Взаимная сертификация сервера с сервером в другой организации
Предположим, что сервер с именем Server/Company_A из компании А должен иметь доступ к серверу с именем Server/Company_В
в компании B (для репликации баз или передачи почты). Рассмотрим те действия, которые нужно выполнить, чтобы оба сервера могли устанавливать подлинность друг друга.
1. Администратор сервера из компании A должен сделать безопасную копию ID-файла Server/Company_A и передать ее сертификатору (обычно он же и администратор сервера) в компании B. Для создания безопасной копии выполняется такая последовательность действий: меню File - Tools - User ID - закладка More Options - кнопка Create Safe Copy. Чтобы случайно не перепутать ID-файл, с которого создается безопасная копия, администраторы предпочитают последовательность действий: меню File - Tools - Server Administration - Administration - ID File… - выбор нужного ID-файла
- закладка More Options -
кнопка Create Safe Copy. Для сокращения риска повреждения ID-файла сервера желательно делать это, когда сервер остановлен. Если имеется другая копия ID-файла сервера, можно создать безопасную копию с нее. А еще лучше сделать безопасную копию ID-файла сервера один раз и многократно использовать в последующем.
2. Сертификатор или администратор сервера в компании B получает безопасную копию и должен создать взаимный сертификат для Server/Company_A. Для этого он должен выполнить последовательность действий:
в меню File - Tools - Server Administration - кнопка Certify - в ее меню Cross Certify ID File.
Будет получено диалоговое окно Choose Certifier ID для выбора ID-файла субъекта, от имени которого будет создаваться взаимный сертификат. В качестве него может быть выбран ID-файл сервера Server/Company_B или ID-файл сертификатора /Company_B. Если бы имя сервера из компании B было Server/Sales/Company_В, тогда в качестве него мог быть выбран ID-файл сервера Server/Sales/Company_В или ID-файлы сертификаторов /Sales/Company_В или /Company_В. Предположим, администратор выбрал ID-файл сертификатора /Company_B. Последует запрос пароля для выбранного ID-файла.
Затем появится диалоговое окно Choose ID to Certify для выбора ID-файла, для которого выпускается взаимный сертификат. Здесь должна быть выбрана безопасная копия, полученная из компании A.
После этого появляется диалоговое окно Cross Certify ID.
Рис. 8.30 Администратор из компании В, используя ID сертификатора /Company_B, выпускает взаимный сертификат для сервера Server/Company_A
В нем в поле Subject name: администратор может конкретизировать имя, для которого выпускается взаимный сертификат. В данном случае сертификат может быть выпущен как для Server/Company_B, так и для его предка /Company_B. Предположим, администратор выбрал Server/Company_B.
Кнопка Server используется для выбора сервера, в адресной книге которого будет создан взаимный сертификат - документ Cross Certificate. Кнопка Certifier позволяет при необходимости сменить ID-файл субъекта, от имени которого выпускается взаимный сертификат. Наконец нажимается кнопка Cross-certify...
В результате в адресную книгу сервера Server/Company_B будет добавлен документ формы Cross Certificate, выпущенный от имени /Company_B для Server/Company_A.
Рис. 8.31 Взаимный сертификат в адресной книге сервера Server/Company_B от имени /Company_B для Server/Company_A
Мы "прошли" только половину пути по процессу взаимной сертификации! Если Server/Company_A на этом этапе попробует получить доступ к Server/Company_B, на его консоли появится сообщение об ошибке "Your Address Book does not contain any cross certificates capable of authenticating the server"
- "ваша адресная книга не содержит взаимных сертификатов, способных подтвердить сервер".
3. Теперь администратору из компании В следует сделать "безопасную копию" ID-файла Server/Company_B и передать этот файл администратору сервера или сертификатору из компании А.
4. Администратор компании A, получив безопасную копию из компании В, может использовать ID-файл сервера Server/Company_A
или ID-файл сертификатора /Company_A, чтобы создать взаимный сертификат для Server/Company_B
или /Company_B. Он повторяет действия, рассмотренные в шаге 2, но с другими ID-файлами. Предположим, он выбрал ID-файл сертификатора /Company_A и выпускает сертификат для имени Server/Company_B. В результате в адресной книге на сервере в компании А появится документ формы Cross Certificate, выпущенный от имени /Company_A
для Server/Company_B.
Рис. 8.32 Взаимный сертификат в адресной книге сервера Server/Company_A от имени /Company_A для Server/Company_B
Процесс взаимной сертификации завершен. Server/Company_A и Server/Company_B теперь могут устанавливать подлинность друг друга.
При этом никакие другие серверы из компании A, например, Server2/Company_A, не смогут получать доступ к Server/Company_B. Так будет происходить потому, что в адресной книге компании В имеется взаимный сертификат только для Server/Company_A. И наоборот, никакие другие серверы из компании B
не смогут получать доступ к Server/Company_A.