简介
对于当今的任何一个组织来说,在 Internet、Extranet、Intranet 上和在应用程序之间交换未保护信息都会产生潜在的安全风险。它们所面临的挑战是防止未授权的第三方监听在 Internet 上传输的信息、伪装成获得授权的人员或干扰组织开展业务的能力。
本文提供的分步向导可助您在运行 Microsoft® Windows Server™ 2003 操作系统的网络上建立一个公共密钥证书颁发机构 (CA)。可以在运行 Microsoft® Windows Server™ 2003, Standard Edition、Microsoft® Windows Server™ 2003, Enterprise Edition 或者 Microsoft® Windows Server™ 2003, Datacenter Edition 的服务器上安装 CA。
CA 是一项在公钥基础结构 (PKI) 中用于颁发和管理电子凭据或证书的服务。公钥基础结构 (PKI) 由数字证书、CA 和其他可通过公钥加密对电子交易中的各方进行授权有效性验证的注册机构 (RA) 组成。有关 PKI 的标准目前还在进一步发展中,但是作为电子商务中的一个必要元素目前正在被广泛应用。许多政府代理机构和私人团体都已经公布了他们自己的 PKI 标准。在执行一个 PKI 体系之前,应向律师咨询以确保该体系不违反所有相关的本地、州、联邦政府和国际法律法规。
Windows Server 2003 PKI 可以与 Microsoft® Windows® XP Professional 的客户端集成在一起,它有助于组织及其雇员、合作伙伴、供应商和客户之间的通信安全。运行 Windows Server 2003 证书服务的服务器可将公钥颁发给个人、设备或服务。证书持有者 PKI 可采用应用激活软件和激活技术来启用中心管理的身份验证,以确保数据机密性和数据交换的安全性。Windows Server 2003 本身支持 PKI 激活技术,这提供了下列技术及与之相关的商业利益的基础:
| • |
数字签名。它建立了非拒绝机制,即可保证发送者的真实性的能力。
|
| • |
智能卡应用。为智能卡登录提供双因子验证。双因子验证需要用户提供一个物理对象(智能卡,它含有一个存有数字证书和用户私人密钥的芯片)外加一个口令或 PIN 才能访问网络资源。
|
| • |
安全电子邮件。类似于安全/多用途 Internet 邮件扩展 (S/MIME) 的服务可以为电子邮件供保密通信功能,数据完整性和非认可机制。
|
| • |
软件代码签名 Authenticode® 技术使软件发行者能够对任何形式的活动内容进行数字签名,包括多文件文档。这些签名可以用来验证内容发行者的身份和下载时内容的完整性。
|
| • |
Internet 协议安全 (IPSec) 该协议允许对两台计算机之间或公共网络上一台计算机和一个路由器之间的通信进行加密和数字签名。
|
| • |
802.11 协议可提供集中的用户标识,身份验证、动态密钥管理和用于接入 802 无线网络和无线以太网的帐户验证。
|
| • |
文件系统加密支持文件和文件夹的加密和解密。
|
| • |
使用安全套接字层 (SSL) 或传输层安全性 (TLS) 来保证 Web 连接的安全性这些协议通过类似 Internet 的公共网络上的安全通信信道提供服务器和客户端验证。类似于无线传输层安全性 (WTLS) 的无线通信协议版本可用于加强无线网络的安全性。
|
此外,在有 Windows Server 2003 PKI 的情况下,还可以利用它将证书服务和 Active Directory® 目录服务和组策略集成在一起。在 Active Directory 环境下,Windows Server 2003 CA 可以使用“证书模板”来控制所颁发证书的内容,其中“证书模板”由 Active Directory 颁发。证书模板可以定义证书中的信息,并将证书中的技术细节更透明地传递给用户,从而达到简化 CA 使用和管理的目的。根据组织的需要,可以使用单一用途模板,这种模板可以针对特定应用生成证书;也可以使用多用途模板,这种模板可以为多种应用生成证书,甚至可以根据自定义需要生成新的证书模板。
本文档所提供的指导内容包括如何建立企业根 CA、如何使用证书模板来启用客户端自动注册功能、以及如何为无线用户创建自动注册功能。特别地,可以通过它学习如何进行如下操作:
| • |
安装和配置企业根 CA。
|
| • |
验证 CA 安装。
|
| • |
安装证书模板。
|
| • |
创建自定义证书模板。
|
| • |
为客户端自动注册配置证书模板。
|
| • |
