Презентация на тему: Особенности служб сертификации в Windows Server 2008
Усовершенствования служб сертификации в Windows Server 2008 Усовершенствования служб сертификации в Windows Server 2008 Вопросы обновления и миграции Мониторинг Active Directory Certificate Services
Усовершенствования служб сертификации в Windows Server 2008 Усовершенствования служб сертификации в Windows Server 2008 Вопросы обновления и миграции Мониторинг Active Directory Certificate Services
Поддержка алгоритмов “Группы B” Поддержка алгоритмов “Группы B” Сервер сертификатов Регистрация клиентов Смарт-карты Online Responder Гибкость Настраиваемая реализация Настраиваемые алгоритмы
Приложению необходимо проверять статус сертификата Приложению необходимо проверять статус сертификата Закачка Списка отозванных сертификатов Certificate Revocation List (CRL) Проблема Большие файлы CRL Решение: Online Responder Реализация протокола OCSP (RFC 2560) Высокоскоростная проверка статуса по http Масштабируемая архитектура
Упрощенное развертывание Упрощенное развертывание Обновленный модуль установки Объединенные средства управления Server Manager Мониторинг Новые события и счетчики производительности Пакеты управления (Management Packs) System Center Operations Manager 2007 Microsoft Operations Manager 2005 Набор инструментов Enterprise PKI
Отказоустойчивость Центра Сертификации Отказоустойчивость Центра Сертификации CA поддерживает двухузловую кластеризацию в режиме активный / пассивный Ограничиваемые агенты Ограничение по пользователю / группе и / или шаблону Блокировки для смарт-карт Network Device Enrollment Service Может быть установлен на CA или отдельную машину Изменения на клиентской стороне Новый мастер выдачи сертификатов Изменения в веб-узле выдачи сертификатов
Усовершенствования служб сертификации в Windows Server 2008 Усовершенствования служб сертификации в Windows Server 2008 Вопросы обновления и миграции Мониторинг Active Directory Certificate Services
Что побуждает к обновлению? Что побуждает к обновлению? Функциональность / новые возможности Жизненный цикл оборудования Жизненный цикл ПО Варианты развертывания Обновление «на месте» Обновление и миграция на новое оборудование Сохранение инфраструктуры и добавление новых служб Windows Server 2008 Развертывание новой инфраструктуры CA
Определение миграции Определение миграции Перенос компонент CA с одного физического компьютера на другой Получаемое окружение не идентично исходному Причины Изменение оборудование (например, на 64-битное) Перенос с контроллера домена Перенос на кластер
Резервное копирование и экспорт компонент Центра Сертификации на хосте “A” Резервное копирование и экспорт компонент Центра Сертификации на хосте “A” Сертификат и ключ CA База данных CA Конфигурация (реестр, шаблоны) Установка CA на хост “B” Установка роли ADCS с использованием существующего сертификата CA Импорт базы данных Импорт / проверка настроек Сценарии с использованием аппаратного модуля безопасности (Hardware security module, HSM) Шаги по миграции дополнительных ключей
Полная резервная копия Полная резервная копия Первые шаги общей схемы Экспорт сертификата CA с ключом, копирование БД и конфигурации Установка роли ADCS на сервер с другим именем Используем сущ. сертификат Принимаем предупреждение об изменении в AD Импорт базы данных CA Проверка/обновление реестра CAServerName – обновление CRLPublicationURLs – проверка Проверка других элементов Обновление расширений CA Новый CA должен сохранить CRL для выданных сертификатов Добавить CDP для предыдущего имени
Установка нового DC, репликация Установка нового DC, репликация Полная резервная копия Первые шаги общей схемы Экспорт сертификата CA с ключом, копирование БД и конфигурации Удаление CA с исходного DC Демонтаж (dcpromo) и выключение старого DC Подготовка нового сервера с таким же именем как старый DC Завершение миграции Установка CA с сущ. сертификатом Импорт БД Запуск CA Модификации расширений CA не требуется
Усовершенствования служб сертификации в Windows Server 2008 Усовершенствования служб сертификации в Windows Server 2008 Вопросы обновления и миграции Мониторинг Active Directory Certificate Services
System Center Operations Manager 2007 System Center Operations Manager 2007 Microsoft Operations Manager 2005 Enterprise PKI Другие инструменты Выходной модуль SMTP Скрипты
Пакеты управления Пакеты управления MOM 2005 SCOM 2007 За Мониторинг роли Certificate Services События в Events Log и счетчики производительности Учетная запись агента с низким уровнем привилегий Против Реактивный мониторинг
Критичные ресурсы PKI не ограничиваются машиной со службой Certificate Services Критичные ресурсы PKI не ограничиваются машиной со службой Certificate Services CA-сертификаты / AIA-ссылки Certificate Revocation Lists / CDP-ссылки Служба OCSP За Проактивный мониторинг Обеспечивает целостную картину состояния PKI Против Интерактивность
http://blogs.technet.com/ashapo http://blogs.technet.com/ashapo Следите за анонсами http://www.microsoft.com/rus/technet
