńmy tutaj choćby zabezpieczanie transmisji danych podczas łączenia się z serwerami WWW albo FTP. Jeżeli nie uśmiecha nam się ponoszenie kosztów niezbędnych do uzyskania certyfikatu, trzeba założyć własny urząd certyfikacji i osobiście wydawać cyfrowe sygnatury. W gruncie rzeczy jesteśmy nawet w stanie utworzyć własną Infrastrukturę Klucza Publicznego (Public Key Infrastructure, PKI). Takiego terminu używa się do opisu infrastruktury niezbędnej podczas świadczenia usług wydawania certyfikatów kluczy publicznych. W skład infrastruktury wchodzą urzędy certyfikacji (Certification Authority, CA) oraz rejestracji (Registration Authority, RA). Zadaniem tych pierwszych jest wydawanie certyfikatów, drugich zaś – weryfikacja tożsamości ich przyszłych właścicieli. Za składniki PKI uważa się też standardy opisujące postać sygnatur oraz normy i akty prawne wyjaśniające sposoby ich wykorzystywania.
Od środka
Czym jest właściwie certyfikat cyfrowy? To dokument elektroniczny, zawierający przynajmniej nazwę lub identyfikator organu wydającego “paszport” (nazywanego zwykle urzędem certyfikacji), identyfikator subskrybenta, jego klucz publiczny, okres ważności certyfikatu i numer seryjny oraz podpis cyfrowy urzędu certyfikacji. Cyfrowe sygnatury są przechowywane jako pliki na dysku twardym komputera lub umieszczane na karcie kryptograficznej. Ta druga metoda uchodzi za zdecydowanie bardziej bezpieczną. Dzieje się tak dlatego, że klucz prywatny związany z certyfikatem nigdy nie opuszcza karty w trakcie operacji kryptograficznych (np. podczas składania podpisu cyfrowego).
Jak to się robi w Windows
Naszą firmową bądź też osiedlową infrastrukturę PKI najprościej zbudować, bazując na systemie Windows Server 2003. Dzięki udostępnionym przez tę odmianę Okien usługom wydamy, opublikujemy i zarchiwizujemy “dokumenty tożsamości” dla osób i komputerów. Poza tym Windows Server 2003 oddaje do dyspozycji mechanizmy zawieszania (odwoływania) certyfikatów oraz pozwala na określenie ich formatu i zawartości. Osoby zainteresowane certyfikatami w Linuksie odsyłam do ramki “Więcej informacji”.
Z góry na dół
Usługi oferowane przez system Windows Server 2003 pozwalają na zbudowanie hierarchicznego modelu zaufania urzędów certyfikacji, nazywanego hierarchią certyfikacji. W swojej najprostszej postaci składa się ona z jednego tylko urzędu, wydającego cyfrowe “paszporty”. Na ogół jednak zawiera ona kilka poziomów, między którymi jasno określono relacje urząd nadrzędny-urząd podrzędny.
Urząd certyfikacji znajdujący się na szczycie hierarchii jest nazywany głównym urzędem certyfikacji (Root Certificate Authority). Takie instytucje same poświadczają własną wiarygodność. Robią to za pomocą podpisanych przez siebie certyfikatów urzędów. Są one zawsze instalowane i konfigurowane jako pierwsze. Główne urzędy certyfikacji są najbardziej zaufanymi instytucjami w organizacji i powinny być najlepiej zabezpieczone. W zastosowaniach komercyjnych klucze prywatne takich urzędów nie są zapisywane na dyskach twardych komputerów, ale umieszczane na specjalnych urządzeniach, zwanych sprzętowymi modułami bezpieczeństwa (Hardware Security Module, HSM). Jeżeli hierarchia składa się z kilku urzędów, zaleca się, aby ten główny nie był dostępny w sieci. Ponieważ jego zadanie polega tylko na wydawaniu certyfikatów podrzędnym CA, nic więc nie stoi na przeszkodzie, aby główny urząd był odłączony od sieci i zabezpieczony przed dostępem osób postronnych.
Urzędy certyfikacji znajdujące się niżej w hierarchii są uwierzytelniane przez urząd nadrzędny, który wystawia im i podpisuje certyfikaty. Podrzędny urząd certyfikacji może być urzędem pośrednim lub urzędem wystawiającym certyfikaty. Ten pierwszy wydaje je tylko urzędom podrzędnym, drugi natomiast udostępnia “paszporty” odbiorcom końcowym. Są nimi nie tylko użytkownicy, ale również komputery czy wręcz usługi uruchomione na komputerach. Przykładem certyfikatów wydawanych komputerom są te przeznaczone do uwierzytelniania serwerów i szyfrowania transmisji pomiędzy nimi a przeglądarkami internetowymi, czyli certyfikaty SSL.
W grupie i samodzielnie
System Windows 2003 Server obsługuje dwa typy urzędów certyfikacji: korporacyjny (Enterprise CA) i autonomiczny (Standalone CA). Zarówno główny, jak i podrzędny urząd certyfikacji da się zainstalować jako urząd korporacyjny lub niezależny. Różnica pomiędzy nimi polega przede wszystkim na sposobie współpracy z usługami katalogowymi Active Directory (AD). Korporacyjne urzędy certyfikacji są zintegrowane z usługą Active Directory i wręcz wymagają obecności AD. Publikują one bowiem certyfikaty oraz listy odwołanych “paszportów” w katalogu Active Directory. Poza tym urzędy korporacyjne korzystają z informacji o szablonach certyfikatów, kontach użytkowników oraz z polis zabezpieczeń, znajdujących się w katalogu AD.
Jeżeli dysponujemy siecią wykorzystującą Active Directory, to wygodniejsze jest zainstalowanie urzędów korporacyjnych. Wystawianie certyfikatów będzie wówczas prostsze – na przykład dane odbiorcy elektronicznego “paszportu” zostaną pobrane z AD. Urzędy korporacyjne mają jeszcze jedną przewagę nad autonomicznymi: tylko im wolno wystawiać certyfikaty potrzebne do logowania przy użyciu kart elektronicznych.
“Paszporty” są wydawane na podstawie informacji zawartych w żądaniu certyfikatu i z wykorzystaniem tzw. szablonu. Ten ostatni jest zestawem reguł, stosowanym podczas obsługi żądań wystawienia certyfikatu. Mechanizm szablonw bardzo ułatwia pracę administratorom.
Należy także zwrócić uwagę na różnicę funkcjonalności usług certyfikacji w zależności od edycji systemu Windows Server 2003. Otóż wydanie Standard nie pozwala na używanie szablonów certyfikatów. Jeżeli zależy nam na nich, powinniśmy zainstalować system z serii Enterprise lub Datacenter.
