Развертывание PKI для удаленного доступа

  • 7 мин

Компания Contoso может использовать цифровые сертификаты для подтверждения и проверки подлинности удостоверений каждой стороны, вовлеченной в электронную транзакцию. Цифровые сертификаты также помогают устанавливать отношения доверия между компьютерами и соответствующими приложениями, размещенными на серверах приложений. Удаленный доступ использует сертификаты для проверки удостоверений серверов и обеспечения шифрования. Contoso также может использовать сертификаты для проверки удостоверений пользователей или компьютеров, запрашивающих удаленный доступ.

Методы получения сертификатов

В большинстве случаев вы получаете сертификаты из центра сертификации (ЦС). Наиболее важный фактор для центра сертификации — это доверие. Если сертификат выдан доверенным центром сертификации, он является доверенным и может использоваться для проверки подлинности. Если центр сертификации не является доверенным, сертификаты, выданные этим ЦС, нельзя использовать для проверки подлинности.

Для получения сертификатов можно:

  • Создать собственный частный ЦС с помощью Windows Server. Сертификаты, выданные частным ЦС, автоматически становятся доверенными для клиентов и серверов Windows, присоединенных к домену. Однако сертификаты, выданные внутренним ЦС, не являются доверенными для устройств, не присоединенных к домену.
  • Приобрести сертификаты из общедоступного центра сертификации. Сертификаты, выданные общедоступным ЦС, автоматически становятся доверенными для всех устройств независимо от того, присоединены они к домену или нет. Windows не включает средства для автоматического развертывания сертификатов из общедоступного ЦС для пользователей или компьютеров.
  • Создать самозаверяющие сертификаты в некоторых приложениях. По умолчанию эти сертификаты являются доверенными только для сервера выдачи, а не для других компьютеров в организации.
  • Создать самозаверяющие сертификаты с помощью PowerShell. С помощью командлета New-SelfSignedCertificate можно создать новый самозаверяющий сертификат.

Примечание.

Самозаверяющие сертификаты можно использовать в малых и средних организациях, использующих DirectAccess, настроенный с помощью мастера начала работы, который обеспечивает простую установку и настройку.

Рекомендации по планированию PKI

Чтобы определить, следует ли реализовать внутренний PKI для удаленного доступа, необходимо спланировать, как вы будете использовать сертификаты. Если сертификаты используются только на нескольких серверах, стоимость использования общедоступного ЦС невысока. Сертификаты из общедоступного ЦС также могут оказаться полезными, если предполагается, что устройства, которые не присоединены к домену, будут получать доступ к серверам.

Частный ЦС пригодится, в основном, для удаленного доступа при выдаче сертификатов клиентским устройствам и отдельным пользователям для проверки подлинности. Например, обычно требуется действительный сертификат компьютера, чтобы разрешить доступ VPN в качестве второго уровня проверки подлинности, помимо имени пользователя и пароля. Если сертификаты выдаются нескольким компьютерам, то важна автоматическая регистрация, предоставляемая частным центром сертификации. Это также значительно сокращает затраты, поскольку вам не нужно платить за сертификаты, выданные частным центром сертификации.

В следующей таблице перечислены преимущества и недостатки сертификатов, выданных частными и общедоступными центрами сертификации.

Тип ЦС Достоинства Недостатки
Частный ЦС Частный ЦС обеспечивает больший контроль над управлением сертификатами и снижает затраты по сравнению с общедоступным центром сертификации. Плата за каждый сертификат не взимается. Вы также можете использовать настраиваемые шаблоны и автоматическую регистрацию. По умолчанию сертификаты от частных ЦС не являются доверенными для внешних клиентов (веб-браузеров и операционных систем) и нуждаются в более тщательном администрировании.
Общедоступный ЦС Сертификат от общедоступного ЦС является доверенным для многих внешних клиентов (веб-браузеров и операционных систем) и нуждается в минимальном администрировании. Стоимость выше по сравнению с частным центром сертификации. Оплачивается каждый сертификат. Получение сертификатов также требует больше времени.