tajemnice certyfikatów cz.2 – przypisanie klienta do konkretnego CA


takie pytanie na rozgrzewke: jesli jest kilka issuing CA w domenie, skad klient wie do którego sie zglosic?

podobne, ale troche trudniejsze: jak zmusic klienta do skorzystania z konkretnego CA?

scenariusz: duza korporacja, która posiada wiele oddzialów na calym swiecie. projekt PKI zaklada, zeby uzytkownicy dostawali certyfikaty z autoenrollmentu. lokalizacje polaczone sa ze soba róznymi laczami. chcemy zaprojektowac strukture tak, aby uzytkownicy z danej lokalizacji geograficznej dostawali certy z CA ‘gdzies w poblizu’. zdefiniowanie CA w Azji i powiedzenie ze ‘to w poblizu’ moze brzmiec troche smiesznie (; ale zalózmy ze podzial na kontynenty wystarczy.

najpierw wiec trzeba odpowiedziec na pytanie pierwsze – jak klient wybiera CA? po pierwsze w GPO definiuje sie wlasciwosci enrollmentu… w zasadzie to sie go po prostu wlacza. klient sprawdza w AD [zakladam scenariusz z pelna integracja z AD] szablony a nastepnie szuka CA, które dany szablon obsluguje. AFAIK – jest to losowy algorytm i jesli jeden serwer jest niedostepny, skorzysta z innego.

czas wiec na wiecej szczególów, które dadza odpowiedz na drugie pytanie. ukladanke trzeba zlozyc z kilku elementów:

  1. na kazdym CA publikuje sie szablony, które wydaje – np. jeden CA moze wydawac certyfikaty NAP a inny dla uzytkowników
  2. szablony maja zdefiniowane uprawnienia. m.in. jest tam uprawnienie ‘autoenroll’
  3. uprawnienia przypisuje sie grupom w AD

finalnie wiec nalezy:

  • zalozyc grupy dla regionów – np. ‘ASIA’, ‘EU’, ‘S_AMERICA’ itd.
  • utworzyc szablony dla uzytkowników i komputerów dla kazdego regionu – np. ‘ASIA Users’, ‘EU Users’… szablony moga byc niemal identyczne – poza nazwa i uprawnieniami
  • nalezy dla szablonów zdefiniowac adekwatne uprawnienia ‘autoenroll’ dla grup regionalnych
  • nalezy utworzyc issuing CA dla regionu i opublikowac na nim konkretny szablon.

jest tez drugi sposób, który jednak uwazam za ‘brudny’. ‘brudny’ bo przypomina raczej workaround niz rozwiazanie i posilkuje sie mechanizmem z zupelnie innej warstwy – sieciowej a nie aplikacyjnej. no i ma swoje skutki uboczne, które moga miec trudne do przewidzenia konsekwencje:

  • poniewaz klienci poszukuja pierwszego CA jaki odpowie, publikujacego dany szablon… wystarczy pomiedzy lokalizacjami blokowac ruch sieciowy do pozostalych CA.

eN.

 

autor: nExoR

Comments (0)

Skip to main content