ИТ-архитектура от А до Я: Комплексное решение. Первое издание - стр. 45

Сервера «Subordinate Domain Integrated Issue CA» кластер виртуальных серверов, располагается на виртуальных машинах, включены в домен. Их задача выдавать сертификаты для ресурсов домена, формирование шаблонов.

Сервера «Online Certificate Service Responder» кластер виртуальных серверов, располагается на виртуальных машинах, включены в домен. Их задача проверять отозванные сертификаты и указывать на узлы центра сертификации. Может располагаться на серверах «Subordinate Domain Integrated Issue CA». Выделение их на отдельные машины и перенос в другой сегмент снижает трафик из внешней сети в сегмент серверов и повышает уровень безопасности. При наличии средств балансировки нагрузки можно обойтись без применения кластера.

Возможности решения

Возможности принятого решения:

•Выдача сертификатов для компьютеров;

•Выдача сертификатов для пользователей;

•Выдача сертификатов для служб и программ;

•Возможность автоматического получения (auto enrollment) и обновления сертификатов;

Ограничения решения

Ограничения, накладываемые данным решением:

•Возможности автоматического получения (auto enrollment) и обновления сертификатов только для Windows систем, входящих в состав домена;

Физическая архитектура

Физическая архитектура представляет из себя:

•ADCS-PDC-CA – Сервер «Offline Root CA» – физический сервер. Вычислительные ресурсы соответствуют виртуальной машине размера XS. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Сервер не входит в состав домена.

•ADS-PDC-IS01 и ADCS-PDC-IS02 – Сервера «Issue Subordinate» – виртуальные машины. Вычислительные ресурсы соответствуют виртуальной машине размера S. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Является частью домена.

•ADCS-PDC-OCSR01 и ADCS-PDC-OCSR02 – Сервера «OCSR Responder» – виртуальные машины. Вычислительные ресурсы соответствуют виртуальной машине размера S. Операционная система сервера Windows 2016 Standard 64 бит с установленным GUI. Является частью домена.

Логическая архитектура

Логическая архитектура представляет из себя ADCS-PDC-CA – Сервер «Offline Root CA» – сервер, расположенный в сегменте VLAN10 «T0 SERVERS». Роль сервера: Выделенный сервер с ролью «Certificate Authority» включенный по схеме «Offline Standalone». Предназначен для выдачи сертификатов для серверов выдачи сертификатов «Subordinate Issue CA»;

ADCS-PDC-IS01 и ADCS-PDC-IS02 – Сервера выдачи сертификатов «Subordinate Domain Integrated Issue CA» – сервера располагаются в сегменте VLAN20 «T1 SERVERS». Роль серверов: Выделенный сервер с ролью «Subordinate Issue Certificate Authority» включенный по схеме «Enterprise». Сервера собраны в кластер. Предназначен для выдачи сертификатов конечным устройствам и пользователям;

ADCS-PDC-OCSR01 и ADCS-PDC-OCSR02 – Сервера проверки сертификатов «OCSR Responder» – сервера располагаются в сегменте VLAN40 «DMZ». Роль серверов: Выделенный сервер с ролью «OCSR Responder». Предназначен для указания на источник (AIA) и проверки отозванных сертификатов (CRL) конечными устройствами и пользователям;

Лицензирование

Лицензирование сервиса включает в себя лицензирование серверных операционных систем (Windows 2016 Server Standard) и клиентского доступа на пользователя (Windows CAL USER) и устройство (Windows CAL DEV). Не требуют лицензирования встроенная служба центра сертификации (ADCS).