Вадим Алджанов

ИТ-архитектура от А до Я: Комплексное решение. Первое издание


Скачать книгу

ИТ сервисом. Для публичных сервисов, таких, например, как веб сайт, используется инфраструктура внешних доверенных центров сертификации.

      Требования

      Можно сформулировать основные требования к сервису:

      •Высокая производительность

      •Высокая отказоустойчивость

      •Высокая масштабируемость

      •Низкая стоимость владения

      •Обслуживание порядка 1000 пользователей

      •Обслуживание порядка 1000 устройств

      Архитектура

      Центр сертификации строится на платформе Microsoft Windows 2016 Server Standard. Служба «Центр Сертификации» CA PKI. Сервис разворачивается в дата центре. Служба строится по классической «двух узловой» схеме.

      Сервер «Offline Root CA» физический сервер, не в домене, физически установлен в дата центре. Большую часть времени выключен. Его задача выдавать сертификаты для «Subordinate Issue CA».

      Сервера «Subordinate Domain Integrated Issue CA» кластер виртуальных серверов, располагается на виртуальных машинах, включены в домен. Их задача выдавать сертификаты для ресурсов домена, формирование шаблонов.

      Сервера «Online Certificate Service Responder» кластер виртуальных серверов, располагается на виртуальных машинах, включены в домен. Их задача проверять отозванные сертификаты и указывать на узлы центра сертификации. Может располагаться на серверах «Subordinate Domain Integrated Issue CA». Выделение их на отдельные машины и перенос в другой сегмент снижает трафик из внешней сети в сегмент серверов и повышает уровень безопасности. При наличии средств балансировки нагрузки можно обойтись без применения кластера.

      Возможности решения

      Возможности принятого решения:

      •Выдача сертификатов для компьютеров;

      •Выдача сертификатов для пользователей;

      •Выдача сертификатов для служб и программ;

      •Возможность автоматического получения (auto enrollment) и обновления сертификатов;

      Ограничения решения

      Ограничения, накладываемые данным решением:

      •Возможности автоматического получения (auto enrollment) и обновления сертификатов только для Windows систем, входящих в состав домена;

      Физическая архитектура

      Физическая архитектура представляет из себя:

      •ADCS-PDC-CA – Сервер «Offline Root CA» – физический сервер. Вычислительные ресурсы соответствуют виртуальной машине размера XS. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Сервер не входит в состав домена.

      •ADS-PDC-IS01 и ADCS-PDC-IS02 – Сервера «Issue Subordinate» – виртуальные машины. Вычислительные ресурсы соответствуют виртуальной машине размера S. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Является частью домена.

      •ADCS-PDC-OCSR01 и ADCS-PDC-OCSR02 – Сервера «OCSR Responder» – виртуальные машины. Вычислительные ресурсы соответствуют виртуальной машине размера S. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Является частью домена.

      Логическая архитектура

      Логическая архитектура представляет из себя ADCS-PDC-CA – Сервер «Offline Root CA» – сервер, расположенный в сегменте VLAN10 «T0 SERVERS». Роль сервера: Выделенный сервер с ролью «Certificate Authority» включенный по схеме «Offline Standalone». Предназначен для выдачи сертификатов для серверов выдачи сертификатов «Subordinate Issue CA»;

      ADCS-PDC-IS01