簡介
對於當今的任何一個組織來說,在 Internet、Extranet、Intranet 上和在應用程序之間交換未保護信息都會產生潛在的安全風險。它們所面臨的挑戰是防止未授權的第三方監聽在 Internet 上傳輸的信息、僞裝成獲得授權的人員或干擾組織開展業務的能力。
本文提供的分步向導可助您在運行 Microsoft® Windows Server™ 2003 操作系統的網絡上建立一個公共密鑰證書頒發機構 (CA)。可以在運行 Microsoft® Windows Server™ 2003, Standard Edition、Microsoft® Windows Server™ 2003, Enterprise Edition 或者 Microsoft® Windows Server™ 2003, Datacenter Edition 的服務器上安裝 CA。
CA 是一項在公鑰基礎結構 (PKI) 中用於頒發和管理電子憑據或證書的服務。公鑰基礎結構 (PKI) 由數字證書、CA 和其他可通過公鑰加密對電子交易中的各方進行授權有效性驗證的註冊機構 (RA) 組成。有關 PKI 的標準目前還在進一步發展中,但是作爲電子商務中的一個必要元素目前正在被廣泛應用。許多政府代理機構和私人團體都已經公佈了他們自己的 PKI 標準。在執行一個 PKI 體系之前,應向律師諮詢以確保該體系不違反所有相關的本地、州、聯邦政府和國際法律法規。
Windows Server 2003 PKI 可以與 Microsoft® Windows® XP Professional 的客戶端集成在一起,它有助於組織及其僱員、合作伙伴、供應商和客戶之間的通信安全。運行 Windows Server 2003 證書服務的服務器可將公鑰頒發給個人、設備或服務。證書持有者 PKI 可採用應用激活軟件和激活技術來啓用中心管理的身份驗證,以確保數據機密性和數據交換的安全性。Windows Server 2003 本身支持 PKI 激活技術,這提供了下列技術及與之相關的商業利益的基礎:
| • |
數字簽名。它建立了非拒絕機制,即可保證發送者的真實性的能力。
|
| • |
智能卡應用。爲智能卡登錄提供雙因子驗證。雙因子驗證需要用戶提供一個物理對象(智能卡,它含有一個存有數字證書和用戶私人密鑰的芯片)外加一個口令或 PIN 才能訪問網絡資源。
|
| • |
安全電子郵件。類似於安全/多用途 Internet 郵件擴展 (S/MIME) 的服務可以爲電子郵件供保密通信功能,數據完整性和非認可機制。
|
| • |
軟件代碼簽名 Authenticode® 技術使軟件發行者能夠對任何形式的活動內容進行數字簽名,包括多文件文檔。這些簽名可以用來驗證內容發行者的身份和下載時內容的完整性。
|
| • |
Internet 協議安全 (IPSec) 該協議允許對兩臺計算機之間或公共網絡上一臺計算機和一個路由器之間的通信進行加密和數字簽名。
|
| • |
802.11 協議可提供集中的用戶標識,身份驗證、動態密鑰管理和用於接入 802 無線網絡和無線以太網的帳戶驗證。
|
| • |
文件系統加密支持文件和文件夾的加密和解密。
|
| • |
使用安全套接字層 (SSL) 或傳輸層安全性 (TLS) 來保證 Web 連接的安全性這些協議通過類似 Internet 的公共網絡上的安全通信信道提供服務器和客戶端驗證。類似於無線傳輸層安全性 (WTLS) 的無線通信協議版本可用於加強無線網絡的安全性。
|
此外,在有 Windows Server 2003 PKI 的情況下,還可以利用它將證書服務和 Active Directory® 目錄服務和組策略集成在一起。在 Active Directory 環境下,Windows Server 2003 CA 可以使用“證書模板”來控制所頒發證書的內容,其中“證書模板”由 Active Directory 頒發。證書模板可以定義證書中的信息,並將證書中的技術細節更透明地傳遞給用戶,從而達到簡化 CA 使用和管理的目的。根據組織的需要,可以使用單一用途模板,這種模板可以針對特定應用生成證書;也可以使用多用途模板,這種模板可以爲多種應用生成證書,甚至可以根據自定義需要生成新的證書模板。
本文檔所提供的指導內容包括如何建立企業根 CA、如何使用證書模板來啓用客戶端自動註冊功能、以及如何爲無線用戶創建自動註冊功能。特別地,可以通過它學習如何進行如下操作:
| • |
安裝和配置企業根 CA。
|
| • |
驗證 CA 安裝。
|
| • |
安裝證書模板。
|
| • |
