Windows 2000 公钥基础结构详解在 PKI 中,可以方便地支持企业 CA 以及外部 CA,例如,与其他单位或商业服务提供程序相关的 CA。这样,企业就可以根据商业需要来调整环境了。 Windows 2000 PKI 采用层次结构的 CA 模型。其优点是:具有可扩展性,管理方便,并且与很多商业和第三方 CA 产品有一致性。最简单的形式是,CA 层次结构仅由一个 CA 组成;但通常一个层次结构会包含多个 CA,并明确定义了父子关系(图 3);正如图中所示,可能还存在多个不连续的利益层次结构。并不要求所有 CA 共享一个公用顶层父 CA(或根 CA)。 这一模型中,子 CA 由父 CA 颁发的证书来“验证”,该证书把一个 CA 的公钥与其标识和其他基于策略的属性绑定到一起。层次结构顶端的 CA 通常称为“根 CA”。下属 CA 通常称为“中级 CA”或“颁发 CA”。在本文中,“颁发 CA”指的是颁发最终实体证书的 CA。“中级 CA”不是指根 CA,而是指仅验证其他 CA 的 CA。 图 3 证书颁发机构层次结构 这一模型的主要优点就是:验证证书只需要对少数根 CA 建立信任即可。同时,它对颁发 CA 的数量要求更为灵活。支持多个颁发 CA 有许多实际的原因。包括: 用法 – 可基于多种用途颁发证书,例如,安全电子邮件、网络身份验证等等。颁发的用途不同,其策略也会有所不同,对其进行分别处理是策略管理的基础。 组织划分 – 根据组织中实体角色不同,颁发证书策略也不相同。仍然可以创建颁发 CA,区分和管理这些策略。 地理划分 – 组织可能在多个物理站点拥有实体。这些站点间的网络连接决定了需要多个颁发 CA,以满足可用性要求。 这种 CA 层次结构还为管理提供了好处,包括: 可以灵活配置 CA 安全环境(密钥长度、物理保护、防止网络攻击的保护等),以保持安全性和可用性之间的平衡。例如,对于根 CA,可使用特殊用途的加密硬件,把它放到物理上安全的区域,或在脱机模式下运行。出于成本或可用性的考虑,它可能并不适于颁发 CA。 可频繁更新颁发 CA 密钥和/或证书(泄密风险最高),而无须更改已建立的信任关系。 可以去掉 CA 层次结构的某一部分,而不会影响已建立的信任关系。例如,可以很容易地拒绝或吊销一个与特定地理站点关联的颁发 CA 证书,而不会影响组织中的其他部分。 CA 层次结构一般是静态的,但并不要求必须如此。在给定根 CA 下,可以方便地添加或删除颁发 CA。另外,可由一个根 CA 颁发证书,证明另一个根 CA 是它的中级 CA,这样,就可以合并原有的 CA 层次结构。但是,在合并之前,需要慎重考虑可能会引起的策略不一致性,还要考虑可能会编入原有证书的“深度”限制的影响。 部署 Microsoft 证书服务是一个非常简单、直观的操作。创建 CA 前,最好先建立域。然后,建立一个或多个企业根 CA。在证书服务安装过程中,管理员就是按这样的步骤进行安装的。安装过程的要点包括: 选择主服务器 – 根 CA 可以在任何 Windows NT Server 平台上运行,包括 DC。在此过程中,必须考虑物理安全性要求、预期负载、连接性要求等因素。 命名 – CA 名称与其证书绑定在一起,因此,不能修改。应该考虑组织命令规则以及把来需要,以区分不同的颁发 CA。 密钥生成 – CA 的公钥对把在安装过程中生成,它是该 CA 所独有的。 CA 证书 – 对于根 CA 而言,安装过程会用 CA 的公钥-私钥对,自动生成一个自签名的 CA 证书。对于子 CA,可以选择生成一个证书请求,并提交到中级 CA 或根 CA。 Active Directory 集成 – 在安装过程中,关于 CA 的信息会写入 Active Directory 中的 CA 对象。它给域客户提供了可用的 CA 以及颁发证书类型的信息。 颁发策略 – 企业 CA 安装程序会自动为该 CA 安装和配置 Microsoft 提供的企业策略模块。已授权的管理员可对该策略进行修改,虽然大多数情况下无需这样做。 建立根 CA 后,就可以安装此根 CA 所属的中级或颁发 CA 了。安装策略的唯一重大差别是:生成的证书请求是提交给根 CA 还是中级 CA。此请求可以自动路由到联机 CA(可通过 Active Directory 定位这些 CA),或在脱机情况下手动路由。在这两种情况下,都必须先把生成的证书安装到 CA,CA 才能开始工作。 在这些企业 CA 和 Windows NT 域信任模型之间有明显的联系。但这并不意味着,CA 信任关系和域信任关系之间存在直接的映射关系。一个 CA 可以处理多个域中的实体,甚至域外的实体。相似地,一个给定域可以有多个企业 CA。 正如上面讨论的,CA 是很有价值的资源,通常希望给它们提供更高等级的保护。应该考虑的特定操作有: 物理保护 – 因为 CA 代表了企业中的高度可信任实体,通常希望保护它们,防止篡改。这一需求取决于该 CA 颁发证书的内在价值。把 CA 服务器从物理上隔离(在职能部门中,只有安全管理员能够访问),可大大减少此类攻击的可能性。 密钥管理 – CA 的密钥最有价值,因为私钥是信任证书过程的基础。加密硬件模块(通过 CryptoAPI CSP 访问证书服务)可提供防止篡改的密钥存储,并把加密操作与运行在该服务器上的其他软件隔离开。这大大减少了 CA 密钥泄露的可能性。 恢复 – 丢失 CA(例如,由于硬件故障)可能会引起很多管理和操作上的麻烦,并会阻止吊销原有证书。证书服务支持 CA 实例的备份,这样,以后就可以恢复它了。这是整个 CA 管理过程的一个重要组成部分。 基于以前的讨论,很明显,Windows 2000 PKI 必须处理跨多个 CA 层次结构的信任关系。它可能只包括一个企业内的 CA 层次结构,但也可能包括多个企业内的层次结构,以及商业 CA(如 Verisign、Thawte 等)。 在 PKI 中,可以基于 Windows NT 域机器策略对象,从管理上建立和实施基于 CA 的信任关系。对于每个可信根 CA,此系统提供了一个方法,对该 CA 颁发的证书限制使用。例如,即使某个 CA 颁发的证书可以有多种用途,也可以仅把其用于服务器身份验证。 另外,个别用户可以添加其他 CA 信任关系,这种信任关系只适用于他们自己。可通过使用客户功能,但不涉及管理操作来实现这一目标。 上一篇: Windows 2000 安全设置检查清单 下一篇: Win 2000中格式化字符的安全问题 更多相关文章
|
推荐文章
精彩文章
|
