Добавляем возможности управления сертификатами и смарт-картами инфраструктуре Windows PKI

Строгая аутентификация пользователей — одна из основополагающих функций управления идентификационной информацией: это база для обеспечения безопасного доступа к ресурсам и надежного обмена идентификационной информацией между организациями.

Решения, касающиеся аутентификации пользователей, увязывают воедино множество факторов контроля доступа (сведения о PIN или пароле, биометрические данные, например отпечатки пальцев, подтверждение факта обладания некоторыми устройствами и т. д.) и формируют рынок служб строгого контроля доступа, осуществляющих проверку регистрационной информации пользователя. Популярные примеры решений строгой аутентификации — использование смарт-карт и USB-ключей (USB-токенов).

Если вы когда-нибудь пробовали задействовать смарт-карты или USB-ключи в среде Microsoft Public Key Infrastructure (PKI), то наверняка столкнулись с тем, что Windows не хватало функциональности для развертывания, управления и обслуживания смарт-карт и USB-ключей. С появлением Certificate Lifecycle Manager (CLM) компания Microsoft надеется заполнить имеющиеся пробелы и добавить поддержку управления сертификатами при развертывании инфраструктуры Windows PKI, не использующей смарт-карты или ключи USB.

Наиболее важные характеристики CLM — гибкость в работе, облегчение развертывания и администрирования сертификатов, смарт-карт и USB-ключей. Давайте посмотрим, что скрывается за словами об упрощенном администрировании CLM, и оценим свойства продукта. Затем я расскажу о компонентах и архитектуре CLM.

История и конкуренты

CLM — это переименованная и обновленная версия программного продукта idNexus, разработанного в компании Alacris и приобретенного в результате покупки компании в 2005 году. К моменту написания статьи была доступна для загрузки версия CLM Beta 1. Microsoft собирается сделать продукт доступным в рамках семейства Microsoft System Center — отметим, что не планируется включать код CLM в комплект поставки Windows Server (в отличие от служб Windows PKI) или как-то увязывать с основной службой управления идентификационной информацией, Microsoft Identity Integration Server (MIIS).

Развертывание CLM — относительно простая процедура: установка выполняется с помощью мастера, который автоматически настраивает все основные компоненты CLM.

Говоря о конкурирующих продуктах, предлагающих аналогичную функциональность, следует упомянуть Intercede (разработка компании MyID Corporate, http://www.intercede.co.uk), Athena Smartcard Solutions (AthenaCard Management System CMS, http://www.athena-scs.com), Aladdin Token Management System (TMS, http://www.aladdin.com), а также SafeNet Card Management System (CMS, http://www.safenet-inc.com).

Простота администрирования

CLM предлагает единый центр администрирования для управления сертификатами, смарт-картами и ключами USB. При помощи Web-интерфейса управления CLM (см. экран 1) можно управлять жизненным циклом сертификатов и отслеживать данные в Active Directory (AD) в той ее части, которая касается смарт-карт пользователей.

Экран 1. Интерфейс CLM

Если в среде Windows PKI менеджер CLM не установлен, то для выполнения аналогичной задачи администратору придется задействовать несколько оснасток Microsoft Management Console (MMC) и несколько утилит командной строки. Например, чтобы без CLM описать свойства сертификата, используется оснастка MMC Certificate Templates, но, чтобы принять или отклонить запросы на получение сертификата, придется воспользоваться другой оснасткой, MMC Certification Authority, или командой certutil.exe.

При наличии CLM можно выдавать пользователям сертификаты, управлять смарт-картами, принимать или отклонять запросы на получение сертификатов, отзывать сертификаты, разблокировать смарт-карты, описывать свойства сертификатов и генерировать отчеты, связанные с использованием сертификатов и смарт-карт, и все задачи будут выполняться через единый интерфейс.

Интерфейс управления CLM поддерживает унифицированный инструментарий для взаимодействия с многочисленными центрами сертификации — Windows Certificate Authorities (CA). Используя CLM-интерфейс, можно отсылать запросы на получение или отзыв сертификата в различные Windows CA.

Другая функция, которая порадует администраторов PKI, это многочисленные возможности отчетов в CLM, используя которые не составит труда сгенерировать подробные отчеты по использованию сертификатов и смарт-карт в сети AD. На экране 2 показан пример отчета CLM Request Type Breakdown за указанный период времени.