为默认证书模板授予注册权。
|
| • |
将 CA 配置为基于证书模板颁发证书。
|
| • |
为无线用户建立自动注册功能。
|
要点:本文档中的屏幕拍图所示为测试环境,其信息可能与屏幕上显示的信息有差别。
在完成这些步骤之后,网络将会含有企业根 CA,同时可以通过证书模板管理单元访问所有可用的证书模板。此外,客户端自动注册功能在验证过程中会要求无线用户使用数字证书,这可以加强无线用户的验证过程。自动注册功能可以使用户几乎无需理会此要求,原因使此功能使他们能够自动请求证书,重新检索颁发证书和更新到期证书。可以通过扩展 PKI 的应用来放宽 Windows Server 2003 PKI 为网络所提供的保护,以支持其他应用,比如前面提到过的数字签名、IPSec 等。
要点:该文档中所含的指导步骤都是从安装操作系统时的默认情况下显示的“开始”菜单开始的。如果您修改过“开始”菜单,则上述步骤可能稍有不同。
准备工作
本节讲述了一个企业 CA 的安装要求。在安装 CA 之前必须满足所有安装要求,如果达不到这些要求,会导致安装失败或 CA 功能受限。
此文档中的说明假定有一个还没有进行配置的 PKI 系统。但该文档中所讲的解决方案并不能为附加 Microsoft CA 服务与现有 PKI 的集成提供指南。
IT 基础设施的先决条件
您的组织必须配有下列 IT 基础设施:
| • |
已配置的 Active Directory 域结构(带 Service Pack 3 (SP3) 的 Microsoft® Windows® 2000 Server 或更高版本,或 Windows Server 2003)。该解决方案中证书服务的所有用户应该是同一个 Active Directory 林内的域的成员。这种部署假定使用的是 Windows Server 2003 Active Directory 计划扩展。
|
| • |
服务器硬件要足以运行 Windows Server 2003 证书服务。“Suggested Hardware Specification for Enterprise Root CA Server”表中提供了一个推荐配置。
|
| • |
Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的授权协议,安装媒体和产品密钥。
下面表格给出了在运行 Windows Server 2003, Standard Edition 的服务器上可进行的操作,和在运行 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上所要求的操作。
|
每一步操作中所需的 Windows Server 2003 操作系统的版本
| 步骤 | Windows Server 2003 操作系统 |
|
安装和配置企业根 CA。
|
Standard Edition
|
|
验证 CA 安装。
|
Standard Edition
|
|
安装证书模板。
|
Standard Edition
|
|
创建自定义证书模板。
|
Enterprise Edition 或 Datacenter Edition
|
|
为客户端自动注册功能配置证书模板。
|
Enterprise Edition 或 Datacenter Edition
|
|
为默认证书模板授予注册权。
|
Standard Edition
|
|
配置 CA 以颁发基于证书模板的证书。
|
如果需要版本 2 的证书模板则是企业版,否则就是标准版。否则,为 Standard Edition
|
|
为无线用户建立自动注册功能。
|
Enterprise Edition
|
企业 CA 要求
要使用 Windows Server 2003 有效安装企业 CA,必须进行如下操作:
| • |
将 Windows Server 2003 Domain Name Service (DNS) 安装在网络 DNS 服务器上。
|
| • |
将 Windows Server 2003 Active Directory 安装在网络的域控制器上。将企业策略信息输入到 Active Directory 内。
|
| • |
将企业根 CA 所在主机连接到 Active Directory 域上。
|
| • |
在 DNS、Active Directory 和 CA 服务器上配置有企业管理员特权。这一点尤其重要,原因是安装程序要在不止一个地方修改信息,其中有些需要管理员特权。
|
企业根 CA 只需要一个服务器就可以创建。
下表在 Windows Server 2003 建议的基础上给出了企业根 CA 服务器的推荐硬件配置。但是如果硬件在有些方面符合
