第 7 章:實作公開金鑰基礎結構
發佈日期: 2004 年 11 月 10 日 |更新日期: 2005 年 5 月 26 日
本頁內容
簡介
憑證服務規劃工作表
建置伺服器
為 PKI 準備 Active Directory
為憑證服務保護 Windows Server 2003
其他 Windows 設定工作
安裝和設定根 CA
安裝與設定發行 CA
後續建置設定
用戶端設定
總結
簡介
本章為您提供了詳細指南,用於建置以 Microsoft® Windows Server™ 2003 憑證服務為基礎的公開金鑰基礎結構 (PKI)。本章包括憑證授權單位 (CA) 的安裝與設定、Active Directory® 目錄服務和 Microsoft Internet Information Services (IIS) 的準備,以及用戶端憑證原則的設定。本指南專門協助您建立後續章節中用於建置完整無線區域網路安全性解決方案的憑證基礎結構。
本章旨在為您提供第 4 章<設計公開金鑰基礎結構>中所述 PKI 設計的實作說明。本章不會嘗試說明任何一般 PKI 概念,也不會詳細說明 Microsoft 憑證服務實作。
本章與 PKI 規劃及作業章節 (分別為第 4 章和第 11 章) 屬於同一系列文章。《規劃指南》章節說明本章所用實作決策的理論依據。《作業指南》章節則說明成功維護 PKI 所需的工作與程序。如果您尚未閱讀《規劃指南》各章節,強烈建議您在繼續閱讀本章之前先行閱讀這些文章。在使用本章中的指南實作 PKI 之前,您還應閱讀並瞭解《作業指南》中的支援需求含義。
本章先決條件
本節包含檢查清單,可協助您確保組織準備就緒,隨時可以實作 PKI。(「準備就緒」是從邏輯意義 (而非商業意義) 上而言 – 實作本解決方案的商業動機已在先前的《規劃指南》章節中討論過。)
知識先決條件
您尤其應該熟悉 PKI 和 Microsoft 憑證服務概念。您還需熟悉 Windows 2000 Server 或 Windows Server 2003 以下各方面的內容:
安裝 Microsoft Windows® 作業系統。
Active Directory 概念 (包括 Active Directory 結構和工具;操作使用者、群組及其他 Active Directory 物件;群組原則的使用)。
Windows 系統安全性;安全性概念,如使用者、群組、稽核、存取控制清單 (ACL);使用安全性範本;使用群組原則或命令列工具來套用安全性範本。
管理 IIS。
瞭解 Windows Scripting Host 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言有助您充分利用提供的指令碼,但這並不是必要的。
在繼續閱讀本章之前,您還應閱讀《規劃指南》,全面瞭解解決方案的架構與設計。
組織先決條件
您應該諮詢組織中實作本解決方案的其他相關人員,如:
業務贊助者
安全人員和稽核人員。
Active Directory 工程、管理及操作人員。
DNS (網域名稱系統)、網頁伺服器及網路工程人員。
管理及操作人員。
IT 基礎結構先決條件
本章假設現有 IT 基礎結構滿足以下條件:
已部署 Windows 2000 或 Windows Server 2003 Active Directory 網域基礎結構。所有「憑證服務」的使用者必須是 Active Directory 樹系的成員。
附註: 雖然本解決方案完全支援將 Windows Server 2003 憑證服務及網際網路驗證服務 (IAS–Microsoft 的 RADIUS 實作) 與 Windows 2000 Active Directory 搭配使用,但並未在此設定下對本解決方案進行測試;本解決方案僅針對與 Windows 2003 Active Directory 搭配使用進行了測試。但是,本指南中包含使用 Windows 2000 Active Directory 的說明。 雖然經過小幅修改後可以為多個樹系部署本解決方案,但這部分內容不屬於本指南的討論範圍。如需更多有關多個樹系部署的資訊,請參閱本章結尾<其他資訊>一節中的附註。 本解決方案不包含整合到現有 PKI 的指南。但是,本解決方案不排除與現有 PKI 一起進行部署。
具有能夠執行 Windows Server 2003 憑證服務的伺服器硬體。本指南中提供了建議的設定。
本解決方案不整合到現有 PKI。但是,本解決方案不排除與現有 PKI 一起進行部署。
具有 Windows Server 2003 標準版與企業版授權、安裝媒體以及產品金鑰。
本章概觀
下圖顯示了建置本章所述 PKI 的程序。
.gif)
圖 7.1 PKI 建置程序圖
上述步驟與本章中的結構相對應,並在以下清單中說明。每個步驟均包含安裝或設定工作, 同時還具有驗證程序,使您在繼續執行下一個步驟前,能夠檢查所有工作是否都準備就緒。
憑證服務規劃工作表。列出本章中用來安裝和設定憑證服務的設定資訊, 其中還包含開始實作之前必須提供的資訊表。
建置伺服器。說明如何選取並設定硬體、安裝 Windows Server 2003,以及安裝選用元件 (例如 IIS)。
為 PKI 準備 Active Directory。說明欲部署 PKI 之 Active Directory 樹系和網域的先決條件,以及必要的準備步驟。同時說明如何建立管理安全性群組和使用者,以及為委派管理工作設定正確的權限。
為憑證服務保護 Windows Server 2003。** **討論如何透過套用安全性範本來實作作業系統層級的安全性。所使用的範本來自《Windows Server 2003 安全性指南》。如需有關如何獲取本指南的詳細資訊,請參閱本章結尾的<其他資訊>一節。
其他 Windows 設定工作。** **列出完成伺服器基本安裝的幾項常見工作。
安裝和設定根 CA。** **說明準備步驟、軟體安裝及憑證服務的設定 (包括定義伺服器的管理角色)。最終步驟是將離線根 CA 的憑證和憑證撤銷清單 (CRL) 發佈到 Active Directory 和網頁伺服器。
安裝與設定發行 CA。類似於根 CA 的指南,但同時還包括如何從根 CA 取得 CA 憑證。最終驗證步驟確認您可以從發行的 CA 註冊憑證。
建置後設定。說明如何設定由發行 CA 發出的預設憑證類型、為多網域樹系設定權限,以及在將 CA 引入生產環境之前進行備份。
用戶端設定。** **說明如何為網域中的所有使用者和電腦啟用自動註冊,以及如何設定根憑證信任原則。
憑證服務規劃工作表
本節中的表格將列出本解決方案中使用的所有 PKI 設定參數。您應將這些表格作為計劃決策的檢查清單。
這些表格中的部分參數需要在執行本章所述程序時手動輸入。其他參數由某個程序中執行的指令碼設定,或由指令碼透過某種方式參照參數以完成設定或操作工作。如果出現這種情況,表格中將包含相關的指令碼名稱。
**附註:**本章中所使用的指令碼,在附錄 A 和指令碼隨附的 ToolsReadme.txt 檔案中有更詳細的說明。
使用者定義的設定項目
下表列出虛構 Woodgrove Bank 公司的特定組織參數。開始安裝程序之前,應確定已收集或決定貴組織所有項目的對等設定。在本章中,下表所示的虛擬值將用於命令範例。您應使用適合貴企業組織的值來取代這些虛構值。文字中需要您取代值的地方以斜體表示。
表 7.1:使用者定義的設定項目
| 設定項目 | 設定 | 指令碼參照 |
|---|---|---|
| Active Directory 樹系根網域的 DNS 名稱 | woodgrovebank.com | |
| 樹系根的識別名稱 (DN) | DC=woodgrovebank,DC=com | Pkiparams.vbs |
| 網域的 NetBIOS (網域基本輸入/輸出系統) 名稱 | WOODGROVEBANK | |
| 根 CA 工作群組的 NetBIOS 名稱 | WGB-Root | |
| 根 CA 的伺服器名稱 | HQ-CA-01 | |
| 發行 CA 的伺服器名稱 | HQ-CA-02 | |
| 根 CA 的 X.500 一般名稱 (CN) | WoodGrove Bank Root CA | |
| 發行 CA 的 X.500 CN | WoodGrove Bank Issuing CA 1 | |
| 用來發佈 CA 憑證和撤銷資訊之網頁伺服器的完整主機名稱 | www.woodgrovebank.com | Pkiparams.vbs |
| 設定項目 | 設定 | 指令碼參照 |
|---|---|---|
| 管理角色安全性群組 | ||
| 公開金鑰服務設定容器的系統管理員。 | 企業 PKI 系統管理員 | ca_setup.wsf |
| 有權將憑證撤銷清單 (CRL) 和 CA 憑證發佈到企業設定容器的系統管理群組。 | 企業 PKI 發行者 | ca_setup.wsf |
| 設定和維護 CA 的系統管理群組,亦控制指派所有其他 CA 角色並更新 CA 憑證的能力。 | CA 系統管理員 | ca_setup.wsf |
| 核准憑證註冊和撤銷要求的系統管理群組。這是一個 CA 長官角色。 | 憑證管理員 | ca_setup.wsf |
| 管理 CA 稽核和安全性記錄的系統管理群組。 | CA 稽核員 | ca_setup.wsf |
| 管理 CA 備份的系統管理群組。 | CA 備份操作員 | ca_setup.wsf |
| IIS 設定 | ||
| 用於發佈 CA 憑證和 CRL 資訊的網際網路資訊服務 (IIS) 虛擬目錄名稱。 | pki | Pkiparams.vbs |
| 發行 CA 上對應至 IIS 虛擬目錄的實體路徑。 | C:\CAWWWPub | Pkiparams.vbs |
| 一般 CA 參數 | ||
| 儲存「憑證服務」要求檔案的磁碟機和路徑。 | C:\CAConfig | Pkiparams.vbs |
| 儲存「憑證服務」資料庫記錄的磁碟機和路徑。 | %windir%\System32\CertLog | |
| 根 CA 設定 | ||
| 根 CA 金鑰的長度 (請參閱本表格後的附註)。 | 4096 | |
| 根 CA 憑證的有效期。 | 16 | Pkiparams.vbs |
| 上一個值的單位。 | 年 | Pkiparams.vbs |
| 根 CA 發出之憑證的最大有效期。 | 8 | Pkiparams.vbs |
| 上一個值的單位。 | 年 | Pkiparams.vbs |
| 根 CA 的 CRL 發佈間隔。 | 6 | Pkiparams.vbs |
| 上一個值的單位。 | 月 | Pkiparams.vbs |
