Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Особенности служб сертификации в Windows Server 2008

Содержание

СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services
Особенности служб сертификации в Windows Server 2008Александр ШаповалMicrosoft СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services Windows Server 2008  Расширения служб сертификации Active Directory Certificate ServicesServer RoleOnline Криптография  Crypto Next Generation (CNG)Поддержка алгоритмов   “Группы B”Сервер сертификатовРегистрация Отзыв  Windows Server 2008 Online ResponderПриложению необходимо проверять статус сертификата Закачка Управляемость Упрощенное развертывание Обновленный модуль установки Объединенные средства управления Server ManagerМониторинг Новые Другие усовершенствования  Отказоустойчивость Центра СертификацииCA поддерживает двухузловую кластеризацию в режиме активный СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services Планирование обновления  Основные факторы Что побуждает к обновлению?Функциональность / новые возможности Поддерживаемые варианты Миграция  Миграция с одной машины на …Определение миграции Перенос компонент CA Стандартная миграция   Наиболее общие шаги Резервное копирование и экспорт компонент Поддерживаемые варианты XXI CN=CDP-CN=corphost01--CN=My Corp CA---certificateRevocationListCN=AIA-CN=My Corp CA--cACertificateПример  Миграция CA на машину с другим Пример  Перенос с контроллера домена Установка нового DC, репликация Полная резервная СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services Инструменты мониторинга System Center Operations Manager 2007Microsoft Operations Manager 2005Enterprise PKIДругие инструменты Выходной модуль SMTPСкрипты Operations Manager Мониторинг здоровья Certificate ServicesПакеты управления MOM 2005SCOM 2007За Мониторинг роли Enterprise PKI Мониторинг элементов, не входящих в CAКритичные ресурсы PKI не ограничиваются Вопросыhttp://blogs.technet.com/ashapoСледите за анонсами http://www.microsoft.com/rus/technet © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and
Слайды презентации

Слайд 2 Содержание
Усовершенствования служб сертификации в Windows Server 2008
Вопросы обновления

СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services

и миграции
Мониторинг Active Directory Certificate Services


Слайд 3 Содержание
Усовершенствования служб сертификации в Windows Server 2008
Вопросы обновления

СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services

и миграции
Мониторинг Active Directory Certificate Services


Слайд 4 Windows Server 2008 Расширения служб сертификации
Active Directory Certificate

Windows Server 2008 Расширения служб сертификации Active Directory Certificate ServicesServer RoleOnline

Services
Server Role
Online Responder (OCSP)
Certification Authority
Network Device Enrollment Service
Certification Authority

Web Enrollment

Слайд 5 Криптография Crypto Next Generation (CNG)
Поддержка алгоритмов

Криптография Crypto Next Generation (CNG)Поддержка алгоритмов  “Группы B”Сервер сертификатовРегистрация клиентовСмарт-картыOnline

“Группы B”
Сервер сертификатов
Регистрация клиентов
Смарт-карты
Online Responder
Гибкость
Настраиваемая реализация
Настраиваемые алгоритмы
Реализация


Криптография эллиптических кривых (ECC)
ECDSA_P256, ECDSA_P384,
ECDSA_P521
ECDH_P256, ECDH_P384,
ECDH_P521
Хэш-алгоритмы: SHA2
SHA256, SHA384, SHA512
Симметричные алгоритмы: AES
AES128, AES192, AES256

Слайд 6 Отзыв Windows Server 2008 Online Responder
Приложению необходимо проверять

Отзыв Windows Server 2008 Online ResponderПриложению необходимо проверять статус сертификата Закачка

статус сертификата
Закачка Списка отозванных сертификатов Certificate Revocation List

(CRL)

Проблема
Большие файлы CRL

Решение: Online Responder
Реализация протокола OCSP (RFC 2560)
Высокоскоростная проверка статуса по http
Масштабируемая архитектура

Слайд 7 Управляемость
Упрощенное развертывание
Обновленный модуль установки
Объединенные средства

Управляемость Упрощенное развертывание Обновленный модуль установки Объединенные средства управления Server ManagerМониторинг

управления
Server Manager
Мониторинг
Новые события и счетчики производительности
Пакеты управления

(Management Packs)
System Center Operations Manager 2007
Microsoft Operations Manager 2005
Набор инструментов Enterprise PKI

Слайд 8 Другие усовершенствования
Отказоустойчивость Центра Сертификации
CA поддерживает двухузловую кластеризацию

Другие усовершенствования Отказоустойчивость Центра СертификацииCA поддерживает двухузловую кластеризацию в режиме активный

в режиме активный / пассивный
Ограничиваемые агенты
Ограничение по пользователю

/ группе и / или шаблону
Блокировки для смарт-карт
Network Device Enrollment Service
Может быть установлен на CA или отдельную машину
Изменения на клиентской стороне
Новый мастер выдачи сертификатов
Изменения в веб-узле выдачи сертификатов

Слайд 9 Содержание
Усовершенствования служб сертификации в Windows Server 2008
Вопросы обновления

СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services

и миграции
Мониторинг Active Directory Certificate Services


Слайд 10 Планирование обновления Основные факторы
Что побуждает к обновлению?
Функциональность

Планирование обновления Основные факторы Что побуждает к обновлению?Функциональность / новые возможности