Build Guide 2-Implementing the Public Key Infrastructure(英文)中略述的标准,则不必再购买新的硬件。若要了解 Microsoft Server 2003 企业根 CA 推荐硬件配置的更多信息,可在 TechNet 网站
[url]http://go.microsoft.com/fwlink/?LinkId=22696[/url] 上参考“创建指南 2 - 公钥基础结构的实施”。
企业根 CA 服务器的推荐硬件配置
| 项目 | 要求 |
|
CPU
|
单 CPU,733 MHz 或更高
|
|
内存
|
256 MB
|
|
硬盘空间
|
IDE (集成电路设备)或 SCSI (小型计算机系统接口),RAID (独立硬盘冗余阵列)控制器。2 x 18 GB (SCSI) 或 2 x 20 GB (IDE) 配置为 RAID 卷 1(驱动器 C)。
本地可拆卸存储设备(用于备份的 CD-RW 或磁带)和用于数据转移的 1.44-MB 磁盘驱动器。 |
选择要用的 CA 类型
有些组织使用外部商业 CA,而其他组织都使用自己的 CA。由于 CA 是一个组织中最重要的信任点,因此大多数组织都有自己的 CA。本文档假定的组织使用自己的 CA。
Windows Server 2003 提供两种级别的 CA,一个是“企业”CA,另一个是“独立”CA,选择哪一种取决于安装过程中使用的策略模块。策略模块决定了 CA 收到证书请求时所进行的操作。
通常,如果组织为 Windows Server 2003 域的一部分,若对此组织内部的用户或计算机颁发证书,应安装企业 CA。如果组织为 Windows Server 2003 域的一部分,若对此组织外部的用户或计算机颁发证书,应安装独立 CA。
企业 CA 要求所有请求证书的客户端在 Active Directory 中都有一个条目,而独立 CA 不需要。此外,在颁发用于登录 Windows Server 2003 域的证书时,企业 CA 比独立 CA 更简便。
在企业 CA 和 独立 CA 级别内部,有两种类型的 CA,一个是“根”CA,另一个是“从属”CA。根 CA 是组织信任的根基。在必要的情况下,根 CA 证书可通过启用从属 CA 来实施策略和向终端用户颁发证书。本文档将向您展示如何安装和配置没有从属 CA 的企业根 CA。
若要了解企业 CA、独立 CA、根 CA、从属 CA 和密钥 PKI 设计决策的更多信息,请在 TechNet 网站上参考
MSA Enterprise Design for Certificate Services 的“Determining CA Roles & Types”(英文)主题,其位置是
[url]http://go.microsoft.com/fwlink/?LinkId=22671[/url]。
开始之前需了解内容
| • |
Windows Server 2003 中的证书服务提供了一组 CA Web 页面。这些 Web 页面允许您通过 Web 浏览器与 CA 建立连接并执行普通任务,比如向 CA 发出证书请求、请求 CA 证书、提交证书请求、检索 CA 证书吊销列表 (CRL),或执行智能卡证书注册操作。对于独立 CA,Web 页面是证书请求者与 CA 之间的主要接口方式,原因是证书管理单元不能用于从独立 CA 请求证书。企业 CA 可通过证书管理单元或 Web 注册页面接受证书请求。
|
| • |
CA 的 Web 接口需要运行 Active Server Pages。在开始工作之前,可通过 Internet 信息服务 (IIS) 启用 Active Server Pages,否则系统会提示您激活它们。
|
| • |
选择 CA 有效期将决定 CA 证书何时到期或何时需要续订。在低安全性环境下,可以采用较长的有效期和续订期。在高安全性环境下,通常采用较短的有效期和续订期。
|
| • |
CA 服务器是组织中最敏感的服务器之一。因此在部署期间和每天的操作期间都必须做好高度的安全计划。要对 CA 进行物理访问限制,只允许最可信员工管理此服务器。此外,务必完成 Security Guidance Kit 中文档“Securing Windows Server 2003 Domain Controllers”(英文)提到的步骤,以确保安装 CA 服务器的安全。
|
CA 部署之后哪些内容不能更改
| • |
在安装时需提交的一些基本信息(比如 CA 名称),在 CA 安装完成之后不能再更改。
|
| • |
在安装证书颁发机构之后,不能更改计算机的域设置,比如:加入一个域或将服务器提升为域控制器。