| CRL 重疊期間 (新 CRL 發佈和舊 CRL 到期之間的時間)。 | 10 | Pkiparams.vbs |
| 上一個值的單位。 | 日 | Pkiparams.vbs |
| 根 CA 的 Delta–CRL 發佈期間 — 0 = 停用 delta–CRL。 | 0 | Pkiparams.vbs |
| 上一個值的單位。 | 小時 | |
| 發行 CA 的參數 | ||
| 儲存「憑證服務」資料庫的磁碟機和路徑。 | D:\CertLog | |
| 發行 CA 金鑰的長度。 | 2048 | |
| 發行 CA 憑證的有效期。 | 8 | Pkiparams.vbs |
| 上一個值的單位。 | 年 | Pkiparams.vbs |
| 發行 CA 發出之憑證的最大有效期。 | 4 | Pkiparams.vbs |
| 上一個值的單位。 | 年 | Pkiparams.vbs |
| 發行 CA 的 CRL 發佈間隔。 | 7 | Pkiparams.vbs |
| 上述值的單位。 | 日 | Pkiparams.vbs |
| CRL 重疊期間 (新 CRL 發佈和舊 CRL 到期之間的時間)。 | 4 | Pkiparams.vbs |
| 上述值的單位。 | 日 | Pkiparams.vbs |
| 發行 CA 的 Delta–CRL 發佈期間 — 0 = 停用 delta–CRL。 | 1 | Pkiparams.vbs |
| 上一個值的單位。 | 日 | Pkiparams.vbs |
| Delta–CRL 重疊期間 (新 delta CRL 發佈和舊 delta CRL 到期之間的時間) | 1 | Pkiparams.vbs |
| 上一個值的單位。 | 日 | Pkiparams.vbs |
| 雜項 | ||
| 安裝指令碼的路徑。 | C:\MSSScripts |
| 項目 | 需求 |
|---|---|
| CPU | 單一 CPU 733 MHz 或更高速度 |
| 記憶體 | 256 MB |
| 網路介面 | 無 (或停用) |
| 磁碟儲存 | IDE (整合式電子裝置) 或 SCSI (小型電腦系統介面) RAID (獨立磁碟容錯陣列) 控制站 2 x 18 GB (SCSI) 或 2 x 20 GB (IDE),設定為 RAID 1 磁碟區 (磁碟機 C) 本機卸除式媒體存放裝置 (用於備份的 CD-RW 或磁帶) 用於資料傳輸的 1.44 MB 磁碟機 |
發行 CA 伺服器硬體
儘管發行 CA 具有效能需求,但與許多其他類型的伺服器相比之下,發行 CA 的工作量通常都很少,所以這些需求也相對較低。為根 CA 伺服器選取硬體的相同品質及可靠性準則在此同樣適用。在網路和存放裝置方面與根 CA 的規格有部分細微差異 (如下表所示):
表 7.4:發行 CA 伺服器的建議硬體規格
| 項目 | 需求 |
|---|---|
| CPU | 單一 CPU 733 MHz 或更高速度 |
| 記憶體 | 256 MB |
| 網路介面 | 2 x 單一網路介面卡 (NIC),以提供恢復功能 |
| 磁碟儲存 | IDE 或 SCSI RAID 控制站 2 x 18 GB (SCSI) 或 2 x 20 GB (IDE),設定為 RAID 1 磁碟區 (磁碟機 C 和 D) 如果沒有網路備份設備,則需本機卸除式媒體存放裝置 (用於備份的 CD-RW 或磁帶)。 用於資料傳輸的 1.44 MB 磁碟機 |
**重要:**上表中的伺服器規格適用於大約 5,000 個使用者。如果您擁有更多使用者,則應至少將磁碟容量增加一倍以作為第二個磁碟機 (允許每 1000 個使用者擁有約 2 GB 的容量),並將安裝的記憶體增加一倍。如需有關磁碟使用率的指南,請參閱第 11 章<管理公開金鑰基礎結構>中<決定發行 CA 的儲存和備份需求>一節。
準備硬體
根據硬體廠商的建議完成所有硬體設定。這些建議可能包括套用最新的 BIOS 與韌體更新。
使用隨硬體提供的磁碟控制站管理軟體,來建立前面表格中所述的 RAID 1 磁碟區 (一個磁碟區用於根 CA,兩個磁碟區用於發行 CA)。
準備根 CA 伺服器
本節中的工作說明如何在用於根 CA 的伺服器上安裝 Windows。
安裝 Windows Server 2003 標準版
許多組織已經擁有自動安裝伺服器的程序。如果本節中使用的參數可以包含於自動建置程序,則可使用此程序來建置伺服器。
如果建置依賴網路連線,則屬於例外情況。在此情況下,您應該毫不猶豫地考慮手動執行建置,至少根 CA 需要如此。很多離線 CA 的安全性保證依賴於沒有連線至網路或從未連線至網路的事實。這會大幅降低電腦受外部攻擊入侵的可能性 (因為攻擊者需要以某種方式實體存取伺服器)。
安裝 Windows Server 2003
將 Windows Server 2003 標準版 CD 放入 CD-ROM 光碟機,然後啟動系統。請確定伺服器 BIOS 中已將 CD-ROM 設定為可開機裝置。
在主磁碟區上建立一個磁碟分割,將其格式化為 NTFS,然後選取在該磁碟分割上安裝 Windows 的選項。
選取適當的區域設定。
鍵入 Windows 將註冊的名稱和公司資訊。
為本機系統管理員帳戶輸入一個增強式密碼 (至少 10 個字元,且為大寫字母和小寫字母、數字,及標點字元的混合)。
在提示時鍵入電腦名稱,如 HQ-CA-01* *(請用您的電腦名稱取代此值)。
**重要:**即使根 CA 離線,保證其名稱在組織中唯一也很重要。
提示時,選取加入一個工作群組。鍵入工作群組名稱,如 WGB-Root (請用您所選擇的工作群組名稱取代此值)。
提示時,不要安裝任何選用元件。
伺服器會在主要安裝程序結束時重新啟動。繼續執行下列步驟。
安裝現行 Windows Service Pack (撰寫本文時,Windows Server 2003 剛製造發行,所以沒有 Service Pack 可以使用) 和任何建議的安全性更新 (請使用 Microsoft Baseline Security Analyzer 之類的工具來決定建議的更新)。您還應該安裝任何其他重要功能性更新 (與安全性無關),或根據測試結果所需的更新。
啟動 Windows 的複本。啟動程序必須離線完成,這樣伺服器在任何時候都不會連線至網路。
網路設定
根 CA 不連線至網路。您應該透過 [控制台] 中的 [網路連線] 停用系統上的任何網路介面,以防止根 CA 在錯誤連線至網路時可經由網路進行存取。
驗證安裝
您應該驗證作業系統的安裝是否正確完成,以及設定的參數是否與預期的一致。
檢視目前的系統設定
在命令提示字元中,執行 systeminfo 程式。
驗證 systeminfo 輸出的下列元素 (此處為求簡明,已省略部分輸出詳細資訊,並以省略號「...」表示):
主機名稱: HQ-CA-01
作業系統名稱: Microsoft® Windows® Server 2003, Standard Edition
...
作業系統設定: 獨立伺服器
註冊的擁有者: YourOwnerName
登記的公司: YourOwnerOrganization
...
Windows 目錄: C:\WINDOWS
系統目錄: C:\WINDOWS\System32
開機裝置: \Device\HarddiskVolume1
系統地區設定: YourSystemLocale
輸入法地區設定: YourInputLocale
時區: YourTimeZone
...
網域: WGB-Root
登入伺服器: \HQ-CA-01
Hotfix: 已安裝 X 個 Hotfix。
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
網路卡: N/A
如果這些設定與預期不符,您需要透過 [控制台] 重新設定伺服器,或重新執行安裝。
準備發行 CA 伺服器
本節中的工作說明如何在用於發行 CA 的伺服器上安裝 Windows。
安裝 Windows Server 2003 企業版
遵循建置根 CA 伺服器的程序,並注意下列例外情況。
與根 CA 不同的是,您可以使用基於網路的建置方法 (如果需要) 來建置發行 CA 伺服器。但是,您應該採取合理的預防措施,確保 CA 不會受到任何安全性威脅。例如,您應將其安裝在隔離的網路中,沒有至網際網路或公司主要網路的可路由路徑。請切記,在安裝最新安全性更新之前,系統可能容易受到網路威脅。
安裝 Windows Server 2003 企業版
遵循在根 CA 伺服器上安裝 Windows 作業系統的步驟 1 到 5,不同之處是要以 Windows Server 2003 的企業版取代標準版。
在提示時鍵入電腦名稱,如 HQ-CA-02* *(請用您的電腦名稱取代此值)。
在提示時,選取加入網域之選項。輸入伺服器將加入的 Active Directory 網域名稱,如 WOODGROVEBANK (請用您要在其中安裝 CA 的網域名稱取代此值)。在提示時,輸入獲准將電腦加入此網域的使用者認證。
**附註:**在多網域樹系中,憑證伺服器一般都會安裝在樹系的根網域下;這雖然不是必要的,但本解決方案中仍對此作了假設。
請勿安裝任何選用元件。
伺服器會在主要安裝程序結束時重新啟動。繼續執行下列步驟。
為根 CA 安裝任何現行的 service pack 和所需的 hotfix。
在第二個硬式磁碟的磁碟區上建立一個磁碟分割,並將其指定為磁碟機 D,然後將其格式化為 NTFS 格式。
在磁碟機 D: 上建立名為 D:\CertLog 的資料夾。
啟動 Windows 的複本。啟動程序必須離線完成,這樣伺服器就不會以任何方式暴露於網際網路中。
網路設定
此發行 CA 有單一網路介面 (雖然可能透過組合兩個實體網路介面卡來實作,用於增加恢復力)。網路介面應以固定的網際網路通訊協定 (IP) 位址,及其他適用於您網路的 IP 設定參數 (預設閘道,DNS 設定等) 來進行設定。
基於安全性理由,您應封鎖發行 CA 與網際網路之間的任何輸入或輸出連線。即使僅授予輸出存取權,也會導致病毒及其他惡意軟體具有更大的危險性。例如,這樣會使病毒及其他惡意軟體能夠從網際網路下載其他程式碼,或盜取您的 CA 私密金鑰資料並在組織外進行傳輸。
驗證安裝
您應該驗證作業系統的安裝是否正確完成,以及設定的參數是否與預期的一致。
檢視目前的系統設定
在命令提示字元中,執行 systeminfo 程式。
驗證 systeminfo 輸出的下列元素 (此處為求簡明,已省略部分輸出詳細資訊):
主機名稱: HQ-CA-02
作業系統名稱: Microsoft® Windows® Server 2003, Enterprise Edition
...
