• Articolo

Protezione

Miglioramenti di PKI in Windows 7 e Windows Server 2008 R2

John Morello

Questo articolo si basa sul codice di versione non definitiva. Tutte le informazioni nel presente documento sono soggette a modifiche.

In un riepilogo delle:

  • Server Consolidation
  • Miglioramenti degli scenari esistenti
  • Software + servizi
  • L'autenticazione di sicuro

Contenuto

Server Consolidation
Miglioramenti degli scenari esistenti
Software + servizi
L'autenticazione di sicuro
Disposizione dei

Sembra che solo Ieri era la scrittura “ miglioramenti di PKI in Windows ”. un articolo Questo articolo, eseguito nel numero di agosto 2007 di TechNet Magazine si concentra su alcune delle innovazioni fornita in Windows Vista e Windows Server 2008. Le innovazioni inclusi ad esempio la registrazione dell'interfaccia utente miglioramenti e funzionalità OCSP (in linea Certificate Status Protocol). Mentre questi miglioramenti sono utili e ben ricevuti dagli utenti, si potrebbe affermare che le modifiche sono modifiche incrementali effettivamente dal punto di vista un professionista IT. Windows 7, tuttavia, verrà recapitare i miglioramenti di PKI notevolmente migliorare la distribuzione e l'esperienza operativa per gli utenti potenti nuovi scenari riducendo i costi operativi.

I miglioramenti apportati in Windows 7 e Windows Server 2008 R2 sono attivo circa quattro aree principali (illustrate nella Nella figura 1 ):

Consolidamento dei server. Questo consente alle organizzazioni di ridurre il numero totale di certificato di autorità (CA) necessario per soddisfare gli obiettivi aziendali.

Migliorare gli scenari esistenti. È questo questioni relative a elementi quali offre supporto più completo di SCEP (Simple Certificate Enrollment Protocol) e includendo un Best Practices Analyzer (BPA).

Software + servizi. Questo è necessario abilitare registrazione autonomo di utenti e dispositivi per i certificati indipendentemente all'esterno dei confini della rete e i provider di certificato.

Autenticazione avanzata. Viene illustrata l'area miglioramenti per l'utilizzo di smart card, l'introduzione del Framework biometrico Windows e così via.

fig1.gif

Figura 1 che le quattro principali aree di miglioramenti dell'infrastruttura PKI

In questo articolo illustrati alcune delle principali modifiche apportate in queste aree dal punto di vista di un professionista IT.

Server Consolidation

Uno dei temi predominante in IT ultimi alcuni anni è stato consolidamento dei server. In poche parole, questo è ridurre il footprint totale dell'ambiente informatico server durante comunque una riunione o anche di espansione, agli obiettivi aziendali. L'economia globale corrente ha reso costi una priorità superiore per numerosi gruppi IT e il consolidamento dei server certamente può essere un componente di tale strategia generale. Mentre la maggior parte delle organizzazioni non sono numeri grandi assoluti delle autorità di certificazione, molti dispone più di quanto è necessario unicamente in base a velocità di creazione del certificato. In altre parole, molte organizzazioni avere Autorità di certificazione underutilized notevolmente.

Esistono due ragioni principali per questo underutilization. In primo luogo, alcune organizzazioni potrebbero richiedere l'autorità di certificazione separate per legali o motivi di protezione dei criteri. Ad esempio, alcuni clienti deciso di emettere certificati per parti esterne da una CA completamente separata da quelle che emettono certificati agli utenti interni e computer. In questi casi, virtualizing l'autorità di CERTIFICAZIONE V Hyper possibile senza necessità di hardware server distinto (se necessario l'autorità di CERTIFICAZIONE comunque essere gestito, anche come una VM).

Il secondo motivo di comune è che la registrazione automatica è stata supportata solo negli scenari all'interno dell'insieme di strutture. In particolare, è un'autorità di CERTIFICAZIONE solo stato in grado di registrare automaticamente le entità per i certificati se queste entità fa parte dello stesso insieme di strutture appartiene a. Anche in casi in cui esiste il trust livello di insieme di strutture bidirezionale, autorità di certificazione separate sono state necessarie per ogni insieme di strutture in cui viene utilizzata la registrazione automatica.

