none
CA Win 2008 RRS feed

  • Вопрос

  • Есть в домене 2 сервера с ролью CA один корневой второй для предприятия выдает сертификаты. ОС Win 2008 x86.

    Требуется построить какоето отказоустойчивое решение.

    Посоветуйте как сделать.

    19 августа 2013 г. 7:51

Ответы

  • От каких отказов вы хотите защититься? Опишите сценарий использования сертификатов.

    Потому что в большинстве сценариев временная недоступность CA не влечет серьезных последствий.

    Если вы не используете протокол OCSP для быстрой проверки отзыва сертификатов, а списки отзыва хранятся в AD и все клиенты их получают оттуда, то отказ CA скажется на работоспособности сети только когда истечет срок действия используемых сертификатов и списка отзыва - обычно это более чем достаточное время, чтобы восстнаовить CA из резервной копии (и даже приобрести новое оборудование взамен отказавшего).

    Или вы часто запрашиваете сертификаты? Тогда можно сделать еще один выпускающий CA - при недоступности одного запросы будет удовлетворять второй. А еще, при наличии необходимого оборудования, можно установить выпускающий CA в отказоустойчивом кластере (см. например http://technet.microsoft.com/en-us/library/cc742450(v=WS.10).aspx ).

    Корневой CA отказоустойчивости практически не требует, часто он вообще по соображениям безопасности находится в офлайне (вплоть до того, что в виде экспортированной VM на съемном ностиеле лежит в сейфе),и запускается только при необходимости установить новый выпускающий CA или обновить свой список отзыва (который вполне может иметь весьма большой срок действия - год, два).


    Слава России!



    19 августа 2013 г. 13:16