創建自定義證書模板。
|
| • |
爲客戶端自動註冊配置證書模板。
|
| • |
爲默認證書模板授予註冊權。
|
| • |
將 CA 配置爲基於證書模板頒發證書。
|
| • |
爲無線用戶建立自動註冊功能。
|
要點:本文檔中的屏幕拍圖所示爲測試環境,其信息可能與屏幕上顯示的信息有差別。
在完成這些步驟之後,網絡將會含有企業根 CA,同時可以通過證書模板管理單元訪問所有可用的證書模板。此外,客戶端自動註冊功能在驗證過程中會要求無線用戶使用數字證書,這可以加強無線用戶的驗證過程。自動註冊功能可以使用戶幾乎無需理會此要求,原因使此功能使他們能夠自動請求證書,重新檢索頒發證書和更新到期證書。可以通過擴展 PKI 的應用來放寬 Windows Server 2003 PKI 爲網絡所提供的保護,以支持其他應用,比如前面提到過的數字簽名、IPSec 等。
要點:該文檔中所含的指導步驟都是從安裝操作系統時的默認情況下顯示的“開始”菜單開始的。如果您修改過“開始”菜單,則上述步驟可能稍有不同。
準備工作
本節講述了一個企業 CA 的安裝要求。在安裝 CA 之前必須滿足所有安裝要求,如果達不到這些要求,會導致安裝失敗或 CA 功能受限。
此文檔中的說明假定有一個還沒有進行配置的 PKI 系統。但該文檔中所講的解決方案並不能爲附加 Microsoft CA 服務與現有 PKI 的集成提供指南。
IT 基礎設施的先決條件
您的組織必須配有下列 IT 基礎設施:
| • |
已配置的 Active Directory 域結構(帶 Service Pack 3 (SP3) 的 Microsoft® Windows® 2000 Server 或更高版本,或 Windows Server 2003)。該解決方案中證書服務的所有用戶應該是同一個 Active Directory 林內的域的成員。這種部署假定使用的是 Windows Server 2003 Active Directory 計劃擴展。
|
| • |
服務器硬件要足以運行 Windows Server 2003 證書服務。“Suggested Hardware Specification for Enterprise Root CA Server”表中提供了一個推薦配置。
|
| • |
Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的授權協議,安裝媒體和產品密鑰。
下面表格給出了在運行 Windows Server 2003, Standard Edition 的服務器上可進行的操作,和在運行 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上所要求的操作。
|
每一步操作中所需的 Windows Server 2003 操作系統的版本
| 步驟 | Windows Server 2003 操作系統 |
|
安裝和配置企業根 CA。
|
Standard Edition
|
|
驗證 CA 安裝。
|
Standard Edition
|
|
安裝證書模板。
|
Standard Edition
|
|
創建自定義證書模板。
|
Enterprise Edition 或 Datacenter Edition
|
|
爲客戶端自動註冊功能配置證書模板。
|
Enterprise Edition 或 Datacenter Edition
|
|
爲默認證書模板授予註冊權。
|
Standard Edition
|
|
配置 CA 以頒發基於證書模板的證書。
|
如果需要版本 2 的證書模板則是企業版,否則就是標準版。否則,爲 Standard Edition
|
|
爲無線用戶建立自動註冊功能。
|
Enterprise Edition
|
企業 CA 要求
要使用 Windows Server 2003 有效安裝企業 CA,必須進行如下操作:
| • |
將 Windows Server 2003 Domain Name Service (DNS) 安裝在網絡 DNS 服務器上。
|
| • |
將 Windows Server 2003 Active Directory 安裝在網絡的域控制器上。將企業策略信息輸入到 Active Directory 內。
|
| • |
將企業根 CA 所在主機連接到 Active Directory 域上。
|
| • |
在 DNS、Active Directory 和 CA 服務器上配置有企業管理員特權。這一點尤其重要,原因是安裝程序要在不止一個地方修改信息,其中有些需要管理員特權。
