• 项目

安全

Windows 7 和 Windows Server 2008 R 2 中的 PKI 增强功能

John Morello

本文基于预发行版的代码。 如更改,恕本文档所提及的所有信息。

概览:

  • 服务器合并
  • 改进了现有的方案
  • 软件 + 服务
  • 强身份验证

内容

服务器合并
改进了现有的方案
软件 + 服务
强身份验证
向上覆盖

好像只是昨天,我已编写一文的 PKI 增强功能在 Windows 中 ”。 该文章 TechNet 杂志 2007 年 8 月月刊中运行的重点某些 Windows Vista 和 Windows Server 2008 中附带的创新。 这些创新包括注册 UI 改进和 OCSP (联机证书状态协议) 功能等。 这些增强功能处于价值和接收用户时, 您可能认为所做的更改了从 IT 专业人员的角度的真正增量更改。 但是,Windows 7 将提供极大地提高部署和操作启用同时降低运营成本的功能强大的新方案的用户体验的 PKI 增强功能。

改进的 Windows 7 和 Windows Server 2008 R 2 被集中围绕四个核心区域 (中显示 图 1 ):

服务器合并。 这样,组织可以减少总数证书颁发机构 (CA) 所需满足其业务目标。

改进了现有方案。 此焦点为提供更完整的 SCEP (简单证书注册协议) 支持的类元素上,包括一个最佳实践分析工具 (BPA)。

软件 + 服务。 这是为了使用户和为无论网络边界和证书提供商的证书的设备的自治注册。

强身份验证。 此区域着重于对智能卡体验,Windows 生物特征 Framework,等引入的改进。

fig1.gif

图 1 </a0>-四个核心方面 PKI 改进

本文,我的一些主要的更改,这些方面探讨从 IT 专业人员的角度。

服务器合并

中主要的主题之一 IT 在过去几年一直服务器合并。 简单地说,这是有关仍会议,或甚至扩展您的业务目标时减少服务器计算环境中的总内存占用量。 当前的全球经济了成本节省很多的 IT 组的顶部优先级,并且服务器合并可以肯定到该常规策略的一个组件。 虽然大多数组织不具有 CA 的大型的绝对数,许多是否有超过只需要基于证书创建吞吐量。 换句话说,许多组织具有极大晓红的 CA。

有此 underutilization 的两个主要原因。 首先,某些组织可能需要独立 CA 的规定或安全策略的原因。 是例如有些用户已选择从完全独立于向内部用户和计算机颁发证书的 CA 向外部方颁发证书。 在这的种情况下虚拟化在超 V CA 可以不再需要单独的服务器硬件 (尽管本身 CA 必须仍然管理,甚至为 VM)。

第二个常见原因是只有使用林内的方案的自动注册被支持。 具体来说,CA 只已能够自动注册的证书的实体,这些实体时加入到同一个林的一部分。 即使在双向林信级别任存在的情况下,独立 CA 已要求所在自动注册每个林。

在 Windows Server 2008 R 2 中主要的新功能之一执行自动注册跨目录林信任关系,创建潜在地极大地减少总的 CA 中需要企业。 考虑典型的企业网络具有已完成一些合并操作,并且现在有四个目录林: 生产、 开发、 测试和边缘。 才能 R 2,如果想要提供有关各个的林状结构的自动注册至少四颁发证书的 CA 是需要,即使所有目录林信任相互。 R 2,可以减少 CA 在此方案中到一个总数,有一个某个目录林中的 CA 证书颁发给所有其他目录林中的实体。

对于使用更为复杂的多目录林设计的环境总减少在 CA 可以是更明显,并提供投资回报 for the upgrade 到 R 2 的直接的收益。

跨目录林注册还使在合并和收购,扩展 PKI,因为证书可以开始为林信任被置于位置被设置为新收购的资产更加容易。 和由于跨目录林注册是仅仅是服务器端更改,注册可以启动而不对客户端计算机进行任何更改并原理与旧客户端操作系统,如 Windows XP。