作業系統設定: 成員伺服器
註冊的擁有者: YourOwnerName
登記的公司: YourOwnerOrganization
...
Windows 目錄: C:\WINDOWS
系統目錄: C:\WINDOWS\System32
開機裝置: \Device\HarddiskVolume1
系統地區設定: YourSystemLocale
輸入法地區設定: YourInputLocale
時區: YourTimeZone
...
網域: woodgrovebank.com
登入伺服器: \\DomainControllerName
Hotfix: 已安裝 X 個 Hotfix。
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
網路卡: 已安裝 1 NIC。
[01]: ModelAndVendorofNetworkCard
連線名稱: 區域連線
啟用 DHCP: 否
IP address(es)
[01]: 10.1.1.11
如果這些設定與預期不符,則應透過 [控制台] 重新設定伺服器,或重新執行安裝。
安裝設定指令碼至伺服器
本解決方案還提供許多支援指令碼和設定檔,有助於簡化解決方案的某些設定和操作。您必須將它們安裝在每一個 CA 伺服器上。上述部分指令碼在執行《作業指南》章節中所述的操作時還需要使用,因此請勿在完成 CA 安裝後就將其刪除。
在每一個伺服器上安裝設定指令碼
建立名為 C:\MSSScripts的資料夾。
將指令碼從發佈媒體複製到此資料夾中。
安裝和設定網際網路資訊服務
本節說明如何在發行 CA 上安裝和設定網際網路資訊服務 (IIS)。使用 IIS 可以為非 Windows 用戶端提供 CA 憑證和 CRL 下載點。建議不要在根 CA 上安裝 IIS。雖然您可以在發行 CA 上安裝 IIS,但更為安全的方法是在 CA 以外的其他伺服器上主控 CA 憑證和 CRL 的 Web 下載點。可能有許多需要擷取 CRL 或 CA 鏈資訊的憑證 (內部和外部) 使用者,但是不必對其授與對 CA 的存取權。如果下載點由 CA 本身主控,則無法防止此類存取。
**重要:**為了簡化本解決方案中的指南,可使用發行 CA 伺服器來主控網頁伺服器、CA 憑證和 CRL 下載點。但是,建議在您的環境中使用獨立的網頁伺服器,以提高 CA 的安全性。此處所述的步驟可用於在發行 CA 或獨立的伺服器上安裝和設定 IIS。
IIS 還可以主控憑證服務 Web 註冊頁,但本解決方案中並沒有使用這些網頁。如果要在 CA 以外的伺服器上安裝 Web 註冊頁,您必須在 Active Directory 的伺服器電腦物件中設定相應屬性,以將此伺服器標示為「受信任可以委派」。
在發行 CA 上安裝網際網路資訊服務
IIS 使用「Windows 選用元件管理員」(透過 [控制台] 中的 [新增/移除元件] 存取) 進行安裝。下表列出要安裝的元件。縮排結構反映元件之間的階層關係,如同您在「選用元件管理員精靈」中所見 (例如,[啟用網路 COM+ 存取] 是 [應用程式伺服器] 的子元件)。未選取的元件不會顯示在該表格中。
表 7.5:要安裝的選用元件
| 元件 | 安裝狀態 |
|---|---|
| 應用程式伺服器 | 已選取 |
| 啟用網路 COM+ 存取 | 已選取 |
| 網際網路資訊服務 | 已選取 |
| Common Files | 已選取 |
| Internet Information Services Manager | 已選取 |
| World Wide Web Service | 已選取 |
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >使用者/群組</th>
<th style="border:1px solid black;" >權限</th>
<th style="border:1px solid black;" >允許/拒絕</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">系統管理員</td>
<td style="border:1px solid black;">完全控制</td>
<td style="border:1px solid black;">允許</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">系統</td>
<td style="border:1px solid black;">完全控制</td>
<td style="border:1px solid black;">允許</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">建立者擁有者</td>
<td style="border:1px solid black;">完全控制 (僅子資料夾和檔案)</td>
<td style="border:1px solid black;">允許</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">使用者</td>
<td style="border:1px solid black;">讀取
列出資料夾內容</td>
<td style="border:1px solid black;">允許</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">IIS_WPG</td>
<td style="border:1px solid black;">讀取
列出資料夾內容</td>
<td style="border:1px solid black;">允許</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">網際網路來賓帳戶</td>
<td style="border:1px solid black;">寫入</td>
<td style="border:1px solid black;">拒絕</td>
</tr>
</tbody>
</table>
在網際網路資訊服務管理主控台中,於預設網站下建立新的虛擬目錄:
將虛擬目錄命名為 pki
指定 C:\CAWWWPub 作為路徑。
在虛擬目錄存取權限中,清除 [執行指令碼 (如 ASP)] 選項。
確定虛擬目錄的匿名驗證已啟用。
為 HTTP 發佈點選擇 DNS 別名
您應該建立通用 DNS 別名 (CNAME),解析主控 CDP 和 AIA 的 IIS 伺服器,例如:www.woodgrovebank.com。在後續章節中設定 CA 的 CDP 和 AIA 路徑時,應使用此 DNS 別名。使用此別名可讓您在以後輕易地將 CA 發佈點移至其他伺服器或網路位置,而不必重新發行 CA 憑證。
驗證 IIS 安裝
繼續前應驗證 IIS 的基本作業。如果下列任何測試失敗,您應根據本節的先前步驟重新檢查 IIS 安裝與設定。
驗證 IIS 虛擬目錄的正確運作
以本機系統管理員成員的身份登入 IIS 伺服器 (發行 CA),然後使用記事本等文字編輯程式來建立檔案。輸入一些可辨識文字 (文字的內容並不重要,也不需要 HTML 標籤)。例如:
Hello World
在您於上一步驟中為發佈 CDP 和 AIA 資訊而建立的資料夾 [C:\CAWWWPub] 中,將檔案儲存為 test.htm。在同一資料夾將相同的檔案儲存為 test.asp。
開啟瀏覽器並鍵入統一資源定位器 (URL),以嘗試擷取該頁面:
https://www.woodgrovebank.com/pki/test.htm
**附註:**如果尚未在 DNS 中設定此別名,則可根據 IIS 伺服器的 IP 位址,在本機主機檔案 (%systemroot%\system32\drivers\etc\hosts) 中暫時輸入別名。或者,您可以使用 IIS 伺服器的真實主機名稱取代別名。但請注意,您必須在稍後檢查 DNS 別名能否正常運作。
您應該看到瀏覽器中顯示的文字「Hello world」(或您在步驟 1 中輸入的任何其他文字)。
驗證已停用的「執行」權限
開啟瀏覽器並鍵入下列 URL,以嘗試擷取該頁面:
https://www.woodgrovebank.com/pki/test.asp
瀏覽器上應該會顯示下列錯誤訊息 (或類似訊息):
無法顯示此頁面
您試圖從不允許執行程式的目錄執行 CGI、ISAPI,或其他可執行程式。
下列錯誤碼也應該會顯示:
HTTP 錯誤 403.1 - 禁止:執行存取被拒絕。
網際網路資訊服務 (IIS)
您必須確保已啟用匿名存取網站的功能。因為 Microsoft Internet Explorer 會自動且默默地嘗試驗證網站的使用者,所以有時很難判斷使用的是匿名存取還是驗證存取。其中一個方法是變更 Internet Explorer 區域安全性設定,強制使用匿名登入,並重複前面的測試。或者,您也可以執行下列程序,使用 telnet.exe 強制進行未經驗證的存取。本程序假設您從 IIS 伺服器本身測試網站,不適用於從 Proxy 伺服器進行測試。
驗證已啟用匿名存取
在命令提示字元中,執行 telnet 程式。
在 telnet 提示畫面,鍵入下列命令來開啟鍵入字元的本機顯示:
set localecho
鍵入下列命令,以使用先前定義的 DNS 別名連線至 IIS:
open www.woodgrovebank.com 80
鍵入下列文字 (完全遵循顯示,包括大小寫) 以擷取 test.htm 頁面:
GET /pki/test.htm
**附註:**游標將返回螢幕頂端,表示鍵入的文字正在覆寫螢幕上的現有文字,這可能導致輕微地顯示混亂。您可以放心地忽略此情況。
如果鍵入出錯,請按下 RETURN,然後再次鍵入 open 命令 (如步驟 3 中所示) 以重新連線,並重新嘗試使用 GET 命令。應該看到下列輸出:
Hello world
主機連線遺失。
按下任意鍵繼續...