|
| • |
如果以企业管理员或委派用户的身份安装企业 CA,则在卸载企业 CA 时必须使用企业管理员或委派用户的帐户。
|
安装和配置企业根 CA
证书服务根的安装过程会生成一个根 CA 证书,该证书中含有 CA 的公钥和由根的私钥所创建的数字签名。本节提供了有关建立企业根 CA、使用证书模板启用客户端自动注册和建立自动注册的分步指导信息。
| • |
安装和配置企业根 CA。
|
| • |
验证 CA 安装。
|
| • |
安装证书模板。
|
| • |
创建自定义证书模板。
|
| • |
为客户端自动注册配置证书模板。
|
| • |
为默认证书模板授予注册权。
|
| • |
将 CA 配置为基于证书模板颁发证书。
|
安装和配置企业根 CA
现在需要以企业管理员的身份登录,例如以 Enterprise Admins 组和根域的 Domain Admins 组的成员帐户登录。
要求
| • |
凭据:必须以 Enterprise Admins 组和根域的 Domain Admins 组的成员帐户登录。
|
| • |
工具:Windows 组件向导。
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
安装和配置企业根 CA
|
安装 CA 后,请将证书模板添加到 CA 中,并对 CA 进行配置以允许主题能够请求基于模板的证书。
注意:如果自己建议或者计划采用指南中的建议来加强组织内域控制器的安全性,需要修改域的组策略设置以启用证书服务。若要了解完成此项任务的更多信息,请在 Security Guidance Kit 中参考文档“Securing Windows Server 2003 Domain Controllers”(英文)。
验证 CA 安装
验证 CA 安装是否成功的最简单的方法是输入
net start ,看 CA 是否运行。
如要进一步验证或要处理中间出现的故障错误,还可以在
systemroot\certocm.log 中查看 CA 安装日志。
还可以采用以下的步骤
要求
| • |
凭据:必须以 Enterprise Admins 组和本地管理员组的成员帐户在运行 CA 的计算机上登录。
|
| • |
工具:CA 管理单元。
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
验证根 CA 已正确安装
|
安装证书模板
该步骤将向您演示如何安装和查看默认证书模板。若要了解每个默认证书模板的说明,请在 TechNet 网站上参考
Implementing and Administering Certificate Templates in Windows Server 2003 的“Default Templates”(英文)主题,其位置是
[url]http://go.microsoft.com/fwlink/?LinkId=22669[/url]。
要求
| • |
凭据:必须以 Enterprise Admins 组和根域的 Domain Admins 组的成员帐户登录。
|
| • |
工具:证书模板 (certtmpl.msc)
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
安装和查看默认证书模板。
|
创建自定义证书模板
证书模板允许对证书服务所颁发的证书(包括证书的颁发方式和所含内容)进行自定义。证书模板是对传入的证书请求所应用的一组规则和设置。
可通过复制现有模板或使用现有模板属性作为新模板的默认属性,来创建新的证书模板。通过复制与所需要的新模板最接近的现有证书模板,可以大幅减少工作量。
要求
| • |
凭据:必须以 Enterprise Admins 组的成员帐户登录。
|
| • |
工具:证书模板 (certtmpl.msc)
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
利用现有模板创建自定义模板
|
为客户端自动注册配置证书模板
在 Windows XP 和 Windows Server 2003, Enterprise Edition 中,自动注册是一个非常有用的证书服务功能。有了自动注册,就可以将客户端配置为在无需客户端参与的情况下自动注册证书、检索颁发的证书和更新到期证书。客户端不需要了解证书的任何操作,除非您将证书模板配置为需要与客户端交互。
本节讲述了×××模板的一种方法:客户端自动注册。若要了解有关自动注册的更多信息,请在 TechNet 网站上参考
