Какие меры безопасности следует соблюдать при настройке Центра сертификации на сервере Windows?

Некоторые меры безопасности, которые рекомендуется соблюдать при настройке Центра сертификации (ЦС) на сервере Windows:

• Использовать отдельный веб-сервер. learn.microsoft.com Безопаснее разместить веб-центры загрузки сертификатов и списки отзыва сертификатов на отдельном сервере, чем на сервере ЦС. learn.microsoft.com
• Не устанавливать службы IIS на сервер корневого ЦС. learn.microsoft.com По возможности не настраивать службы IIS на серверы выдающих и промежуточных ЦС. learn.microsoft.com
• Защитить учётные записи. learn.microsoft.com Для каждого сервера назначать разные пароли и имена учётных записей. learn.microsoft.com Переименовать учётные записи администратора и гостя в каждом домене и на каждом сервере, использовать длинные и сложные пароли. learn.microsoft.com
• Не настраивать службы на запуск в контексте безопасности учётной записи домена. learn.microsoft.com Имея физический доступ к серверу, пароли учётной записи домена можно легко получить. learn.microsoft.com
• Использовать аппаратные модули безопасности (HSM). video2.skills-academy.com Они предоставляют безопасное аппаратное хранилище ключей ЦС, а также выделенный криптографический процессор для ускорения операций подписывания и шифрования. video2.skills-academy.com
• Физически защищать ЦС и его закрытые ключи. video2.skills-academy.com

Также рекомендуется проводить аудит информационной безопасности всех шаблонов сертификатов для устранения известных недостатков конфигурации. rezbez.ru