|
企業根 CA 只需要一個服務器就可以創建。
下表在 Windows Server 2003 建議的基礎上給出了企業根 CA 服務器的推薦硬件配置。但是如果硬件在有些方面符合 Build Guide 2-Implementing the Public Key Infrastructure(英文)中略述的標準,則不必再購買新的硬件。若要了解 Microsoft Server 2003 企業根 CA 推薦硬件配置的更多信息,可在 TechNet 網站 [url]http://go.microsoft.com/fwlink/?LinkId=22696[/url] 上參考“創建指南 2 - 公鑰基礎結構的實施”。
企業根 CA 服務器的推薦硬件配置
| 項目 | 要求 |
|
CPU
|
單 CPU,733 MHz 或更高
|
|
內存
|
256 MB
|
|
硬盤空間
|
IDE (集成電路設備)或 SCSI (小型計算機系統接口),RAID (獨立硬盤冗餘陣列)控制器。2 x 18 GB (SCSI) 或 2 x 20 GB (IDE) 配置爲 RAID 卷 1(驅動器 C)。
本地可拆卸存儲設備(用於備份的 CD-RW 或磁帶)和用於數據轉移的 1.44-MB 磁盤驅動器。 |
選擇要用的 CA 類型
有些組織使用外部商業 CA,而其他組織都使用自己的 CA。由於 CA 是一個組織中最重要的信任點,因此大多數組織都有自己的 CA。本文檔假定的組織使用自己的 CA。
Windows Server 2003 提供兩種級別的 CA,一個是“企業”CA,另一個是“獨立”CA,選擇哪一種取決於安裝過程中使用的策略模塊。策略模塊決定了 CA 收到證書請求時所進行的操作。
通常,如果組織爲 Windows Server 2003 域的一部分,若對此組織內部的用戶或計算機頒發證書,應安裝企業 CA。如果組織爲 Windows Server 2003 域的一部分,若對此組織外部的用戶或計算機頒發證書,應安裝獨立 CA。
企業 CA 要求所有請求證書的客戶端在 Active Directory 中都有一個條目,而獨立 CA 不需要。此外,在頒發用於登錄 Windows Server 2003 域的證書時,企業 CA 比獨立 CA 更簡便。
在企業 CA 和 獨立 CA 級別內部,有兩種類型的 CA,一個是“根”CA,另一個是“從屬”CA。根 CA 是組織信任的根基。在必要的情況下,根 CA 證書可通過啓用從屬 CA 來實施策略和向終端用戶頒發證書。本文檔將向您展示如何安裝和配置沒有從屬 CA 的企業根 CA。
若要了解企業 CA、獨立 CA、根 CA、從屬 CA 和密鑰 PKI 設計決策的更多信息,請在 TechNet 網站上參考 MSA Enterprise Design for Certificate Services 的“Determining CA Roles & Types”(英文)主題,其位置是 [url]http://go.microsoft.com/fwlink/?LinkId=22671[/url]。
開始之前需瞭解內容
| • |
Windows Server 2003 中的證書服務提供了一組 CA Web 頁面。這些 Web 頁面允許您通過 Web 瀏覽器與 CA 建立連接並執行普通任務,比如向 CA 發出證書請求、請求 CA 證書、提交證書請求、檢索 CA 證書吊銷列表 (CRL),或執行智能卡證書註冊操作。對於獨立 CA,Web 頁面是證書請求者與 CA 之間的主要接口方式,原因是證書管理單元不能用於從獨立 CA 請求證書。企業 CA 可通過證書管理單元或 Web 註冊頁面接受證書請求。
|
| • |
CA 的 Web 接口需要運行 Active Server Pages。在開始工作之前,可通過 Internet 信息服務 (IIS) 啓用 Active Server Pages,否則系統會提示您激活它們。
|
| • |
選擇 CA 有效期將決定 CA 證書何時到期或何時需要續訂。在低安全性環境下,可以採用較長的有效期和續訂期。在高安全性環境下,通常採用較短的有效期和續訂期。
|
| • |
CA 服務器是組織中最敏感的服務器之一。因此在部署期間和每天的操作期間都必須做好高度的安全計劃。要對 CA 進行物理訪問限制,只允許最可信員工管理此服務器。此外,務必完成 Security Guidance Kit 中文檔“Securing Windows Server 2003 Domain Controllers”(英文)提到的步驟,以確保安裝 CA 服務器的安全。