Certificate Autoenrollment in Windows Server 2003(英文),其位置是
[url]http://go.microsoft.com/fwlink/?LinkId=22668[/url]。
要正确配置客户端自动注册功能,需对证书模板或要采用的模板进行适当的计划。证书模板中的几个设置会直接影响客户端注册的行为。
要求
| • |
凭据:必须以 Enterprise Admins 组的成员帐户登录。
|
| • |
工具:证书模板 (certtmpl.msc)
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
为客户端自动注册配置证书模板
|
为默认证书模板授予注册权
此步骤将配置在“为客户端自动注册配置证书模板”步骤中已被自动注册的客户端要使用的默认模板。
要求
| • |
凭据:必须以 Enterprise Admins 组的成员帐户登录。
|
| • |
工具:证书模板 (certtmpl.msc)
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
允许客户端请求基于模板的证书
|
注意:若要禁止主题请求基于模板的证书,请采用此过程中同样的步骤清除“读取”和“注册”复选框。
配置 CA 以颁发基于证书模板的证书
此步骤向 CA 添加将由该 CA 颁发的新证书模板。
要求
| • |
凭据:必须在运行证书服务的计算机上以本地管理员组的成员帐户登录。
|
| • |
工具:CA 管理单元。
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
向 CA 添加证书模板
|
从 CA 删除证书模板
在定义和配置完计划采用的证书模板之后,最佳做法是将不用的证书模板全部从 CA 上删除。删除证书模板只是断开与 CA 的连接,而不是将它从证书模板存储中物理删除。如果将来需要将证书模板删除,可重复“安装证书模板”中的步骤以执行该任务。
要求
| • |
凭据:必须以 Enterprise Admins 组的成员帐户登录。
|
| • |
工具: CA 管理单元。
|
| • |
此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
| • |
从 CA 删除证书模板
|
证书服务实现示例:为无线用户建立自动注册功能
要将服务器配置为提供用户和计算机证书的自动注册功能,请执行以下操作:
| • |
为无线用户创建证书模板。
|
| • |
为客户端自动注册配置证书模板。
|
| • |
配置 CA 以颁发基于证书模板的证书。
|
要求
| • |
凭据:必须以 Enterprise Admins 组的成员帐户登录。
|
| • |
工具:证书模板 (certtmpl.msc) 管理单元和 CA 管理单元。
|
| • |
此示例中的任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。
|
为无线用户创建证书模板
| • |
为无线用户创建证书模板
|
为客户端自动注册配置证书模板
| • |
为客户端自动注册配置证书模板
|
配置 CA 以颁发基于证书模板的证书
| • |
配置 CA 以颁发基于证书模板的证书
|
当已升级的默认域组策略对象有效的时候,客户端必须重启计算机,然后通过一个允许使用新组策略设置的有线连接和一个要颁发的证书登录。需通过客户端计算机的证书管理单元来对证书进行验证,以查看用户和计算机的个人证书存储。
如需了解有关无线网络选项的更多信息,请参考 Microsoft 网站上的
Microsoft Solution for Securing Wireless LANs(英文),位置为
[url]http://go.microsoft.com/fwlink/?LinkId=22676[/url]。
相关信息
有关创建企业根 CA 的更多信息,请参考以下内容:
| • | |
| • | |
| • |
有关公钥基础结构以及如何在中小型企业配置和管理 CA 的更多信息,请参考以下内容:
| • | |
| • | |
| • |
TechNet 网站上的
Windows Server 2003 PKI Operations Guide(英文),其位置为
[url]http://go.microsoft.com/fwlink/?LinkId=22673[/url]。
|
转载于:https://blog.51cto.com/kelly/118494
256
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