Una delle principali nuove funzionalità in Windows Server 2008 R2 è la possibilità di eseguire la registrazione automatica in insieme di strutture relazioni di trust, creare il grado di ridurre drasticamente il numero totale delle autorità di certificazione necessario in un'organizzazione. Si consideri una rete tipica dell'organizzazione che ha già svolto un lavoro di consolidamento e ora ha quattro insiemi di strutture: produzione, sviluppo, test e bordo. Prima di R2, se si desidera fornire la registrazione automatica in ogni insieme di strutture, almeno quattro Autorità di certificazione di emissione erano necessari, anche se tutti gli insiemi di strutture trusted tra loro. R2, è possibile ridurre il numero totale delle autorità di certificazione in questo scenario a uno, con una singola autorità di CERTIFICAZIONE in uno degli insiemi di strutture emettere certificati per entità di tutte le altri insiemi di strutture.

Per gli ambienti con strutture a più insiemi di strutture più complesse, la riduzione totale in Autorità di certificazione può che ancora più radicale e che contengono un restituire immediatamente sugli investimenti per l'aggiornamento a R2.

Registrazione tra insiemi di strutture inoltre semplifica estendere un'infrastruttura PKI durante fusioni e acquisizioni, poiché i certificati possono iniziare in provisioning ai cespiti acquisiti appena un trust tra insiemi di strutture vengono inseriti in posizione. E poiché la registrazione con più insiemi di strutture è una modifica esclusivamente lato server, la registrazione può iniziare senza apportare modifiche al computer client e funziona con precedenti sistemi operativi client, ad esempio Windows XP.

Come foreste lavoro registrazione? Per l'utente finale, l'utilizzo è completamente trasparente. Come con qualsiasi altro scenario la registrazione automatica, l'utente ottiene solo i certificati con richiedendo nessuna o limitata scrittura interazione richiesto per la sua parte. Gli utenti finali probabilmente non sapranno provengono da quali insieme di strutture Autorità di certificazione e non dovrà eseguire le operazioni speciali per ottenere i certificati.

Per un professionista IT, i blocchi predefiniti di base sono principalmente uguali come con la registrazione automatica tradizionale interne a un insieme di strutture. La differenza fondamentale è l'autorità di CERTIFICAZIONE ora in grado di elaborare le richieste ricevute da un insieme di strutture esterno e recuperare i metadati relativi alla richiesta da un Active Directory trusted.

Questa possibilità di ricevere ed elaborare correttamente una richiesta da un insieme di strutture trusted è la nuova funzionalità chiave in R2 consente questo scenario per l'utilizzo. Oltre ai problemi di un'autorità di CERTIFICAZIONE R2 e il trust bidirezionale tra insiemi di strutture, è necessario replicare tra l'insieme di strutture contenente l'autorità di CERTIFICAZIONE e insiemi di tutte le altre strutture che verrà registrazione è in modelli di certificato. Microsoft fornirà uno script di Windows PowerShell per automatizzare questa replica, deve essere eseguita dopo ogni modifica di un modello. In molti casi, sarà consigliabile disporre dello script eseguito automaticamente come attività pianificata.

Esistono alcune altre funzionalità più piccoli che consentono di consolidamento dei server. Una è che l'autorità di CERTIFICAZIONE supporta le richieste non permanente, queste richieste di certificati, in genere breve vissuti, che non sono vengono scritte nel database della CA. Si consideri, ad esempio, Network Access Protection dello stato registrazione autorità. Questi sistemi possono emettere migliaia di certificati ogni giorno che sono validi solo per alcune ore. Gestione di tutte le richieste queste il database dell'autorità di CERTIFICAZIONE aggiunge il valore minimo, ma aumenta notevolmente l'archiviazione necessario. Con R2, tali richieste possono essere configurate per non essere scritti nel database e in questa configurazione può essere eseguita a livello l'autorità di CERTIFICAZIONE o modello (vedere la Figura 2 ).

fig2.gif

Nella figura 2 scelta non per archiviare i certificati nel database

Un'altra funzionalità progettata per semplificare consolidamento dei server è supporto per componenti di base di server. Con R2, può essere installato il ruolo di autorità di CERTIFICAZIONE sul server core se nessun altro servizio di ruolo Active directory CS (Servizi certificati Active Directory) è disponibile nel server core. Quando viene installato sul server core, l'autorità di CERTIFICAZIONE possono essere gestiti con uno locale utilità della riga di comando, ad esempio certutil, oppure utilizzando il MMCs standard da un sistema remoto. Si noti che se si utilizzano moduli di protezione hardware (HSM), è consigliabile verificare che il fornitore HSM supporta l'esecuzione i componenti di integrazione in componenti di base di server.