鍵入 quit 以結束 telnet。
如果本節中的三個測試已全部正確完成,則請從網頁伺服器資料夾中刪除 test.htm 和 test.asp 檔案。
安裝和設定其他作業系統元件
本節說明如何安裝和設定伺服器所需的其他元件。根 CA 和發行 CA 伺服器都應遵循這些程序。
移除更新根憑證服務
您應該移除「更新根憑證」服務。這是依預設安裝的選用元件。CA 的根信任沒必要自動更新。在任何情況下,如果無法存取網際網路,此服務將不會運作,並且會將錯誤記錄到事件日誌。很明顯,離線 CA 沒有網路存取權,但您也應該如之前所述,封鎖發行 CA 與網際網路之間的任何輸入或輸出連線。
移除更新根憑證服務
在命令提示字元中執行下列命令。
sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_RemoveRootUpdate.txt
此命令可將「選用元件管理員」設定為使用 C:\MSSScripts\OC_ RemoveRootUpdate.txt 檔案中指定的元件設定。
[Components]
rootautoupdate = Off
檢查 Service Pack 和安全性更新
此時,您應該重新檢查安裝的 Service Pack 和更新清單 (因為可能已經安裝了其他的元件,如 IIS)。請使用諸如 Microsoft Baseline Security Analyzer (MBSA) 的工具來執行檢查,獲取所有必需的更新,並在經適當測試後將其安裝在伺服器上。
如需有關使用 MBSA 的說明,請參閱本章結尾<其他資訊>一節中提供的連結。
**附註:**您需要分別下載現行 Microsoft 安全性更新清單 mssecure.xml,以便您可以離線執行 MBSA。MBSA 連結中的 MBSA 文件對此進行了說明。
安裝其他軟體
本節說明如何安裝 CA 所需的其他軟體。
CAPICOM
對於隨本解決方案提供的部分設定和管理指令碼,根 CA 和發行 CA 都需要 CAPICOM 2.0 (現行版本實際為 2.0.0.3)。如需有關取得最新版 CAPICOM 的資訊,請參閱本章結尾<其他資訊>一節。
請遵循自行解壓縮的可執行檔中的說明,安裝並註冊 CAPICOM 動態連結程式庫 (DLL) 程式庫。
Windows Server 2003 支援工具
雖然並非嚴格必要,在發行 CA 伺服器上安裝 Windows 2000 支援工具還是非常有用的。對於某些 CA 作業,一些工具很有用,其他則可助於疑難排解。可以從 Windows 安裝 CD (Suptools.msi 在 Support\Tools 內) 中安裝支援工具。
為 PKI 準備 Active Directory
本節說明如何準備 Active Directory 以安裝 Windows Server 2003 憑證服務。
Active Directory 架構準備
本解決方案的 Active Directory 網域基礎結構有一些基本需求。根據解決方案是安裝在 Windows 2000 Active Directory 環境中還是已經升級到 (或原本就安裝為) Windows Server 2003 Active Directory,這些需求會有所不同。
Active Directory 所有版本的需求
本解決方案需要最低功能等級為 Windows 2000 原生模式的網域,至少是安裝憑證授權單位伺服器的網域需要如此。這個需求必須滿足,因為本解決方案使用的 Active Directory 萬用群組,最早是在 Windows 2000 原生模式中提供的。如果網域不滿足這個需求,您必須遵循產品文件中的說明對其進行變更 (請參閱本章結尾<其他資訊>一節)。
**附註:**即使您在安裝時僅使用 Windows 2003 Active Directory 網域控制站,Active Directory 的預設網域功能等級永遠都是混合模式。繼續操作前您需要從此層級進行提高。如果您因為需要支援 Microsoft Windows NT® 4.0 版網域控制站,而無法從混合模式提高網域等級,則您需要手動建立網域通用群組以取代萬用群組。
本解決方案假設 Active Directory 樹系具有預設 Windows 2000 樹系功能等級 (最低)。無須變更此預設。如需有關這些概念的進一步資訊,請參閱本章結尾的參考資料。
安裝在 Windows 2000 網域中
**重要:**雖然 Microsoft 支援在使用 Windows 2000 網域控制站的網域中安裝和使用 Windows Server 2003 憑證服務,但尚未在此組合下對本解決方案進行全面測試。
如果本解決方案要安裝到 Windows 2000 Active Directory 樹系中,您必須更新 Windows 2003 憑證服務安裝的目錄架構使其正常運作。您還必須確定所有 Windows 2000 網域控制站都套用了 Service Pack 3 (或更新版本)。您必須套用 Service Pack 才能讓架構更新工具正常運作,從而使網域控制站支援 LDAP (輕量型目錄存取通訊協定) 簽章。LDAP 簽章是使用憑證自動註冊的 Windows Server 2003 CA 和 Windows XP 用戶端所需的安全性增強功能。
Windows 2003 憑證服務的許多功能 (例如自動註冊和可編輯範本) 需要 Windows Server 2003 版本的 Active Directory 架構。但是,有此需求並不代表任何或所有網域控制站都需要執行 Windows Server 2003。它僅僅表示 Windows Server 2003 憑證服務需要 Windows 2000 Active Directory 架構中所不具備的特定架構延伸模組。您可以使用 ADPrep.exe 工具 (位於 Windows Server 2003 發佈媒體的 [i386] 資料夾中) 更新目錄架構。
要使用 Adprep,您必須將 Service Pack 3 套用到您的 Windows 2000 網域控制站 (雖然 Adprep 可與 Service Pack 1 及部分後續 SP1 更新配合使用,但由於必須套用 SP3,因此沒必要討論)。如果不確定所有網域控制站是否處於正確的修正層次,請不要嘗試使用此工具。
**警告:**使用此工具將無法還原您對目錄架構所作的變更。儘管此程序非常安全,開始前仍需仔細閱讀相關文件。
在樹系的「架構主機」網域控制站中執行下列命令:
ADPrep /ForestPrep
要執行此工作,您必須是 Schema Admins 的成員,或要求具有正當權限的系統管理員為您執行此變更。
如需更多有關 ADPrep 工具的資訊,請參閱本章結尾的參考資料。
驗證 Active Directory 是否準備就緒
您可以執行下列步驟來驗證網域功能等級和架構版本。
驗證網域功能等級
開啟 Active Directory 使用者和電腦。
檢視網域物件的屬性。
在 [一般] 索引標籤上,您應該看到 [網域功能等級] 列示為下列內容之一:
Windows 2000 原生模式
Windows Server 2003
驗證架構版本是否正確
在命令提示中鍵入下列命令 (請務必替代您樹系根網域的 DN):
dsquery * "cn=schema,cn=configuration, DC=woodgrovebank,DC=com" -scope base -attr objectversion
(此命令會顯示為多行;實際輸入時請勿分行。)
**附註:**您將需要從 Windows 2003 伺服器中執行此命令。Dsquery.exe 依預設不可用於 Windows XP 或 Windows 2000。
輸出應顯示架構版本為 30 (或更高),如下所示:
objectversion
30
Active Directory 群組和使用者
本節說明如何建立 CA 使用的 Active Directory 安全性群組和使用者帳戶。
建立 PKI 和 CA 管理群組
可以使用網域使用者帳戶和安全性群組來定義系統管理角色和功能。
**附註:**本解決方案定義對應於獨立系統管理角色的多個安全性群組。此方法為您委派 CA 管理責任提供了許多控制方式。但是,如果他們不對應於您的管理模型,則不應認為必須使用所有或其中的任何角色。極端狀況下,如果您只有一個 PKI 系統管理員管理所有方面的服務,您可以將此帳戶新增至 CA 上的所有角色群組。事務上,大部分組織會使用某些角色分隔,但是很少有組織會使用憑證服務的所有角色分隔功能。
在網域中建立 CA 管理群組
使用具有足夠權限的帳戶登入網域成員電腦,以在使用者容器中建立使用者和群組物件。
執行下列命令,建立網域 CA 管理群組:
Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf
此指令碼會建立下表中所列的安全性群組。這些群組在網域使用者容器內建立為萬用群組,然後應移至更合適的組織單元 (OU) 中。(合適的 OU 結構圖表如本節稍後所示)。
**注意:**此指令碼在 Active Directory 樹系中建立的安全性群組會被委派大量權力。您應該審慎確定這些群組的成員。具體來說:
企業 PKI 系統管理員。這是一個權力非常大的群組。它可完全控制整個 Active Directory 樹系的 PKI,其中包括安裝和取代根 CA 與企業 CA、變更根信任以及安裝交互憑證的能力。請如同處理企業系統管理員群組那樣,謹慎處理該群組。
企業 PKI 發行者。此群組雖然聽起來可能無害,但也具有強大的功能。它具有安裝和移除整個樹系的信任根 CA 及交互憑證之能力。雖然它的權力沒有企業系統管理員大,但您必須謹慎加以處理。
表 7.7:群組名稱和用途
| 群組名稱 | 用途 |
|---|---|
| 企業 PKI 系統管理員 | 公開金鑰服務設定容器的系統管理員。 |
| 企業 PKI 發行者 | 有權將 CRL 和 CA 憑證發佈到企業設定容器 |
| CA 系統管理員 | 具有對 CA 的完整管理功能,包括判定其他角色的成員資格 |
| 憑證管理員 | 管理憑證發行和撤銷 |
| CA 稽核員 | 管理 CA 稽核資料 |
| CA 備份操作員 | 具有備份和還原 CA 金鑰和資料的權限 |
| 使用者帳戶 | 帳戶用途 |
|---|---|
| EntPKIAdmin | 公開金鑰服務設定容器的系統管理員 |
| EntPKIPub | 有權將 CRL 和 CA 憑証發佈到企業設定容器 |
| CAAdmin | 具有對 CA 的完整管理功能,包括判定其他角色的成員資格 |
| CertManager | 管理憑證發行和撤銷 |
| CAAuditor | 管理 CA 稽核資料 |
| CABackup | 具有備份和還原 CA 金鑰和資料的權限 |
| 簡化管理角色使用者帳戶 | 使用者帳戶的群組成員資格 |
|---|---|
| CAAdmin | 企業 PKI 系統管理員 CA 系統管理員 憑證管理員 系統管理員 (CA 的本機系統管理員) |
| CAAuditor | CA 稽核員 系統管理員 (CA 的本機系統管理員) |
| CABackup | CA 備份操作員 |
| OU | 用途 |
|---|---|
| 憑證服務 | 父 OU。 |
| \—憑證服務管理 | 包含管理 CA 和企業 PKI 設定的系統管理員群組。 |
| \—憑證範本管理 | 包含管理個體憑證範本的群組。 |
| \—憑證範本註冊 | 包含具有同名範本之註冊或自動註冊權限的群組。這些群組的控制權可以委派給適當的人員,以允許彈性註冊制度,不用涉及範本本身。 |
| \—憑證服務測試使用者 | 包含暫時測試帳戶。 |
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >群組名稱</th>
<th style="border:1px solid black;" >用途</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">CA 系統管理員</td>
<td style="border:1px solid black;">具有對 CA 的完整管理功能,包括判定其他角色的成員資格。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">憑證管理員</td>
<td style="border:1px solid black;">管理憑證發行和撤銷。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA 稽核員</td>
<td style="border:1px solid black;">管理 CA 稽核資料。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA 備份操作員</td>
<td style="border:1px solid black;">具有備份和還原 CA 金鑰和資料的權限。</td>
</tr>
</tbody>
</table>
為 CA 管理者建立本機使用者帳戶。為了測試和說明,對應於先前群組定義的每一個角色的普通本機帳戶會由下列指令碼建立。但是,如果此時您可以建立實際帳戶,則應略過此步驟。直接建立那些帳戶。