那么,如何执行跨目录林注册工作? 在最终用户体验是完全无缝。 与其他任何自动注册方案用户只需很少或没有需交互其部件上获取证书。 最终用户可能永远不会知道哪些目录林中的 CA 有来自,并且它们不需要执行任何特殊操作以获取该证书。

对于的 IT 专业人员,基本的构建基块是大部分相同作为与林传统内自动注册。 主要区别是 CA 是现在能够处理来自外部的林的请求,并从受信任的 Active Directory 检索有关请求的元数据。

接收和正确处理来自受信任的林信请求此能力是 R 2,以便此方案中主要的新增功能。 除了拥有的 R 2 CA 和双向林信任,必须存放在 CA 在目录林和将对其注册的所有其他林之间复制证书模板。 Microsoft 将提供 Windows PowerShell 脚本以自动执行每次更改为模板后应执行此复制。 在很多的情况下将最好有作为计划的任务自动运行此脚本。

有几个其他小功能,可帮助进行服务器合并。 一个是 CA 现在支持非永久的请求,它们通常短所在的证书请求的不写入到 CA 的数据库。 例如,考虑网络访问保护健康注册机构。 这些系统可能发出成千上万的每一天的证书仅有效几个小时。 维护 CA 数据库中的所有这些请求将添加小值,但是极大地增加所需的存储。 与 R 2,这些请求可以被配置为不能写入数据库,并且此配置可在 CA 或模板级别 (参见 图 2 )。

fig2.gif

图 2 选择不必存储在数据库中的证书

旨在简化服务器合并的另一个功能是支持 Server Core。 使用 R 2,CA 角色可以安装在服务器核心,但没有其他 AD CS (Active Directory 证书服务) 角色服务 Server Core 上可用。 Server Core 上的安装,CA 可以管理与实用本地命令行工具,如 certutil,或使用标准的 MMCs 从远程系统中。 请注意是否使用硬件安全模块 (HSMs),您应确保 HSM 供应商支持 Server Core 运行其集成组件。

改进了现有的方案

Windows 7 和 R 2 包括对现有功能的增量改进的一些。 首先是对证书模板的 SKU 差异的更改。 在早期版本 AD CS 启用自动注册功能的高级 (版本 2 和 3) 证书模板需要企业版 CA。 在 Windows Server 2008 R 2 Standard Edition CA 将支持所有的模板版本。 R 2 还提供了简单证书注册协议支持的一些改进。 R 2 中, SCEP 组件将支持设备更新请求和密码重用。

新增对 Windows Server 2003 R 2 中的 AD CS 是一个最佳实践分析工具 (请参见 图 3 )。 BPAs 创建提供管理员以检查它们的配置数据库由 Microsoft 功能团队创建和维护的最佳实践的简单方法。 客户支持服务指示支持大部分调用 AD CS 中的数据被造成的不正确的配置以便将 BPA 应提高客户体验容易验证 CA 的配置是否正确。 分析器将检查为缺少 AIA 颁发机构信息访问或 OCSP 指针,证书过期,附近类问题,并信任链接的问题。

fig3.gif

图 3 运行新的最佳实践分析工具

在当前版本的 Windows 中,选择用于客户端身份验证的证书可能比较困难的最终用户。 对身份验证有效多个证书时 Windows 不会便于用户可以确定哪一个是右对于给定的用法。 这将导致更多的咨询台呼叫和增加的客户支持费用。 在 Windows 7 证书选择接口已得到极大地增强可以更方便地选择正确的证书对于给定的方案。 为了帮助更智能化的决策提供给定方案作为默认选项最可能的证书也已更改列表排序。 最后,所选内容用户界面现在区分在智能卡上的证书和与文件系统上存储并提供智能卡证书选择列表中最高,因为它们更容易使用。 这些差异在 图 4 所示的屏幕快照所示。 请注意,改进了筛选 (但不是 UI 更改),将使 Internet Explorer 8 下层操作系统也上可用。