Miglioramenti degli scenari esistenti

Windows 7 e R2 includere un numero di miglioramenti incrementali alle funzionalità esistenti. Prima è una modifica per unità di STOCKKEEPING differenziazione per i modelli di certificato. Nelle precedenti versioni di Active Directory CS, modelli di certificato avanzata (versione 2 e 3) che consentono la funzionalità di registrazione automatica necessario Enterprise edition Autorità di certificazione. In Windows Server 2008 R2 un'edizione standard autorità di CERTIFICAZIONE supporta tutte le versioni di modello. R2 introduce anche alcuni miglioramenti per supportare il protocollo Simple di registrazione del certificato. In R2, il componente SCEP verrà supporta rinnovo dispositivo richieste e riutilizzo di password.

Novità di Active Directory CS in R2 è un Analizzatore procedure consigliate (vedere la Figura 3 ). BPAs sono stati creati per fornire un modo semplice agli amministratori di verificare le configurazioni in un database di procedure consigliate creati e gestiti da Team di funzionalità di Microsoft. I dati di servizi di supporto tecnico clienti indicano la maggior parte delle chiamate di assistenza in Active Directory CS sono causati da configurazioni non corrette, pertanto il BPA deve incrementare esperienze cliente semplificando in tal modo verificare che un'autorità di CERTIFICAZIONE è configurata correttamente. L'Analizzatore verrà verificare tali problemi come mancanti AIA (Accesso informazioni autorità) o OCSP puntatori, i certificati accanto a scadenza e attendibilità concatenamento problemi.

fig3.gif

Nella figura 3 esecuzione nuovo Best Practices Analyzer

Nelle versioni correnti di Windows, scegliere un certificato per l'autenticazione del client può essere difficile per gli utenti finali. Quando più certificati sono validi per l'autenticazione, Windows non facilitano agli utenti di determinare quale è quello giusto per un utilizzo specificato. Questo comporta ulteriori chiamate di tecnico della Guida in linea e costi di assistenza clienti maggiore. In Windows 7, l'interfaccia di selezione del certificato è stato migliorato notevolmente per semplificare notevolmente scegliere il certificato corretto per un determinato scenario. L'ordinamento dell'elenco è stato modificato anche allo scopo di facilitare la prendere decisioni più intelligente per presentare il certificato probabilmente per un determinato scenario come scelta predefinita. Infine, la selezione dell'interfaccia utente ora differenzia tra certificati su smart card e quelli memorizzati nel file system e presenta i certificati smart card più alto nell'elenco di selezione perché siano più probabile che da utilizzare. Vengono illustrate le differenze in immagini illustrate nella Figura 4 . Si noti che Internet Explorer 8 renderà il filtraggio migliorati (ma non le modifiche dell'interfaccia utente) disponibile nel sistema nonché di livello inferiore operativo.

fig4.gif

Nella figura 4 un metodo più intelligente per presentare i certificati

Software + servizi

Durante il processo di progettazione di Windows 7, il team di ospitare una riunione con molti degli superiore dell'infrastruttura PKI utenti per definire quali aree devono ricevere attenzione nella nuova versione. Un numero enorme di utenti è indicato che è difficile troppo gestire certificati oltre i limiti organizzativi, ad esempio tra due società separate che sono partner commerciali. Molti anche detto che dell'infrastruttura PKI sono visualizzati come una destinazione ideale per outsourcing, poiché richiede un insieme di speciali competenze per gestire in modo efficace. 7 Di Windows e Windows Server 2008 R2 verrà fornire una nuova tecnologia che soddisfi entrambi queste esigenze, semplificando l'provisioning certificati oltre i limiti e aprire nuovi modelli di business per le soluzioni dell'infrastruttura PKI host. Questa tecnologia è registrazione HTTP.

fig5.gif

Nella figura 5 il nuovo modello di registrazione

Registrazione di HTTP è una sostituzione per il protocollo RPC/DCOM, in base tradizionale utilizzato per la registrazione automatica nelle versioni precedenti (si noti che l'approccio RPC sia ancora disponibile in R2. Tuttavia, registrazione HTTP è oltre un protocollo di registrazione, è effettivamente un approccio completamente nuovo per fornire i certificati per terminare le entità, indipendentemente in cui si trovano trovare o se sono un computer gestito e con opzioni di autenticazione flessibile. Questo nuovo modello Elimina molti ostacoli trovati nella registrazione automatica tradizionale limiti organizzativi e fornisce un framework per terze parti per facilmente fornire servizi di registrazione automatica senza software aggiuntivo sui client.

Registrazione HTTP implementa due nuovi protocolli basati su HTTP. Il primo protocollo, noto come protocollo di criteri di registrazione del certificato, rende i modelli di certificato disponibile per gli utenti in sessioni HTTPS. Le entità di fine possono provenire da computer di insiemi di strutture separati con nessuna relazione di trust e il computer non ancora aggiunto a un dominio. Autenticazione utilizza Kerberos, i nomi utente e password o i certificati. Il protocollo di criteri di registrazione consente di eseguire il polling per i modelli e stabilire quando richiedere certificati basati su modelli nuove o aggiornate.