|
CA 部署之後哪些內容不能更改
| • |
在安裝時需提交的一些基本信息(比如 CA 名稱),在 CA 安裝完成之後不能再更改。
|
| • |
在安裝證書頒發機構之後,不能更改計算機的域設置,比如:加入一個域或將服務器提升爲域控制器。
|
| • |
如果以企業管理員或委派用戶的身份安裝企業 CA,則在卸載企業 CA 時必須使用企業管理員或委派用戶的帳戶。
|
安裝和配置企業根 CA
證書服務根的安裝過程會生成一個根 CA 證書,該證書中含有 CA 的公鑰和由根的私鑰所創建的數字簽名。本節提供了有關建立企業根 CA、使用證書模板啓用客戶端自動註冊和建立自動註冊的分步指導信息。
| • |
安裝和配置企業根 CA。
|
| • |
驗證 CA 安裝。
|
| • |
安裝證書模板。
|
| • |
創建自定義證書模板。
|
| • |
爲客戶端自動註冊配置證書模板。
|
| • |
爲默認證書模板授予註冊權。
|
| • |
將 CA 配置爲基於證書模板頒發證書。
|
安裝和配置企業根 CA
現在需要以企業管理員的身份登錄,例如以 Enterprise Admins 組和根域的 Domain Admins 組的成員帳戶登錄。
要求
| • |
憑據:必須以 Enterprise Admins 組和根域的 Domain Admins 組的成員帳戶登錄。
|
| • |
工具:Windows 組件嚮導。
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
安裝和配置企業根 CA
|
安裝 CA 後,請將證書模板添加到 CA 中,並對 CA 進行配置以允許主題能夠請求基於模板的證書。
注意:如果自己建議或者計劃採用指南中的建議來加強組織內域控制器的安全性,需要修改域的組策略設置以啓用證書服務。若要了解完成此項任務的更多信息,請在 Security Guidance Kit 中參考文檔“Securing Windows Server 2003 Domain Controllers”(英文)。
驗證 CA 安裝
驗證 CA 安裝是否成功的最簡單的方法是輸入 net start ,看 CA 是否運行。
如要進一步驗證或要處理中間出現的故障錯誤,還可以在 systemroot\certocm.log 中查看 CA 安裝日誌。
還可以採用以下的步驟
要求
| • |
憑據:必須以 Enterprise Admins 組和本地管理員組的成員帳戶在運行 CA 的計算機上登錄。
|
| • |
工具:CA 管理單元。
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
驗證根 CA 已正確安裝
|
安裝證書模板
該步驟將向您演示如何安裝和查看默認證書模板。若要了解每個默認證書模板的說明,請在 TechNet 網站上參考 Implementing and Administering Certificate Templates in Windows Server 2003 的“Default Templates”(英文)主題,其位置是 [url]http://go.microsoft.com/fwlink/?LinkId=22669[/url]。
要求
| • |
憑據:必須以 Enterprise Admins 組和根域的 Domain Admins 組的成員帳戶登錄。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
安裝和查看默認證書模板。
|
創建自定義證書模板
證書模板允許對證書服務所頒發的證書(包括證書的頒發方式和所含內容)進行自定義。證書模板是對傳入的證書請求所應用的一組規則和設置。
可通過複製現有模板或使用現有模板屬性作爲新模板的默認屬性,來創建新的證書模板。通過複製與所需要的新模板最接近的現有證書模板,可以大幅減少工作量。
要求
| • |
憑據:必須以 Enterprise Admins 組的成員帳戶登錄。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
利用現有模板創建自定義模板
|
爲客戶端自動註冊配置證書模板
在 Windows XP 和 Windows Server 2003, Enterprise Edition 中,自動註冊是一個非常有用的證書服務功能。有了自動註冊,就可以將客戶端配置爲在無需客戶端參與的情況下自動註冊證書、檢索頒發的證書和更新到期證書。客戶端不需要了解證書的任何操作,除非您將證書模板配置爲需要與客戶端交互。