fig4.gif

图 4 显示证书 A 更智能化方法

软件 + 服务

在 Windows 7 设计过程中,团队承载会议与许多上 PKI 用户集体讨论哪些区域应在新的版本中引起注意。 用户的大量数表示很难太管理证书跨组织边界,如商业伙伴的两个不同公司之间。 许多也称他们看到 PKI 为 outsourcing 因为它需要一个专门的技能设置为有效地管理的理想目标。 使其更易于提供证书跨边界,并打开新的业务模型的托管 PKI 解决方案,Windows 7 和 Windows Server 2008 R 2 将提供一项新技术满足这两个这些需求的。 这项技术是 HTTP 注册。

fig5.gif

图 5 的新注册模型

HTTP 注册是替代传统的 RPC / DCOM 的基于协议用于在以前版本 (请注意,RPC 方法是 Windows Server 2003 R 2 中仍然可用) 中的自动注册。 但是,HTTP 注册是多个只注册协议,真正的一种完全新方法,提供结束实体,而不考虑,它们位于或是否它们在托管的计算机以及使用灵活的身份验证选项的证书。 此新的模型消除了许多组织边界位于传统的自动注册的障碍,并为第三方轻松地提供自动注册服务,而无需在客户端上的其他软件提供了一个框架。

HTTP 注册实现两个新的基于 HTTP 的协议。 第一个协议称为证书注册策略协议,使证书模板可供用户通过 HTTPS 会话。 最终实体可能来自不信任关系不同目录林中的计算机和甚至加入到域的计算机。 身份验证使用 Kerberos、 用户名 / 密码或证书。 注册策略协议允许用户轮询的模板,并确定请求基于新的或更新的模板的证书。

证书注册服务协议是 WS-Trust 的扩展。 该协议用于获取证书,一旦确定模板信息。 它将支持灵活的身份验证方法,并作为其传输中使用 HTTPS。

示例所示 图 5 说明了如何此新注册模型工作原理。

  • 在第 1 步中证书模板是从 Active Directory 发布到服务器运行证书注册策略 Web 服务 (角色服务新 R 2)。 管理员发布这些模板使用相同的 MMCs 和与它们已经熟悉其他工具。
  • 在第 2 步中客户端已轮询 Web 服务通过 HTTPS 确定可用来对注册的模板列表。 客户端了解通过组策略、 脚本或手动配置 Web 服务 URL。 客户端可以是在加入域的系统、 系统在业务合作伙伴或用户的主系统。
  • 在第 3 步中客户端已确定什么模板他所要注册的将请求发送到证书注册 Web 服务来执行实际的注册。
  • 在第 4 步中运行注册 Web 服务的服务器将请求发送到 CA 进行处理。
  • 在第 5 步中 CA 有查找有关请求程序从 Active Directory (如其电子邮件地址或 DNS 名称) 将包含颁发的证书中的数据。
  • 在第 6 步中 CA 注册 Web 服务返回已完成的证书。
  • 第 7 步中注册 Web 服务完成交易记录与客户端通过 HTTPS,并发送已签名的证书。

灵活性是此新的服务中关键的设计原则之一并且请务必注意如何设计可以适应以适合一组不同方案。 由于注册协议是 HTTPS,客户端可以轻松地注册证书从 Anywhere 包括企业防火墙后或家庭的 ISP 连接而不需要 VPN。 因为支持三种不同的身份验证方法,客户端可以被加入到组织的内部域、 不受信任的域的外部的组织的或没有域在所有。 最后,由于服务器端组件作为 Web 服务实现的它们可以从 CA 单独安装并且支持分段的环境。

除了注册最终实体 (如用户和台式计算机的证书的典型方案,HTTP 注册还允许提供来自受信任的根 CA 证书的机会。 方案如公开面对 Web 服务器和其他系统的证书的隐式信任至关重要的用户 S/MIME 证书无法从多自治的注册的所有好处。 是例如许多组织具有大量 Web 服务器维护证书手动,使用服务器名称和 Microsoft Office Excel 工作簿中存储的到期日期的列表。 与 HTTP 注册,受信任的根 CA 可以提供在其中它们提供直接向这些 Web 服务器证书自动,释放不必手动维护这些证书管理员的服务。 此软件和服务结合,组织可以选择适合其需要部署模型最佳而无需设计网络或组织界限。