Cscript //job:CertLocalTestAccts C:\MSSScripts\ca_setup.wsf
指令碼會使用 CAPICOM 在所有帳戶上產生虛擬隨機密碼 (並不是保留空白密碼)。請根據指令碼輸出記下這些密碼,或將密碼重設為自己選取的密碼。
**附註:**使用在系統管理員之間共用密碼的普通帳戶,將使稽核記錄毫無意義。在高安全性生產環境中,您應始終使用能追蹤到唯一個體的帳戶。
指令碼會建立在下表所列的本機帳戶。
表 7.12:帳戶名稱和用途
帳戶名稱 用途 CAAdmin 具有對 CA 的完整管理功能,包括判定其他角色的成員資格。 CertManager 管理憑證發行和撤銷。 CAAuditor 管理 CA 稽核資料。 CABackup 具有備份和還原 CA 金鑰和資料的權限。 **附註:**測試帳戶說明了最複雜的管理角色設定;其中每個 CA 角色均對應至一個獨立的個體 (使用者帳戶)。但是,每一個角色擁有獨立帳戶幾乎沒有多大好處,除非您實際上有獨立的個體來執行這些角色。在多角色群組,甚至所有角色群組中,擁有單一帳戶是可以接受的,只要這樣能更準確反映您的系統管理結構。
依需要將這些使用者帳戶新增到管理安全性群組。對於測試帳戶,請使用下表;或根據您組織定義的 IT 角色和安全性原則來使用自己的帳戶。
表 7.13:帳戶名稱和群組成員資格
帳戶名稱 群組成員資格 CAAdmin CA 系統管理員 CertManager 憑證管理員 CAAuditor –CA 稽核員 –系統管理員 CABackup CA 備份操作員 **附註:**您也可以將 CA 系統管理員群組的成員,指定為本機系統管理員群組的成員。有一些工作需要本機系統管理權限,您可能要將這些工作與 CA 系統管理員角色相結合。
為根 CA 建立簡化管理模型
大部份組織不需要與前面程序中所示同樣複雜的管理結構。部分組織可能不需要任何角色分隔;許多組織會使用以下三個角色:CA 系統管理員、稽核員和備份操作員。這些角色如下表所示 (使用先前建立之測試帳戶的子集)。
表 7.14:簡化管理模型群組指派
| 簡化管理角色 | 群組成員資格 |
|---|---|
| CAAdmin | CA 系統管理員 憑證管理員 系統管理員 |
| CA 稽核員 | CA 稽核員 系統管理員 |
| CABackup | CA 備份操作員 |
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >OU</th>
<th style="border:1px solid black;" >GPO</th>
<th style="border:1px solid black;" >安全性範本</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">成員伺服器</td>
<td style="border:1px solid black;">企業用戶端 — 成員伺服器基線</td>
<td style="border:1px solid black;">Enterprise Client — Member Server Baseline.inf</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA</td>
<td style="border:1px solid black;">企業用戶端 — 憑證服務</td>
<td style="border:1px solid black;">Enterprise Client — Certificate Services.inf</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA</td>
<td style="border:1px solid black;">(選用 — 請參閱上面的附註)
企業用戶端 — 憑證服務帳戶原則</td>
<td style="border:1px solid black;">Enterprise Client — Domain.inf</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA</td>
<td style="border:1px solid black;">(選用 — 如果 IIS 在 CA 上)
企業用戶端 — 憑證服務 IIS</td>
<td style="border:1px solid black;">Enterprise Client — IIS Server.inf</td>
</tr>
</tbody>
</table>
**附註:**如果已選擇將 IIS 安裝到發行 CA 上 (如本章所述),您僅需要為 CA 建立獨立的 IIS GPO。您可能還有 IIS GPO 用於內部網路 IIS 伺服器,強烈建議您建立獨立的 GPO 以由 CA 專用。此方法可確保 IIS GPO 的任何變更都不會影響 CA 的安全性,且 CA 的安全性設定仍完全由 CA GPO 系統管理員控制。
建立 GPO 並匯入範本後,您必須在 GPO 中自訂設定,並遵循以下程序將其套用至憑證服務電腦。
自訂並套用憑證服務 GPO
在 [Active Directory 使用者及電腦] 中,編輯 [企業用戶端–憑證服務 GPO]。在 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項] 中,根據您組織的安全性標準變更以下項目:
帳戶:重新命名系統管理員帳戶:NewAdminName
帳戶:重新命名來賓帳戶:NewGuestName
互動式登入:給嘗試登入使用者的訊息本文:LegalNoticeText
互動式登入:給嘗試登入使用者的訊息標題:LegalNoticeTitle
在 [本機原則\使用者權限指派] 中,新增 [CA 稽核員] 網域群組到 [管理稽核和安全性記錄] 使用者權限。
在 [本機原則\使用者權限指派] 中,新增 [CA 備份操作員] 到下列使用者權限:
備份檔案及目錄
還原檔案和目錄
在 [本機原則\使用者權限指派] 中,將以下的本機和網域群組新增至 [允許本機登入] 權限:
(本機) 系統管理員
(本機) 備份操作員
(網域) 企業 PKI 系統管理員
(網域) 企業 PKI 發行者
(網域) CA 系統管理員
(網域) 憑證管理員
(網域) CA 稽核員
(網域) CA 備份操作員
在 [檔案系統] 中,新增資料夾 D:\CertLog。確定權限會在下表中顯示。
表 7.16:CA 資料庫資料夾權限
使用者/群組 權限 允許/拒絕 系統管理員 完全控制 允許 系統 完全控制 允許 備份操作員 完全控制 允許 建立者擁有者 完全控制 允許 對於同一個資料夾,新增下表所示 Everyone 群組的稽核項目 (按一下 [安全性] 對話方塊中的 [進階] 按鈕,然後按一下 [稽核] 索引標籤)。出現使用者或群組名稱提示時,請鍵入 "Everyone"。新增 Everyone 群組時會顯示標題為 [D:\CertLog 的稽核項目] 的對話方塊,您可以在其中輸入詳細的稽核設定。請確定在 [套用在] 欄位中已選取 [這個資料夾、子資料夾及檔案]。選取表格中所有顯示 [是] 的項目。
表 7.17:CA 資料庫資料夾稽核
權限 成功 已失敗 完全控制 是 周遊資料夾/執行檔案 是 列出資料夾/讀取資料 是 讀取屬性 是 讀取延伸屬性 是 建立檔案/寫入資料 是 是 建立資料夾/附加資料 是 是 寫入屬性 是 是 寫入延伸屬性 是 是 刪除子資料夾和檔案 是 是 刪除 是 是 讀取權限 是 變更權限 是 是 取得所有權 是 是 在 [系統服務] 資料夾中,開啟下列服務屬性,並按一下 [定義範本內的這個原則設定]。按一下 **[**確定],以接受預設權限。將 [設定服務啟動模式] 的值設定為 [自動]。
Removable Storage
Volume Shadow Copy
MS Software Shadow Copy Provider
工作排程器
**附註:**在成員伺服器基線安全性範本中,這些服務是停用的。但 NTBackup.exe 需要使用前三個服務。有些操作指令碼需要「工作排程器」服務。
將發行 CA 電腦帳戶移動到憑證服務 OU。
在發行 CA (將要安裝 CA 的伺服器) 上,執行下列命令以將 GPO 設定套用到電腦:
gpupdate
附註:《Windows Server 2003 安全性指南》中包含這些安全性設定的詳細討論。
驗證安全性設定
若要驗證是否正確套用安全性設定,請執行下列步驟。
驗證根 CA 安全性設定
檢查來自 SceCli 原始檔之事件的應用程式事件記錄。執行 gpupdate 命令後,應該會產生一個事件 ID 1704。該事件的文字應該如下所示:
已成功套用群組原則物件中的安全性原則。
重新啟動伺服器,驗證所有預期服務是否啟動,並且沒有錯誤記錄列入系統事件日誌中。
嘗試使用已建立的測試帳戶 (或實際帳戶) 登入。您應該看到法律注意事項文字,且能夠登入。
在發行 CA 上設定終端機服務安全性
應該在發行 CA 上停用終端機服務,因為其為入侵者攻擊 CA 提供了其他方法,並嚴重影響保護伺服器的任意實體安全性方法。如果必須啟用它 (作為遠端管理之用),則您應該設定下表所述的設定。
**附註:**因為根 CA 上的終端機服務未連線至網路,所以其狀態無關緊要。
這些設定值應在憑證服務安全性 GPO 或其他套用到線上 CA 的 GPO 上進行設定。
表 7.18:在 [電腦設定\系統管理範本\Windows 元件\終端機服務] 中設定的設定值
| 設定路徑 | 原則 | 設定 |
|---|---|---|
| 拒絕登出的系統管理員登入主控台工作階段 | 啟用 | |
| 不允許本端系統管理員自訂權限 | 啟用 | |
| 為終端機服務使用者工作階段的遠端控制設定規則 | 不允許遠端控制 | |
| 用戶端\伺服器資料重新導向 | 允許時區重新導向 | 停用 |
| 不允許剪貼簿重新導向 | 啟用 | |
| 允許音訊重新導向 | 停用 | |
| 不允許 COM 連接埠重新導向 | 啟用 | |
| 不允許用戶端印表機重新導向 | 啟用 | |
| 不允許 LPT 連接埠重新導向 | 啟用 | |
| 不允許磁碟重新導向 | 啟用 | |
| 不要將預設的用戶端印表機設定成工作階段的預設印表機 | 啟用 | |
| 加密和安全性 | 連線時自動提示用戶端輸入密碼 | 啟用 |
| 設定用戶端連線加密等級 | 高 | |
| 加密和安全性\RPC 安全性 | 安全伺服器 (要求安全性) | 啟用 |
| 工作階段 | 為中斷連線的工作階段設定時間 | 10 分鐘 |
| 只允許從原始用戶端重新連線 | 啟用 |
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=16
[CRLDistributionPoint]
Empty=true
[AuthorityInformationAccess]
Empty=true
```
**注意:**設定長度為 4096 位元的金鑰可能導致相容性問題。某些裝置 (如某些路由器) 及其他廠商的某些舊軟體無法處理超過一定大小的金鑰。
如果已為此 CA 定義 CPS,則請在 Capolicy.inf 檔案中包含下列內容 (您必須用自己的值來取代所有斜體項目):
[CAPolicy] Policies=WoodGrove Bank Root CA CPS [WoodGrove Bank Root CA CPS] OID=your.Orgs.OID URL = "https://www.woodgrovebank.com/YourCPSPage.htm"將檔案儲存為 %windir%\Capolicy.inf (請用安裝 Windows 之資料夾的絕對路徑來取代 %windir% ,如 C:\Windows)。您必須是本機系統管理員或具有寫入 Windows 資料夾的權限,才能完成此步驟。
安裝憑證服務軟體元件
使用 Windows 元件精靈可安裝 CA 軟體元件。請注意完成安裝將需要 Windows Server 2003 安裝 CD 或網路路徑。
安裝憑證服務
以本機系統管理員群組成員登入,執行「選用元件管理員」(或透過 [控制台],按一下 [新增/移除程式/Windows 元件]):
sysocmgr /i:sysoc.inf。
選取 [憑證服務] 元件 (按一下 [是] 以去除重新命名警告訊息方塊)。
選取 [獨立根 CA] 作為 CA 類型,確定您已選取 [使用自訂設定] 核取方塊。
在 [公開和私密金鑰組] 對話方塊中,保留預設值,但金鑰長度除外,應將其設定為 4096。[CSP 類型] 應為 [Microsoft 強密碼編譯提供者]。
輸入「憑證授權單位」識別資訊,如下所示:
CA 一般名稱:WoodGrove Bank Root CA
識別名稱尾碼:DC=woodgrovebank,DC=com
(組織的 Active Directory 樹系根名稱)有效期:8 年