Il protocollo servizio di registrazione del certificato è un'estensione ws-trust. Il protocollo viene utilizzato per ottenere i certificati dopo le informazioni del modello sono state determinate. Supporta i metodi di autenticazione flessibile e utilizza HTTPS come il trasporto.

L'esempio riportato in Nella figura 5 viene illustrato come funziona questo nuovo modello di registrazione.

  • Nel passaggio 1, i modelli di certificato vengono pubblicati da Active Directory in un server che esegue il servizio di Web certificati registrazione criteri all'indirizzo (un ruolo di servizio nuovo a R2). L'amministratore di pubblicazione di tali modelli utilizza MMCs stessa e altri strumenti a cui siano già noti.
  • Nel passaggio 2, un client ha eseguito il polling al servizio Web tramite HTTPS per determinare l'elenco di modelli disponibili per la registrazione in. Il client capisce l'URL del servizio Web tramite Criteri di gruppo, script o configurazione manuale. Il client potrebbe essere un sistema appartenenti a un dominio, un sistema a un partner commerciale o sistema principale dell'utente.
  • Nel passaggio 3, il client ha determinato quali modelli che desidera registrare e invia una richiesta al servizio Web registrazione certificati per eseguire la registrazione effettiva.
  • Nel passaggio 4, il server che esegue il servizio di registrazione Web invia la richiesta a una CA per l'elaborazione.
  • Nel passaggio 5, l'autorità di CERTIFICAZIONE ha cercato i dati relativi al richiedente da Active Directory (come il suo indirizzo di posta elettronica o il nome DNS) che verranno incluse nel certificato emesso.
  • Nel passaggio 6, l'autorità di CERTIFICAZIONE restituisce il certificato completato al servizio Web di registrazione.
  • Nel passaggio 7, il servizio di Web di registrazione completa la transazione con il client tramite HTTPS e invia il certificato di firmato.

Flessibilità è uno dei principi di progettazione chiave in questo nuovo servizio ed è importante notare come la struttura può essere adattata per adattare una serie diverse di scenari. Poiché il protocollo di registrazione è HTTPS, i client possono facilmente registrare i certificati da qualsiasi luogo, tra cui protetti da firewall aziendale o da connessioni di provider di servizi Internet principale, senza una connessione VPN. Poiché sono supportati tre metodi di autenticazione diverso, i client possono essere aggiunto al dominio interno di un'organizzazione, un dominio non attendibile di un'organizzazione esterna o nessun dominio affatto. Infine, dato che i componenti lato server sono implementati come servizi Web, può essere installati separatamente da autorità di CERTIFICAZIONE e supportare ambienti segmentati.

In aggiunta allo scenario classico di registrare le entità di fine come utenti e computer desktop per i certificati, registrazione HTTP consente inoltre l'opportunità di provisioning certificati da CA radice. Scenari quali certificati S/MIME utente, pubblicamente affiancate server Web e altri sistemi in cui è importante implicita attendibilità dei certificati può tutti beneficiare registrazione più autonomo. Ad esempio, molte organizzazioni con un numero elevato di server Web gestire certificati manualmente, utilizzando elenchi di nomi di server e le date di scadenza memorizzate in cartelle di lavoro di Microsoft Office Excel. Con registrazione HTTP, CA radice può offrire un servizio in cui forniscono certificati direttamente da questi server Web automaticamente, liberare l'amministratore di dover gestire manualmente i certificati su di essi. Questa combinazione di software e dei servizi consente alle organizzazioni di scegliere i modelli di distribuzione che le esigenze migliore, senza dover progettare intorno a rete o limiti organizzativi.

I riferimenti

bluebullet.gif Introduzione a Windows Framework biometrico (WBF)
Microsoft.com/whdc/Device/input/smartcard/WBFIntro.mspx
bluebullet.gif Sulla verifica dell'identità personale (PIV) dei dipendenti federale consulenti
csrc. nist.gov/Groups/SNS/piv/index.html
bluebullet.gif Home page dell'infrastruttura PKI di Windows Server
Microsoft.com/PKI
bluebullet.gif Blog dell'infrastruttura PKI di Windows
blogs.technet.com/PKI

L'autenticazione di sicuro

Windows 7 include il supporto nella casella primo per biometrico dispositivi con i Windows biometrico Framework (WBF). WBF inizialmente concentra sull'autenticazione di base impronte digitali per gli scenari del consumer, è progettato per rendere biometrics un'esperienza più semplice e più integrata per gli utenti. Un modello di driver unificata fornisce assicura esperienze utente coerente indipendentemente i tipi di dispositivo con supporto per l'accesso di Windows (sia locale e dominio), controllo account utente (UAC) e individuazione del dispositivo autonomo. Per le aziende, WBF fornisce un metodo Policy–driven gruppo per disattivare il framework per le organizzazioni che sceglie di non utilizzare biometrics. Le organizzazioni possono inoltre scegliere di consentire biometrics per le applicazioni, ma non per accesso al dominio. Infine, la gestione di dispositivi avanzato possibile impedire uso di dispositivo aggiunta per impedire semplicemente l'installazione di driver.

