Цифровые сертификаты позволяют построить надежную нфраструктуру организации. Этот способ защиты основан на криптографии с открытым ключом.
Сертификаты предоставляют клиентам гарантии, что те обращаются к нужным серверам — серверы идентифицируют себя путем предоставления сертификата.
Пользователь, подключаясь к серверу и получив от него сертификат, подписанный доверенным уполномоченным, может быть уверен, что это именно тот, нужный ему сервер.
Точно так же и сервер, к которому подключается клиент, «убеждается» в подлинности последнего путем проверки его сертификата.
Сертификаты составляют основу безопасного взаимодействия в Интернете и интрасетях.
Помимо высочайшей степени защиты они обеспечивают однократную регистрацию для доступа к ресурсам интрасетей.
Пользователю не надо помнить имя и пароль каждого узла: после однократной регистрации программа просмотра ресурсов будет предоставлять сертификат по мере доступа к новым узлам.
Очевидно, что при этом отпадает надобность поддерживать учетную базу на каждом сервере.
Давайте рассмотрим несколько примеров использования сертификатов.
1. Организация хочет предоставить своим нынешним и бывшим сотрудникам доступ к информации об их пенсионных накоплениях. Информация хранится на сервере Web.
В этом случае:
— все такие сотрудники получают сертификаты;
— доступ к пенсионной информации осуществляется либо через Интернет, либо по интрасети с использованием протокола SSL и предоставлением сертификата для аутентификации;
— при этом сотрудники имеют доступ к остальным Web-узлам компании без дополнительной регистрации.
2. Организация желает избирательно предоставить своим поставщикам информацию из корпоративной интрасети. В этом случае:
— для поставщиков назначается группа Windows 2000 с определенными правами доступа;
— сервер сертификации выдает поставщикам сертификаты, соотнесенные с учетной записью в Windows 2000;
— поставщик регистрируется в интрасетикорпорации и автоматически аутентифицируется программой просмотра при предоставлении сертификата;
— Web-сервер соотносит поставщика с его учетной записью и позволяет действовать строго в рамках предоставляемых ей полномочий.
3. Организация предоставляет посетителям услуги по подписке на свой Web-сервер. При этом:
— потенциальный пользователь заходит на Web-узел и заполняет регистрационную форму подписчика;
— входной модуль сервера сертификации обрабатывает запрос и выдает сертификат, а также заносит в корпоративную базу информацию о пользователе и правах, ему предоставленных;
— теперь пользователь может снова зайти на Web-узел, предоставить сертификат и, после аутентификации, воспользоваться подпиской;
— если пользователь больше не нуждается в подписке или использует ее не по назначению, администратор может отозвать сертификат пользователя и запретить доступ.
В Windows NT 2000 встроен сервер сертификатов Certificate Server, который может выдавать сертификаты в стандартных форматах (Х.509 версий 1 и 3), а также добавлять расширения по мере надобности.