**附註:**如果 CA 之前已安裝在此電腦上,則會有警告對話方塊提示您是否覆寫先前安裝的私密金鑰。繼續前,您應該確定金鑰不再需要。如有疑問,請取消安裝程序並備份現有的金鑰資訊。(使用系統備份或現有 CA 憑證和私密金鑰的備份 – 請參閱第 11 章<管理公開金鑰基礎結構>中所述的相關程序。)
CSP 會產生金鑰對,寫入至本機電腦金鑰存放區。
保留憑證資料庫、資料庫記錄檔和設定資料夾的位置作為預設值。
附註:
由於之前已停用所有網路介面,因此安裝程式可能會顯示有關無法建立共用資料夾的警告。您可以放心地忽略此警告並繼續。
您必須將憑證資料庫和憑證資料庫記錄放置在本機 NTFS 磁碟機上。Optional Component Manager 接著會安裝「憑證服務」元件。本部分的程序需要 Windows Server 2003 安裝媒體 (CD)。
按一下 [確定] 以去除 IIS 警告,並繼續完成安裝。
驗證根 CA 安裝
您可以驗證「憑證服務」安裝是否成功完成,如下所示:
驗證根 CA 的正確安裝
開啟憑證授權單位管理主控台 (透過 [所有程式]、[系統管理工具])。驗證 [憑證服務] 已啟動,您可以檢視 CA 屬性。
在 [一般] 索引標籤上,選取 CA 憑證 (如果有多個憑證,請從清單中選取 [憑證 #0]),然後按一下 [檢視憑證]。
查看 [CA 憑證] 的 [詳細資料] 索引標籤,驗證顯示值是否符合下表內容。
表 7.19:根 CA 憑證屬性和副檔名
憑證屬性 所需設定 發行者和主體欄位 這兩個欄位應該相同,並且應顯示安裝時您提供的完整 CA 一般名稱和 DN 尾碼。 不早於—不遲於 16 年。 公開金鑰長度 RSA (4096 位元)。 金鑰用法 數位簽章、憑證簽章、離線 CRL 簽章、CRL 簽章 (86)。 基本限制 (重要) 主體類型=CA 路徑長度限制=無 [基本限制] 主體類型的存在是非常重要的,因為此值會區分終端實體憑證和 CA 憑證。此外,CDP 或 AIA 副檔名不應列出。
如果有任何值不是您所預期的值,則應該重新開始安裝憑證服務。
**附註:**如果重新執行憑證服務安裝,您將看到關於私密金鑰的警告已經存在。如果知道未用此金鑰發出任何憑證,則您可以放心地忽略此警告並產生新的金鑰。如果 CA 已經發出憑證 (測試憑證除外),則不應重新安裝憑證服務,直到您已安全備份先前的金鑰和憑證為止 (本程序將在第 11 章<管理公開金鑰基礎結構>中說明)。
您可以檢視憑證服務安裝記錄 (%systemroot%\certocm.log),以進一步驗證或協助疑難排解可能發生的任何錯誤。
設定根 CA 屬性
CA 設定程序會套用針對環境的一些特定參數。本章前面的<憑證服務規劃工作表>一節對這些參數值進行了說明。本程序會設定下表所列的 CA 屬性。
表 7.20:要設定的 CA 屬性
| CA 屬性 | 設定說明 |
|---|---|
| CRL 發佈點 URL | 指定可以取得現行 CRL 的 HTTP、LDAP 及 FILE 位置。 FILE 位置是本機資料夾,僅由 CA 用來儲存發出的 CRL;在發出的憑證中只包含 LDAP 和 HTTP 位置。 HTTP URL 列在 LDAP 之前,因此使用根 CA 憑證的用戶端不靠 Active Directory 取得 CRL。 |
| AIA URL | 可以取得 CA 憑證的位置。 如同 CDP 一樣,檔案位置僅用於發佈 CA 憑證,且 HTTP URL 優先順序高於 LDAP URL。 |
| 有效期 | 發行憑證的最大有效期 (不同於 CA 憑證本身的有效期,其在 CAPolicy.inf 中設定或由父 CA 設定)。 |
| CRL 期間 | CRL 發佈頻率。 |
| CRL 重疊時間 | 新 CRL 發出和舊 CRL 到期之間的重疊時間。 |
| Delta–CRL 期間 | Delta—CRL 發佈頻率 (在根 CA 上,delta-CRL 是停用的)。 |
| CA 稽核 | CA 稽核設定。依預設會啟用所有稽核。 |
These values MUST be set to reflect actual values used
by the organization.
**************************************************************************
' This is the URL where CRL and CA certs are to be published.
CONST CA_HTTP_PKI_VROOT = " https://www.woodgrovebank.com/pki"
' This needs to be set only if non Active directory clients need to query
' the ldap URL for CRLs. Normally they are OK with HTTP. If you do set this
' (to a specific DC FQDN) ALL clients will use this DC to query. Left blank
' AD clients use their default LDAP server (local DC) to query.
CONST CA_LDAP_SERVER = ""
' This needs to be set to the DN of the Active Directory Forest root domain
' This is used to set the Root CA CDP and AIA paths so that clients can
' obtain CRL and CA Certificate information from the Active Directory
CONST AD_ROOT_DN = "DC=woodgrovebank,DC=com"
```
然後執行下列指令碼:
Cscript //job:RootCAConfig C:\MSSScripts\ca_setup.wsf
設定系統管理角色
為了使用 CA 上的系統管理角色 (如稽核員和憑證管理員),您需要將之前建立的安全性群組對應至這些角色。
附註: 本解決方案使用先前建立的群組來定義多個獨立角色。此方法為您委派 CA 管理責任提供了最大彈性。但是,如果您不需要此層次的委派,則應考慮使用本章先前指定的簡化管理群組模型。簡化模型將允許您使用更少的帳戶來執行 CA 系統管理功能。
在根 CA 上設定系統管理角色
在憑證授權單位管理主控台中按一下 [屬性],以編輯 CA 的屬性。
按一下 [安全性] 索引標籤,並新增下表所列的本機安全性群組。為每一個群組,新增顯示的權限。
表 7.21:要新增的 CA 權限項目
群組名稱 權限 允許/拒絕 CA 系統管理員 管理 CA 允許 憑證管理員 發行和管理憑證 允許 **附註:**如果要進行更仔細的角色分隔,還應從本機系統管理員群組中移除管理 CA 權限。(由於根 CA 安裝在 Windows Server 標準版上,因此您無法強制執行角色分隔 – 此選項僅適用於企業版。)
此 CA 的其他 CA 安全性角色已透過先前套用到伺服器的安全性原則進行定義:
CA 稽核員已授予「管理安全性和稽核記錄」使用者權限。
備份操作員有備份和還原 CA 必要的權限。
將根 CA 憑證和 CRL 傳送到磁碟
您必須從 CA 中複製根 CA 憑證和 CRL,以便將其發佈到 Active Directory 和 IIS 憑證和 CRL 發佈伺服器。
將根 CA 憑證和 CRL 複製到磁碟
以本機 CA 系統管理員群組成員登入根 CA,然後將用於傳輸的磁碟放置到磁碟機中。
執行下列指令碼,將 CA 憑證複製到磁碟:
Cscript //job:GetCACerts C:\MSSScripts\CA_Operations.wsf
執行下列指令碼,將 CA CRL 複製到磁碟:
Cscript //job:GetCRLs C:\MSSScripts\CA_Operations.wsf
將此磁碟標記為 Transfer-[HQ-CA-01]、標明日期,並保留以備稍後在程序中使用。
**附註:**此磁碟不含任何安全性機密資訊 (如 CA 私密金鑰資料),因此處理時無須任何特別的安全性預防措施。
發佈根 CA 資訊
在可以安裝發行 CA 之前,您必須將根 CA 的憑證發佈到 Active Directory 信任根存放區,並將根 CA 的 CRL 發佈到 Active Directory CDP 容器中。這將導致所有網域成員 (包括發行 CA) 匯入根 CA 的憑證至其自身的根存放區,並能夠驗證根 CA 發出之任何憑證的撤銷狀態。(在憑證服務啟動之前,發行 CA 必須能夠驗證自己憑證的撤銷狀態。)
附註: 您可以自任何網域成員執行下列程序,雖然需要在該系統上安裝 Certutil.exe 及支援的 certadm.dll 和 certcli.dll 程式庫 — certutil.exe (及所需的 DLL) 已作為 Windows Server 2003 的一部分進行安裝。您可以使用未設定的發行 CA 伺服器來執行此程序。
將根 CA 憑證和 CRL 發佈到 Active Directory
以企業 PKI 系統管理員群組成員身分登入網域成員電腦,並插入之前用來儲存根 CA 憑證和 CRL 的磁碟 (標記為 Transfer-[HQ-CA-01])。
執行下列指令碼,將 CA 憑證發佈到 Active Directory:
Cscript //job:PublishCertstoAD C:\MSSScripts\CA_Operations.wsf
執行下列指令碼,將 CA CRL 發佈到 Active Directory:
Cscript //job:PublishCRLstoAD C:\MSSScripts\CA_Operations.wsf
將根 CA 憑證和 CRL 發佈到網頁伺服器
由於 CDP 和 AIA URL 的 HTTP 版本在 CA 發行的憑證副檔名中有指定,所以需要此步驟。如果這些副檔名存在,則必須遵照這些副檔名,將CRL 和憑證發佈到在憑證中設定的 URL。
**附註:**不管 CDP 和 AIA 發佈網頁伺服器在發行 CA 還是其他伺服器上,此程序皆相同。它會假設虛擬目錄與之前在設定 IIS 的程序中所設定的目錄相符 – C:\CAWWWPub。如果您選擇使用不同路徑,則需要更新檔案 C:\MSSScripts\PKIParams.vbs 中的值 WWW_LOCAL_PUB_PATH。
將根 CA 憑證和 CRL 發佈到 Web URL
以本機系統管理員或具有寫入 [C:\CAWWWPub] 資料夾權限的帳戶登入網頁伺服器。
確定包含 CA 憑證和 CRL 的磁碟 (標記為 Transfer-[HQ-CA-01]) 已插入磁碟機中。
執行下列指令碼,將 CA 憑證發佈到網頁伺服器資料夾:
Cscript //job:PublishRootCertstoIIS
C:\MSSScripts\CA_Operations.wsf
(此命令會顯示為多行;實際輸入時請勿分行。)
執行下列指令碼,將 CA CRL 發佈到網頁伺服器資料夾:
Cscript //job:PublishRootCRLstoIIS
C:\MSSScripts\CA_Operations.wsf
(此命令會顯示為多行;實際輸入時請勿分行。)
驗證根 CA 資訊的發佈
您應該驗證根 CA 資訊是否正確發佈。使用有效網域使用者帳戶登入連線至網路的網域成員電腦時,需要執行這些步驟。
**附註:**您可能需要等待 Active Directory 完成複寫。在驗證根 CA 資訊的發佈之前,請使用 certutil -pulse 命令強制執行根 CA 憑證下載。
驗證根 CA 資訊的發佈
若要驗證是否將 CA 憑證發佈至信任根存放區,請執行下列命令:
certutil -viewstore -enterprise Root
您應該看到顯示的憑證。驗證 [發行者] 和 [主體] 值是否符合您設定的根 CA 名稱,並驗證 [有效期自] 的日期是否為今天。
若要驗證是否將根 CA CRL 發佈到目錄,請執行下列命令,並用您自己在安裝中使用的值來取代斜體項目 (CA 一般名稱、CA 簡短主機名稱及 Active Directory 樹系根的 DN):
certutil -store -enterprise "ldap:///cn=WoodGrove Bank Root CA,cn=HQ-CA-01,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass=crlDistributionPoint"
(此命令會顯示為多行;實際輸入時請勿分行。)
應該看到與下面類似的輸出。驗證 [發行者] 值是否符合您為根 CA 設定的名稱:
================ CRL 0 ================
Issuer: CN=WoodGrove Bank Root CA,DC=woodgrovebank,DC=com
CA Version: V1.0
CRL Number: CRL Number=1
CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe
CertUtil: -store command completed successfully.
