Windows 2000 公钥基础结构详解

　　为简化应用程序的开发，MY 存储区会维护证书属性（表明 CSP 和相关私钥的密钥集名称）。应用程序选定了要使用的证书后，该程序就会用此信息来获取正确私钥的 CSP 环境。

　　公钥对和证书一般价值较高。如果由于系统故障而丢失，替换公钥对和证书要花费很长时间，并会造成经济损失。为解决这一问题，Windows 2000 PKI 提供了可实施证书管理的管理工具，支持证书及相关密钥对的备份和恢复功能。

　　当用证书管理器导出证书时，用户必须指定是否同时导出相关密钥对。如果选定该选项，该信息就会作为加密（基于用户提供的密码）PKCS-12 消息导出。它随后会导入到该系统或其他系统中，用于恢复证书和密钥。

　　此操作假定密钥对可由 CSP 导出。对于 Microsoft 基础 CSP 而言，如果在密钥生成时设置了导出标志，就可实现上述操作。第三方 CSP 可支持，也可以不支持私钥导出。例如，智能卡 CSP 一般不支持此操作。对于带有不可导出密钥的软件 CSP，变通的方法是保持一个完整的系统映像备份，包括所有注册信息。

　　在本文中，“漫游”是指，在企业的 Windows NT 环境中，不同物理机器上使用同一个基于 PK 的应用程序的能力。基本要求是，无论用户在何处登录，其密钥和证书都是可用的。Windows 2000 PKI 以两种方式支持此功能。

　　第一，如果用的是 Microsoft 基础 CSP，密钥和证书漫游则由漫游配置文件机制支持。只要启用了漫游配置文件，此操作对用户就是透明的。第三方 CSP 不支持此功能，这是因为每三方 CSP 通常使用不同的方法保存密钥数据，通常保存在硬件设备上。

　　硬件令牌设备（如智能卡）只要包含物理证书存储区，就可以支持漫游功能。与 Windows 2000 平台一起发行的智能卡 CSP，支持此功能。通过把硬件令牌随用户移动，可实现对漫游的支持。

　　证书往往是长期凭据，但为什么很多凭据在到期之前就变得不可信呢？其原因很多。例如：

　　　实体的私钥泄密或可能泄密。

　　　获取证书时采用了欺诈手段。

　　　状态改变。

　　基于 PK 的功能采用分布式验证，不需要直接与颁发凭据的中心可信实体进行通信。这就需要把吊销信息分发到要验证证书的个人。

　　吊销信息及其即时性的需求取决于应用程序。为支持各种操作情况，Windows 2000 PKI 增加了对工业标准的证书吊销列表 (CRL) 的支持。在管理控制下，企业 CA 支持证书吊销以及 Active Directory 的 CRL 发布。域客户可以提取此信息，把它在本地进行缓存，并在验证证书时使用。该机制还支持商业 CA 颁发的 CRL 或第三方证书服务器产品，只要客户可通过网络访问发布的 CRL 即可。

　　当使用基于 PK 的功能时，最令人关注的是与证书验证有关的客户信任问题。通常，它基于与颁发证书的 CA 有关的信任。如前所述，PKI 使用一个根 CA 层次结构，在此层次结构中，信任控制以根 CA 的决策为基础。如果给定的最终实体证书有条“链”通往一个已知的可信根 CA，并且预计的证书用法与应用程序环境一致，那么就认为它是有效的。如果以上条件有一条不成立，就认为它是无效的。

　　在 PKI 中，用户可以做只影响自已的信任决定。使用证书管理工具，用户通过安装和删除可信根 CA，并配置有关的使用限制，来实现上述过程。希望这只是例外情况，而非常规律性的。相反，我们希望这些信任关系能成为企业策略的一部分（请参见下一节“Windows 2000 的 PK 安全策略”）。使用策略建立的信任关系可以自动传播到 Windows 2000 客户机。
Windows 2000 的 PK 安全策略

　　安全策略可以应用到站点、域或部门 (OU)，并会影响有关用户和计算机的安全组。PK 安全策略仅是整个 Windows NT 安全策略的一个方面，它被集成到该结构中。它提供了一个机制，在全局实施策略时，可对策略进行统一定义和管理。PK 安全策略的最突出特点把在下面进行论述。

　　可用策略设置根 CA 的信任，以建立域客户在验证 PK 证书时所用的信任关系。可信 CA 集可使用组策略编辑器来配置。它可根据每台机器的情况进行配置，并把用于该机器上的所有用户。

　　除把一个根 CA 用作可信 CA 外，管理员可以设置与该 CA 关联的使用属性。如果指定了，这些属性就会限制 CA 颁发证书用途的有效性。此限制是基于对象标识符 (OID) 设定的，如 IETF PKIX 第一部分草案中的 ExtendedKeyUsage 扩展所述。 现在，它提供了一种方法，限制对以下组合的使用：

　　　服务器身份验证

　　　客户身份验证

　　　代码签名

　　　电子邮件

　　　IPSec 终端系统

　　　IPSec 隧道

　　　IPSec 用户

　　　时间戳

　　Microsoft 加密文件系统

　　作为 PKI（与 Windows 2000 集成）的一个组成部分，策略机制已定义成支持自动证书登录过程。由两个关键因素控制：证书类型以及自动登记对象。这些均与组策略对象集成到一起，可以基于每个站点、域、机器或用户来定义。

　　证书类型给证书提供了一个模板，并把它与一个常用名称关联起来，以便于管理。此模板定义了许多元素，如命名需求、有效期、密钥生成所允许的 CSP、算法以及应添加到证书中的扩展。逻辑上，证书类型分成机器类型和用户类型，并应用到相应的策略对象中。定义后这些证书类型就可用于自动登记对象及证书登记向导了。
　
　　此机制并不是替代颁发策略的企业 CA，而是与之集成在一起。CA 服务会接收一组证书类型，作为其策略对象的一部分。企业策略模块使用这些证书类型，定义该 CA 可颁发的证书类型。对不符合这些标准的证书请求，该 CA 予以拒绝。

　　自动登记对象定义了域中实体应包含的证书策略。它可基于每台机器和每个用户来使用。可参考证书类型对象，来添加证书类型，它可以是任何定义的类型。此自动登记对象提供了大量信息，用于决定一个实体是否有所需证书，并用于企业 CA 登记这些证书（如已丢失）。此自动登记对象也定义了证书更新的策略。它可由管理员在证书到期前设置，以支持长期操作，而无须用户直接干预。当策略刷新（登录、GPO 刷新等）时，就会处理自动登记对象，并进行必要的操作。

　　智能卡登录（请参见第 22 页）是由与该用户对象关联的策略控制的，其受控方式与密码策略相似。可以把策略设置为启用智能卡登录（仍可使用基于密码的登录），或者设置为实施智能卡登录。在防止对帐户未授权访问方面，后者提供的保护要强大得多。但是，这也意味着，如果用户忘记了他们的智能卡，或试图使用没有智能卡读取器的机器时，把无法登录。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 3 4 56 7 8 下一页

上一篇： Windows 2000 安全设置检查清单   下一篇： Win 2000中格式化字符的安全问题

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】