本節講述了修改證書模板的一種方法:客戶端自動註冊。若要了解有關自動註冊的更多信息,請在 TechNet 網站上參考 Certificate Autoenrollment in Windows Server 2003(英文),其位置是 [url]http://go.microsoft.com/fwlink/?LinkId=22668[/url]。
要正確配置客戶端自動註冊功能,需對證書模板或要採用的模板進行適當的計劃。證書模板中的幾個設置會直接影響客戶端註冊的行爲。
要求
| • |
憑據:必須以 Enterprise Admins 組的成員帳戶登錄。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
爲客戶端自動註冊配置證書模板
|
爲默認證書模板授予註冊權
此步驟將配置在“爲客戶端自動註冊配置證書模板”步驟中已被自動註冊的客戶端要使用的默認模板。
要求
| • |
憑據:必須以 Enterprise Admins 組的成員帳戶登錄。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
允許客戶端請求基於模板的證書
|
注意:若要禁止主題請求基於模板的證書,請採用此過程中同樣的步驟清除“讀取”和“註冊”複選框。
配置 CA 以頒發基於證書模板的證書
此步驟向 CA 添加將由該 CA 頒發的新證書模板。
要求
| • |
憑據:必須在運行證書服務的計算機上以本地管理員組的成員帳戶登錄。
|
| • |
工具:CA 管理單元。
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
向 CA 添加證書模板
|
從 CA 刪除證書模板
在定義和配置完計劃採用的證書模板之後,最佳做法是將不用的證書模板全部從 CA 上刪除。刪除證書模板只是斷開與 CA 的連接,而不是將它從證書模板存儲中物理刪除。如果將來需要將證書模板刪除,可重複“安裝證書模板”中的步驟以執行該任務。
要求
| • |
憑據:必須以 Enterprise Admins 組的成員帳戶登錄。
|
| • |
工具: CA 管理單元。
|
| • |
此任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
| • |
從 CA 刪除證書模板
|
證書服務實現示例:爲無線用戶建立自動註冊功能
要將服務器配置爲提供用戶和計算機證書的自動註冊功能,請執行以下操作:
| • |
爲無線用戶創建證書模板。
|
| • |
爲客戶端自動註冊配置證書模板。
|
| • |
配置 CA 以頒發基於證書模板的證書。
|
要求
| • |
憑據:必須以 Enterprise Admins 組的成員帳戶登錄。
|
| • |
工具:證書模板 (certtmpl.msc) 管理單元和 CA 管理單元。
|
| • |
此示例中的任務只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務器上完成。
|
爲無線用戶創建證書模板
| • |
爲無線用戶創建證書模板
|
爲客戶端自動註冊配置證書模板
| • |
爲客戶端自動註冊配置證書模板
|
配置 CA 以頒發基於證書模板的證書
| • |
配置 CA 以頒發基於證書模板的證書
|
當已升級的默認域組策略對象有效的時候,客戶端必須重啓計算機,然後通過一個允許使用新組策略設置的有線連接和一個要頒發的證書登錄。需通過客戶端計算機的證書管理單元來對證書進行驗證,以查看用戶和計算機的個人證書存儲。
如需瞭解有關無線網絡選項的更多信息,請參考 Microsoft 網站上的 Microsoft Solution for Securing Wireless LANs(英文),位置爲 [url]http://go.microsoft.com/fwlink/?LinkId=22676[/url]。
相關信息
有關創建企業根 CA 的更多信息,請參考以下內容:
| • | |
| • | |
| • |
有關公鑰基礎結構以及如何在中小型企業配置和管理 CA 的更多信息,請參考以下內容:
| • | |
| • | |
| • |
TechNet 網站上的 Windows Server 2003 PKI Operations Guide(英文),其位置爲 [url]http://go.microsoft.com/fwlink/?LinkId=22673[/url]。
|