Экран 2. Пример отчета CLM

Помимо управляющего Web-интерфейса, в CLM предусмотрен пользовательский Web-интерфейс. С его помощью рядовые пользователи могут управлять своими персональными сертификатами и уточнять параметры смарт-карт; выдавать запрос на получение сертификата, постоянных и временных смарт-карт; просматривать содержимое сертификатов и описание смарт-карт; наконец, изменять PIN-код смарт-карт.

Гибкость

CLM — это инструмент управления сертификатами и смарт-картами уровня предприятия. Инструмент достаточно гибкий — с его помощью легко настроить логику CLM внутри своей организации во всем, что касается политики сертификатов и обслуживания смарт-карт, выполнить большинство персонифицированных настроек, не покидая интерфейс управления CLM, — если и потребуется привлекать дополнительное кодирование, то в очень ограниченном объеме. Организации, которые хотят убрать отдельные настройки из интерфейса CLM или вынести корпоративную специфику на Web-страницы CLM, смогут это сделать, выполнив весьма незначительную корректировку Web-интерфейса и логики работы CLM.

Хороший пример гибкости CLM — та простота, с которой можно адаптировать логику CLM к поддержке централизованной или децентрализованной, по выбору, модели выпуска смарт-карт и USB-ключей. В централизованной модели администратор подготавливает смарт-карты или ключи USB и отсылает их пользователю, который сначала снимает с них блокировку, а затем начинает эти устройства использовать. В децентрализованной модели администратор просто передает смарт-карту пользователю, который выполняет всю подготовительную работу самостоятельно.

Кроме того, CLM содержит значительный объем логики, которая по умолчанию отключена, но может быть задействована при автоматизации процесса выпуска сертификатов или смарт-карт. Например, в организации можно настроить CLM на автоматическую доставку кодов разблокирования смарт-карт или инструкций по развертыванию смарт-карт через электронную почту.

Наконец, CLM обладает встроенной и легконастраиваемой логикой работы, возможностью делегирования административных полномочий и параметрами самообслуживания. Для иллюстрации сказанного приведу несколько примеров.

Логика работы: интерфейс CLM позволяет описать число одобрений менеджера сертификатов, которые необходимо получить до того, как пользователю будет позволено развернуть у себя сертификат данного типа.

Делегирование административных полномочий: администратор CLM может делегировать функцию одобрения запросов на развертывание сертификата для некоторого подмножества пользователей AD, например всех пользователей определенного OU, другому администратору.

Самообслуживание: можно позволить пользователям инициировать и выполнить развертывание сертификатов данного типа без какого бы то ни было административного вмешательства.

Архитектура и компоненты

CLM — это многоуровневое Web-приложение, которое взаимодействует с различными инфраструктурными службами и серверами Microsoft. CLM устанавливается на Windows Server 2003 и более поздние платформы Windows. Для работы CLM на стороне Web-сервера необходимо установить Microsoft IIS 6.0 или более позднюю версию с поддержкой Microsoft .NET Framework 1.1. На стороне Web-клиента работа CLM оптимизирована для браузера Microsoft Internet Explorer (IE) версии 6.0 или более поздней.

На прикладном уровне приложение CLM взаимодействует с Windows 2000 Server или Windows 2003 AD и SQL Server 2000 Service Pack 3a (SP3a) или более новыми версиями сервера баз данных. CLM использует базу данных для хранения своей конфигурации и архивных данных.

Экран 3. Свойства Windows CA с подключенной поддержкой CLM

Поскольку CLM имеет отношение к CA (Certification Authority), в продукте реализована интеграция с Windows 2003 CA уровня предприятия (другими словами, реализована интеграция на уровне AD). В процессе установки CLM в Windows CA устанавливаются и активизируются два специальных модуля CLM — модуль политики (policy module) и модуль выхода (exit module), как показано на экране 3. Policy Module добавляет специфические для CLM атрибуты X.509 в Windows CA и, соответственно, в выпускаемые сертификаты. Работа Exit Module позволяет Windows CA связываться с базой данных CLM SQL Server. Модули функционируют в фоновом режиме; за исключением небольшого числа настроек (см. экран 3), непосредственно «общаться» с этими модулями вам не придется.