引用

bluebullet.gif 简介 Windows 生物特征 Framework (WBF)
Microsoft.com/whdc/device/input/smartcard/WBFIntro.mspx
bluebullet.gif 有关个人身份验证 (PIV) 联邦员工和 Contractors 的
csrc。 nist.gov/groups/SNS/piv/Index.html
bluebullet.gif Windows Server PKI 主页
Microsoft.com/pki
bluebullet.gif Windows PKI 博客
blogs.technet.com/pki

强身份验证

Windows 7 包含在第一个框中的支持生物特征设备与 Windows 生物特征 Framework (WBF)。 最初重点客户方案的指纹基于身份验证,WBF 旨在使生物特征识别技术用户的简便更集成体验。 统一的驱动程序模型所提供用户帐户控制 (UAC) 和自治的设备发现的设备类型,支持 Windows 登录 (本地和域),跨体验一致的用户。 为企业,WBF,请提供要禁用在 Framework 的组织选择不使用生物特征识别技术组 policy–driven 方法。 企业还可以选择允许生物特征识别技术为应用程序,而不是域登录。 最后,增强的设备管理可以防止除了只阻止驱动程序安装的设备使用。

除了生物特征识别技术的改进 Windows 7 还提高用户和管理员体验为智能卡方案。 智能卡现在将被视为与 Windows update–based 驱动程序安装即插即用设备。 插即用检测和安装过程进行登录前,那些需要使用智能卡登录的含义用户将能够登录甚至在其中卡不以前检测的情况下。 此外,安装不需要使其适合在最小特权环境中的管理权限。

智能卡类 mini-driver 现在包括 NIST SP 800-73-1 的支持,因此联邦机构可以使用他们 PIV (个人的身份验证) 卡,而无需使用其他中间件。 在 mini-driver 还支持在新兴 INCITS GICS (蝴蝶) 标准,对这些卡提供即插即用体验。

Windows 7 还引入了对生物特征基于智能卡解除锁定的支持,并包括启用安全的项插入的新 API。 最后,Windows 7 添加对两个 ECC 证书注册和使用用于登录的这些 ECC 证书椭圆曲线加密 (ECC) 智能卡证书的支持。

向上覆盖

Windows 7 和 Windows Server 2008 R 2 包含最重要的新 PKI 技术的一些,因为 Windows 2000 引入自动证书申请。 这一新功能使 PKI 更容易和效率管理,为最终用户提供更好的体验。

Windows 7 和 Windows Server 2008 R 2 包括运行 PKI 极大地增强,自动注册函数时更有效的强大新功能。 显著,跨目录林注册可以减少总的所需的组织的 CA,同时使其更易于合并、 收购和 divestitures 期间管理 PKI Operations。 新的最佳实践分析工具轻松以查找常见配置问题,问题发生之前的管理员。 支持 Server Core 和非永久的请求功能便于调整特定的组织需求的 CA 操作。 并 HTTP 注册打开自动提供在组织的证书和网络边界的新方法。

最终用户将还受益于使其更易于在其日常工作中使用证书的 Windows 7 PKI 功能的影响。 改进的证书选择接口使用户可以为特定用途选择正确的证书,并通过身份验证更快地更容易。 智能卡改进如插 Play–based 驱动程序安装和卡标准的本机支持意味着需要花费更少的时间获取卡用户系统上工作。 最后,生物特征识别技术的本机支持包含将在为最终用户和管理员提供更一致和无缝体验。

签出测试版中,如果尚未,并让我们了解您的想法通过反馈工具或在我们的博客 blogs.technet.com/pki.

John Morello 后与 Microsoft 2000。 他将花费在 Microsoft Consulting 的 Services 他为财富 500 强企业公司、 政府和世界各地的 militaries 设计安全性解决方案的位置的五年。 他当前是主要的主管项目经理,Windows Server 组中。 John 已写入 TechNet Magazine 的大量文章,他已提供几个的 Microsoft Press 书籍,他经常讲述在 TechEd 和 IT 论坛的会议。 您可以在他的团队博客 blogs.technet.com/WinCAT.