若要驗證是否將 CA 憑證發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己環境中使用的值來取代斜體項目:
https://www.woodgrovebank.com/pki/HQ-CA-01_WoodGrove Bank Root CA.crt
**附註:**您可能需要在憑證檔案名稱中使用 CA 伺服器的完整 DNS 名稱 (即 HQ-CA-01.woodgrovebank.com_WoodGrove Bank Root CA.crt,而不是以上所示的名稱)。
應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示根 CA 憑證。
若要驗證是否將根 CA CRL 發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己環境中使用的值來取代斜體項目:
https://www.woodgrovebank.com/pki/WoodGrove Bank Root CA.crl
應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示根 CA CRL。
**附註:**如果您已經更新 CA 憑證或發出多個 CRL,則可以看到這些命令輸出中顯示的不同版本號碼。
安裝與設定發行 CA
本節說明如何在發行 CA 伺服器上安裝和設定憑證服務。安裝期間,在此 CA、根 CA、Active Directory 和網頁伺服器之間會進行複雜的互動。這些互動如下圖所示。在學習本節內容時參照此圖可能對您很有幫助。
.gif)
圖 7.2:發行 CA 安裝期間,CA、Active Directory 和網頁伺服器之間的互動
發行 CA 安裝期間,不同系統間的主要互動會在圖表中顯示。這些互動是:
將根 CA 憑證和 CRL 發佈到 Active Directory。
將根 CA 憑證和 CRL 發佈到網頁伺服器。
安裝憑證服務軟體,產生您必須對磁碟上根 CA 執行的憑證要求。在根 CA 中為此要求發出憑證。
安裝發行 CA 憑證。
將發行 CA 憑證和 CRL 發佈到網頁伺服器。
**附註:**步驟 1 和 2 已在前一節<發佈根 CA 資訊>中說明。圖中標記為 X 的步驟會在「設定發行 CA 屬性」工作期間,在發行 CA 上設定 CRL 和 AIA 值時自動執行。其他步驟將在本節中說明。
為發行 CA 準備 Capolicy.inf 檔案
CAPolicy.inf 並非發行 CA 所嚴格必需的。但是,如果您需要變更 CA 所使用的金鑰大小,則將需要一個。您應在設定發行 CA 之前建立 Capolicy.inf 檔案 (雖然您可以稍後新增一個並更新 CA 憑證)。此檔案會指定 CA 憑證的某些特性,如金鑰長度和 CPS (如果已建立一個)。
建立 CAPolicy.inf 檔案
在文字編輯器如記事本中,輸入下列文字。
[Version] Signature= "$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048如果已為此 CA 定義 CPS,則請在 Capolicy.inf 檔案中包含下列內容 (您必須用自己的值來取代所有斜體項目):
[CAPolicy] Policies=WoodGrove Bank Issuing CA 1 CPS [WoodGrove Bank Issuing CA 1 CPS] OID=your.Orgs.OID URL = "https://www.woodgrovebank.com/YourCPSPage.htm"附註: 請參閱第 4 章<設計公開金鑰基礎結構>中的<建立憑證實施準則>一節,以取得有關 CPS 以及是否應考慮建立 CPS 的進一步討論。CPS 是法律文件,不是技術文件,所以您應確定在 CA 中設定前需要一個。
將檔案儲存為 %windir*%*\Capolicy.inf (或用安裝 Windows 之資料夾的絕對路徑來取代 %windir% ,如 C:\Windows)。您必須是本機系統管理員或具有寫入 Windows 資料夾的權限,才能完成此步驟。
安裝憑證服務軟體元件
使用 Windows 元件精靈可安裝 CA 軟體元件。請注意,必須要有 Windows Server 2003 安裝媒體 (CD) 才能完成安裝。
安裝憑證服務
以本機系統管理員群組成員登入伺服器,執行「選用元件管理員」(或在 [控制台] 中,按一下 [新增/移除程式/Windows 元件]):
sysocmgr /i:sysoc.inf
**附註:**您必須是本機系統管理員群組的成員,才能完成第一部分的安裝。在下列程序中,您還必須是企業 PKI 系統管理員 (或企業系統管理員) 群組成員才能安裝 CA 憑證。
選取 [憑證服務] 元件 (按一下 [確定] 去除重新命名警告訊息方塊)。
選取 [企業次級 CA] 作為 CA 類型,確定您已選取 [使用自訂設定] 核取方塊。
在 [公開和私密金鑰組] 對話方塊中,保留預設值,但金鑰長度除外,應將其設定為 2048 位元。[CSP 類型] 應為 [Microsoft 強密碼編譯提供者]。
輸入「憑證授權單位」識別資訊,如下所示:
CA 一般名稱:WoodGrove Bank Issuing CA 1
識別名稱尾碼:DC=woodgrovebank,DC=com
(您組織的 Active Directory 樹系根名稱)有效期:由父 CA 判定
附註: 如果 CA 之前已安裝在此電腦上,則會有警告對話方塊提示您是否覆寫先前安裝的私密金鑰。繼續前,您應該確定金鑰不再需要。如有疑問,請取消安裝程序並備份現有的金鑰資訊。(使用系統備份或現有 CA 憑證和私密金鑰的備份 – 請參閱第 11 章<管理公開金鑰基礎結構>中所述的相關程序。)
CSP 會產生金鑰組,並將其寫入本機電腦金鑰存放區。
輸入憑證資料庫,資料庫記錄檔和設定資料夾的位置,如下所示:
憑證資料庫:D:\CertLog
憑證資料庫記錄檔:%windir%\System32\CertLog
共用資料夾:停用
如果可能,由於效能和靈活性原因,您應將 CA 資料庫始終儲存並記載在實際分隔磁碟區中。(如果資料庫因任何原因而遭損毀,您可以使用最新備份和記錄檔將 CA 還原到失敗發生的位置。) 憑證資料庫和憑證資料庫記錄檔都必須在本機 NTFS 格式的磁碟機上。
將憑證要求檔案複製至磁碟。系統會產生憑證要求,並將其儲存到共用資料夾路徑中。將 HQ-CA-02.woodgrovebank.com_WoodGrove Bank Issuing CA 1.req 檔案複製到磁碟,並將磁碟標記為 Transfer-[HQ-CA-02]。
「選用元件管理員」接著會安裝「憑證服務」元件。此安裝需要 Windows Server 2003 安裝媒體 (CD)。
按一下 [確定] 以去除 IIS 警告,並繼續完成安裝。設定精靈會顯示通知,提示您繼續前需要從父系 CA 中獲取憑證。
**附註:
**在安裝的下一個階段,您將看到無法將 CA 新增到「Windows 2000 前版相容性存取群組」的警告。如果您需要使用「憑證服務」的「憑證管理員限制」功能,才會相關。如果您確實需要使用此功能,則應要求網域系統管理員將 CA 電腦帳戶新增到此群組。
憑證服務不會啟動,直到根 CA 處理完憑證要求,且憑證已返回並安裝在 CA 中。
將憑證要求提交至根 CA
下一步,必須將發行 CA 的憑證要求傳送到根 CA,讓該要求能得到簽章,憑證能發出至發行 CA。
將憑證要求提交至根 CA
以本機「憑證管理員」群組成員登入根 CA。
在憑證授權單位管理主控台的 CA [工作] 功能表中,選取 [提交新要求],然後提交自發行 CA 傳來的要求 (位於 Transfer-[HQ-CA-02] 磁碟上)。
附註: 如果前一個 CA 安裝失敗,重複安裝時,不要重複使用之前 CA 安裝的要求檔案;該檔案與前一個金鑰資料有關聯,而不是與目前正在安裝的 CA 有關聯。
根 CA 要求手動核准所有要求。在憑證授權單位 MMC 的 [擱置要求] 容器中找到要求,驗證 [一般名稱] 欄位是否具有發行 CA 的名稱,然後在要求上按一下滑鼠右鍵,再按 [發出] 來核准要求。
在 [已發行的憑證] 容器中找到最新發行的憑證,然後將其開啟。
驗證憑證的詳細資料是否正確,按一下 [複製至檔案] 將其匯出到檔案,並在標記為 Transfer-[HQ-CA-02] 的磁碟上 (用於送回至發行 CA) 將其儲存為 PKCS#7 檔案 (選取將所有可能的憑證併入鏈中之選項)。
安裝發行 CA 憑證
本節中的工作將確定先前發佈到 Active Directory 的根 CA 資訊可以下載至發行 CA。然後即可將發行 CA 憑證安裝在 CA 上。
重新整理發行 CA 上的憑證資訊
根 CA 憑證先前已發佈到 Active Directory 的信任根存放區。現在您應該確定發行 CA 已下載此資訊,並將憑證放置到自己的根存放區。
重新整理發行 CA 上的憑證信任資訊
以本機系統管理員登入發行 CA。
在命令提示字元中執行下列命令。
certutil –pulse
此命令會強制 CA 從目錄中下載新的信任根資訊,並將根 CA 憑證放置到自己的本機信任根存放區。