Oltre a miglioramenti biometrics, Windows 7 anche migliora utenti e amministratori si verifica per gli scenari di smart card. Le smart card ora vengono considerate come dispositivi Plug and Play con installazione di driver Windows Update–based. Il processo di rilevamento e installazione Plug and Play avviene prima accesso, gli utenti di significato che sono necessari per l'accesso con smart card sarà in grado di accedere anche nei casi in cui la scheda è non stata precedentemente rilevata. Inoltre, l'installazione non richiede privilegi amministrativi, rendendo adatto in ambienti di privilegi minimi.

Mini-driver la classe di smart card ora include il 1 73 800 di NIST SP supporto, enti federale è possono utilizzare proprie schede PIV (verifica dell'identità personale) senza dover utilizzare middleware aggiuntive. Il mini-driver include inoltre il supporto per l'emergenti INCITS GICS (farfalla) standard, fornendo un'esperienza Plug and Play per le schede.

Inoltre, Windows 7 stato introdotto il supporto per lo sblocco smart card biometrico in base e include nuove API per consentire l'inserimento chiave protetta. Infine, Windows 7 aggiunge supporto per i certificati smart card Elliptic Curve Cryptography (ECC) per la registrazione certificati sia ECC e utilizzando i certificati ECC per l'accesso.

Disposizione dei

Windows 7 e Windows Server 2008 R2 contengono una parte più importante nuova tecnologia di infrastruttura PKI perché Windows 2000 introdotto richieste automatiche di certificati. Questa nuova funzionalità rende infrastrutture PKI più facile e più efficiente la gestione, recapito un'esperienza migliore per gli utenti finali.

7 Di Windows e Windows Server 2008 R2 includono potenti nuove funzionalità che rendono l'esecuzione di un'infrastruttura PKI più efficiente e migliorare notevolmente la funzione di registrazione automatica. Registrazione tra insiemi di strutture può notevolmente ridurre il numero totale di richieste da un'organizzazione di autorità di certificazione e la gestione dell'infrastruttura PKI operazioni durante fusioni, acquisti e divestitures. Nuovo Best Practices Analyzer semplifica per gli amministratori cercare più comuni problemi di configurazione prima si verifichino interruzioni. Funzionalità quali il supporto per componenti di base di server e le richieste non persistente semplificare la personalizzare le operazioni di autorità di CERTIFICAZIONE esigenze organizzative specifiche. E viene aperta la registrazione HTTP nuovi metodi per automaticamente eseguire il provisioning certificati tra l'organizzazione e all'esterno dei confini della rete.

Gli utenti finali saranno usufruire delle caratteristiche di Windows PKI 7 che facilitano l'utilizzo di certificati nelle attività lavorative quotidiane. Interfaccia di selezione certificato migliorato rende più semplice agli utenti di scegliere il certificato corretto per un determinato obiettivo e autenticare correttamente più rapidamente. I miglioramenti smart card come Plug and Play–based installazione del driver e il supporto nativo per scheda standard significa meno tempo deve essere impiegato per ottenere le schede di collaborare a sistemi di utente. Infine, l'inclusione di supporto nativo per biometrics fornirà un'esperienza più coerenza e trasparente per gli utenti finali e amministratori.

Estrarre la versione beta se non già e fateci sapere cosa ne pensi tramite lo strumento di commenti e suggerimenti o sul nostro blog in blogs.technet.com/PKI.

John Morello ha lavorato per Microsoft da 2000. Ha trascorso cinque anni in Microsoft Consulting Services in cui ha progettato soluzioni di protezione per le aziende, governi e militaries tutto il mondo di aziende Fortune 500. Trova attualmente principale Lead Program Manager presso il gruppo di server Windows. John è scritto numerosi articoli per TechNet Magazine, egli ha contribuito a libri di Microsoft Press più e ha letto regolarmente a conferenze quali TechEd e forum IT. È possibile leggere suo team blog all' blogs.technet.com/WinCAT.