/ новые возможности
Жизненный цикл оборудования
Жизненный цикл ПО



Варианты развертывания
Обновление «на месте»
Обновление и миграция на новое оборудование
Сохранение инфраструктуры и добавление новых служб Windows Server 2008
Развертывание новой инфраструктуры CA


Слайд 11 Поддерживаемые варианты

Поддерживаемые варианты

Слайд 12 Миграция Миграция с одной машины на …
Определение миграции

Миграция Миграция с одной машины на …Определение миграции Перенос компонент CA


Перенос компонент CA с одного физического компьютера на другой


Получаемое окружение не идентично исходному

Причины
Изменение оборудование (например, на 64-битное)
Перенос с контроллера домена
Перенос на кластер

Слайд 13 Стандартная миграция Наиболее общие шаги
Резервное копирование

Стандартная миграция  Наиболее общие шаги Резервное копирование и экспорт компонент

и экспорт компонент Центра Сертификации на хосте “A”
Сертификат и

ключ CA
База данных CA
Конфигурация (реестр, шаблоны)
Установка CA на хост “B”
Установка роли ADCS с использованием существующего сертификата CA
Импорт базы данных
Импорт / проверка настроек
Сценарии с использованием аппаратного модуля безопасности (Hardware security module, HSM)
Шаги по миграции дополнительных ключей

Слайд 14 Поддерживаемые варианты
X
X
I

Поддерживаемые варианты XXI

Слайд 15 CN=CDP
-CN=corphost01
--CN=My Corp CA
---certificateRevocationList




CN=AIA
-CN=My Corp CA
--cACertificate
Пример Миграция CA на

CN=CDP-CN=corphost01--CN=My Corp CA---certificateRevocationListCN=AIA-CN=My Corp CA--cACertificateПример Миграция CA на машину с другим

машину с другим именем
Полная резервная копия
Первые шаги

общей схемы
Экспорт сертификата CA с ключом, копирование БД и конфигурации
Установка роли ADCS на сервер с другим именем
Используем сущ. сертификат
Принимаем предупреждение об изменении в AD
Импорт базы данных CA
Проверка/обновление реестра
CAServerName – обновление
CRLPublicationURLs – проверка
Проверка других элементов
Обновление расширений CA
Новый CA должен сохранить CRL для выданных сертификатов
Добавить CDP для предыдущего имени

Active Directory

CN=CDP
-CN=corphost01
--CN=My Corp CA
---certificateRevocationList
-CN=x64corphost
--CN=My Corp CA
---certificateRevocationList

CN=AIA
-CN=My Corp CA
--cACertificate

CA name “My Corp CA”
on
corphost01

new host
x64corphost

“My Corp CA” on


Слайд 16 Пример Перенос с контроллера домена
Установка нового DC,

Пример Перенос с контроллера домена Установка нового DC, репликация Полная резервная

репликация
Полная резервная копия
Первые шаги общей схемы
Экспорт

сертификата CA с ключом, копирование БД и конфигурации
Удаление CA с исходного DC
Демонтаж (dcpromo) и выключение старого DC
Подготовка нового сервера с таким же именем как старый DC
Завершение миграции
Установка CA с сущ. сертификатом
Импорт БД
Запуск CA
Модификации расширений CA не требуется

Domain Controller on newDC01

Domain Controller on corphost01

CA “My Corp CA”
on
corphost01

new host
corphost01

“My Corp CA” on


Слайд 17 Содержание
Усовершенствования служб сертификации в Windows Server 2008
Вопросы обновления

СодержаниеУсовершенствования служб сертификации в Windows Server 2008Вопросы обновления и миграции Мониторинг Active Directory Certificate Services

и миграции
Мониторинг Active Directory Certificate Services


Слайд 18 Инструменты мониторинга
System Center Operations Manager 2007

Microsoft Operations

Инструменты мониторинга System Center Operations Manager 2007Microsoft Operations Manager 2005Enterprise PKIДругие инструменты Выходной модуль SMTPСкрипты

Manager 2005

Enterprise PKI

Другие инструменты
Выходной модуль SMTP
Скрипты


Слайд 19 Operations Manager Мониторинг здоровья Certificate Services
Пакеты управления
MOM 2005
SCOM

Operations Manager Мониторинг здоровья Certificate ServicesПакеты управления MOM 2005SCOM 2007За Мониторинг

2007
За
Мониторинг роли Certificate Services
События в Events Log и

счетчики производительности
Учетная запись агента с низким уровнем привилегий
Против
Реактивный мониторинг

Слайд 20 Enterprise PKI Мониторинг элементов, не входящих в CA
Критичные ресурсы

Enterprise PKI Мониторинг элементов, не входящих в CAКритичные ресурсы PKI не

PKI не ограничиваются машиной со службой Certificate Services
CA-сертификаты /

AIA-ссылки
Certificate Revocation Lists / CDP-ссылки
Служба OCSP
За
Проактивный мониторинг
Обеспечивает целостную картину состояния PKI
Против
Интерактивность



Слайд 21 Вопросы
http://blogs.technet.com/ashapo

Следите за анонсами
http://www.microsoft.com/rus/technet

Вопросыhttp://blogs.technet.com/ashapoСледите за анонсами http://www.microsoft.com/rus/technet

  • Имя файла: osobennosti-sluzhb-sertifikatsii-v-windows-server-2008.pptx
  • Количество просмотров: 129
  • Количество скачиваний: 0
Следующая - Вводные слова