При установке CLM схема AD расширяется за счет добавления набора специфических объектов и атрибутов CLM. CLM использует эти объекты AD для хранения профильных данных о сертификатах CLM и смарт-картах. Профили CLM содержат управляющие политики, связанные с данным сертификатом или типом смарт-карты, а именно: политики развертывания, восстановления, обновления, отзыва, отключения, разблокирования (только для смарт-карт), а также политики дубликатов (только для смарт-карт). Описание профилей CLM, их свойств и управляющих политик выполняется с помощью интерфейса Edit Profile Template (см. экран 4), к которому осуществляется доступ через пункт AdministrationManage profile templates в управляющем интерфейсе CLM.

Экран 4. Редактирование шаблона профиля CLM

Информация о пользовательских и административных данных CLM, а также описание административного делегирования CLM сохраняются в AD. В процессе установки CLM в AD добавляются следующие специфические CLM-разрешения: CLMS Audit, CLMS Request Enroll, CLMS Enrollment Agent, CLMS Request Recover, CLMS Request Renew, CLMS Request Revoke, CLMS Request Unblock Smart Card и CLMS Enroll.

Перечисленные разрешения CLM могут применяться для описания пользователей и групп, которые могут взаимодействовать с системой CLM. Например, можно указать, что некоторый пользователь имеет право инициировать запрос на получение сертификата в систему CLM или что конкретный администратор может послать в CLM запрос об отзыве сертификата.

Специфические разрешения CLM могут быть установлены для пользователя AD, группы и профильных объектов CLM при помощи классического управляющего инструментария AD. На экране 5 показано, как предоставить пользователю AD специфические разрешения CLM в оснастке MMC Active Directory Users and Computers. Для того чтобы пользователь получил разрешение развертывать определенный сертификат CLM или тип смарт-карт, администратор CLM должен установить разрешения для соответствующего профильного объекта CLM. Сделать это можно в узле ServicesPublic Key ServicesProfile Templates в MMC Active Directory Sites and Services (см. экран 6).

Экран 5. Специфические настройки CLM-разрешений в Active Directory Users and Computers

CLM имеет интерфейс со смарт-картами, ридерами смарт-карт и ключами USB различных поставщиков. Чтобы CLM и Windows могли взаимодействовать с конкретной смарт-картой, поставщик должен обеспечить доступ к программному модулю Cryptographic Service Provider (CSP), совместимому с Windows CryptoAPI. CSP поставщика должен быть развернут на всех системах Windows (как на клиентах, так и на серверах), на которых предполагается использование смарт-карт, ключей USB и CLM. Список рекомендуемых поставщиков смарт-карт для работы с Microsoft CLM можно найти по адресу http://www.microsoft.com/windowsserversystem/clm/partners.mspx.

Экран 6. Специфические настройки CLM-разрешений в Active Directory Sites and Services

Как было отмечено ранее, интегрированные средства управления CLM для смарт-карт или ключей USB в среде AD требуют установки клиентского программного обеспечения CLM, которое поставляется в серверной версии CLM. Входящий в состав CLM клиент — это утилита, которая дает пользователям возможность очистить смарт-карты и PIN-код ключей USB без вмешательства администратора.

В центре внимания — идентичность

CLM — это еще одно свидетельство того, что Microsoft мало-помалу становится заметным игроком на поле средств управления идентификационной информацией. За несколько лет компания внедрилась в область управления идентичностью, расширила диапазон услуг в данной области, связала воедино управление идентификационной информацией и операционную систему. Теперь Microsoft предлагает решения для управления идентичностью, которые могут охватывать программные платформы и приложения различных производителей. В качестве примеров можно назвать упоминавшийся ранее MIIS (подготовка технических средств к работе), службы интеграции с UNIX (Services for UNIX, SFU, и Windows 2003 R2), Microsoft PKI (в связке с Windows 2000 и Windows 2003) и CLM. Подробную информацию о CLM можно найти на сайте Microsoft по адресу http://www.microsoft.com/windowsserversystem/clm/default.mspx.

Жан де Клерк - член Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасности в продуктах Microsoft. Автор книги Windows Server 2003 Security Infrastructures (издательство Digital Press). jan.declercq@hp.com