附註: 此程序並非必要,因為將憑證安裝到 CA 的最後一步中,會自動將根 CA 憑證放置到本機信任根存放區。但是,此步驟可讓您驗證先前發佈到 Active Directory 的步驟是否順利完成。正確完成此發佈程序非常重要,因為所有網域用戶端都會從 Active Directory 接收有關根 CA 和發行 CA 的信任資訊。
驗證是否自 Acve Directory 成功下載根 CA 信任
執行 mmc.exe,並新增 [憑證] 嵌入式管理單元。
選取 [電腦帳戶] 作為要管理的憑證存放區。
確定根 CA 憑證位於 [受信任的根憑證授權單位] 資料夾中 (憑證按照好記的 CA 主體名稱列出 – CN 元素)。
安裝憑證
來自根 CA 的簽章回應 (包含憑證的 PKCS#7 套件) 現在可以安裝至發行 CA。為了將 CA 憑證順利發佈到 Active Directory NTAuth 存放區 (將 CA 視為企業 CA),您必須使用 CA 上同時屬於企業 PKI 系統管理員和本機系統管理員成員的帳戶來安裝 CA 憑證。前一群組擁有將憑證發佈至目錄的權限,後者擁有將 CA 憑證安裝到 CA 伺服器上的權限。如果您使用先前建議的簡化管理模型,則 CAAdmin 角色是這兩個群組的成員。
安裝發行 CA 憑證
使用「企業 PKI 系統管理員」和本機「系統管理員」群組兩者的成員帳戶登入發行 CA。
插入儲存有根 CA 發出之憑證的磁碟 (Transfer-[HQ-CA-02])。
在憑證授權單位管理主控台的 CA [工作] 功能表中,選取 [安裝憑證],並從磁碟中安裝發行 CA 的憑證。
CA 現在應該啟動。
驗證發行 CA 安裝
您可以驗證「憑證服務」安裝是否成功完成,如下所示:
驗證發行 CA 安裝
開啟憑證授權單位管理主控台。驗證「憑證服務」已啟動,而且您可以檢視 CA 屬性。
在 [一般] 索引標籤上,選取 CA 憑證 (如果顯示多個憑證,請選取 [憑證 #0]),然後按一下 [檢視憑證]。
在 [CA 憑證] 的 [詳細資料] 索引標籤中,驗證顯示值是否符合下表內容。
表 7.22:發行 CA 憑證屬性和副檔名
憑證屬性 所需設定 發行者 根 CA 一般名稱 (及 DN 尾碼) 主體 發行 CA 一般名稱 (及 DN 尾碼) 不早於—不遲於 8 年 公開金鑰長度 2048 位元 金鑰用法 數位簽章、憑證簽章、離線 CRL 簽章、CRL 簽章 (86) 基本限制 (重要) 主體類型=CA 路徑長度限制=無 CRL 發佈點 2 個實體—HTTP 和 LDAP URL 授權資訊存取 2 個實體—HTTP 和 LDAP URL [基本限制] 主體類型的存在是非常重要的,因為此值會區分終端實體憑證和 CA 憑證。此外,還將列出另一個副檔名,即授權金鑰識別元,它不會出現在根 CA 憑證中。此值應該符合根 CA 憑證的主體金鑰識別元。
如果任何先前的值不是您所預期的值,則應該重新開始安裝憑證服務。
附註: 如果重新執行憑證服務安裝,您將看到關於私密金鑰的警告已經存在。如果知道未用此金鑰發出任何憑證,則您可以放心地忽略此警告並產生新的金鑰。如果 CA 已經發出憑證 (測試憑證除外),則不應重新安裝憑證服務,直到安全備份先前的金鑰和憑證 (本程序將在第 11 章<管理公開金鑰基礎結構>中說明)。
查看 [憑證路徑] 索引標籤,然後驗證發行 CA 憑證是否正確繫結到根 CA。
您可以檢視憑證服務安裝記錄 (%systemroot%\certocm.log),以進一步驗證或協助排解可能發生的任何安裝錯誤。
設定發行 CA 屬性
CA 設定程序會套用您環境的一些特定參數。本章前面的<憑證服務規劃工作表>一節對這些參數值進行了說明。本程序會設定下表所述的 CA 屬性。
表 7.23:要設定的 CA 屬性
| CA 屬性 | 設定說明 |
|---|---|
| CRL 發佈點 URL | 指定可以取得現行 CRL 的 HTTP、LDAP 及 FILE 位置。 FILE 位置是本機資料夾,僅由 CA 用來儲存發出的 CRL;在發出的憑證中只包含 LDAP 和 HTTP 位置。 LDAP URL 列在 HTTP 之前,因此本機網域控制站將成為下載 CRL 的偏好目標,請參閱表格後的附註。 |
| AIA URL | 可以取得 CA 憑證的位置。 如同 CDP 一樣,檔案位置僅用於發佈 CA 憑證,且 LDAP URL 優先順序高於 HTTP URL,請參閱表格後的附註。 |
| 有效期 | 發行憑證的最大有效期 (不同於 CA 憑證本身的有效期,其在 CAPolicy.inf 中設定或由父 CA 設定)。 |
| CRL 期間 | CRL 發佈頻率。 |
| CRL 重疊時間 | 新 CRL 發出和舊 CRL 到期之間的重疊時間。 |
| Delta–CRL 期間 | Delta-CRL 發佈的頻率。 |
| Delta–CRL 重疊 | 新 CRL 發出和舊 CRL 到期之間的重疊時間。 |
| CA 稽核 | CA 稽核設定。依預設會啟用所有稽核。 |
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >群組名稱</th>
<th style="border:1px solid black;" >權限</th>
<th style="border:1px solid black;" >允許/拒絕</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">CA 系統管理員</td>
<td style="border:1px solid black;">管理 CA</td>
<td style="border:1px solid black;">允許</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">憑證管理員</td>
<td style="border:1px solid black;">發行和管理憑證</td>
<td style="border:1px solid black;">允許</td>
</tr>
</tbody>
</table>
**附註:** 如果要強制執行完整的角色分隔,還應從本機系統管理員群組中移除管理 CA 權限。
其他 CA 安全性角色需要某些額外設定 (儘管他們已經透過先前套用到伺服器的安全性原則進行部分定義):
CA 稽核員已被授予「管理安全性和稽核記錄」使用者權限。將此群組新增到本機「系統管理員」群組。
「CA 備份操作員」已被授予在 CA 上「備份」和「還原」的權限。此群組不需要執行進一步設定。
發佈發行 CA 資訊
憑證和 CRL 會自動從發行 CA 發佈到 Active Directory。但是,CA 憑證和 CRL 不會自動發佈到 HTTP CDP 和 AIA 路徑;您必須設定排程工作來執行這些工作。
將發行 CA 憑證和 CRL 發佈到網頁伺服器
發行 CA 憑證和 CRL 必須分別發佈到 HTTP AIA 和 CDP 位置。設定 CA 直接發佈到網頁伺服器資料夾在技術上是可行的;讓網頁伺服器主控在發行 CA 上會使這項工作變得非常簡單。但由於安全性和網路連線的原因,此方法並非總是切實可行。下列方法使用簡單的檔案複製技術,可以將其延伸以適合大多數設定。
**附註:**由於此程序需要直接連線至網路並使用 Windows 網路檔案共用 (網際網路防火牆通常會加以封鎖),因此不適合用於直接發佈到面向網際網路的網頁伺服器。若要發佈至網際網路伺服器,請使用以下程序發佈至某個中間位置,然後再使用標準方法將內容安全地發佈至網頁伺服器。使用這種方法必須要考慮這個額外步驟可能對 CRL 最新程度的影響。
CA 憑證很少更新,因此您可以在更新 CA 憑證時手動發佈到 AIA 上。
發佈發行 CA 的憑證
使用具有寫入已發佈網頁伺服器資料夾權限的帳戶登入發行 CA。
如果網頁伺服器位於遠端伺服器上,請確定 [網頁伺服器] 資料夾已共用。記錄共用資料夾的 UNC 路徑。
如果網頁伺服器與 CA 位於同一伺服器上,則記錄至資料夾的本機路徑。
在 C:\MSSScripts\PKIParams.vbs 中更新 WWW_REMOTE_PUB_PATH 參數,以符合網頁伺服器資料夾的目標路徑 (預設為本機路徑 C:\CAWWWPub)。
執行以下指令,將 CA 憑證發佈至網頁伺服器:
Cscript //job:PublishIssCertsToIIS
C:\MSSScripts\CA_Operations.wsf
(此命令會顯示為多行;實際輸入時請勿分行。)
從發行 CA 發佈 CRL 會比 CA 憑證更加頻繁 (delta-CRL 每日或每小時一次),因此需要使用將 CRL 複製到網頁伺服器的自動方法。
自動發佈 CRL
使用本機的「系統管理員」成員帳戶登入「發行 CA」。
確保 [網頁伺服器] 資料夾可以從此伺服器存取 (以遠端共用或使用本機路徑的方式)。
如果網頁伺服器在遠端,則請授予發行 CA 對檔案系統資料夾 (允許 [修改] 存取權) 和共用 (允許 [變更] 存取權) 的寫入存取權。如果網頁伺服器是樹系成員,您可以使用網域「憑證發行者」群組來授予存取權。 這將確保網域中的任何企業 CA 都有必要權限,可以將憑證及 CRL 發佈到這個資料夾。您無需變更網頁伺服器權限 (請參閱前一節有關「設定 IIS 以發佈 AIA 和 CDP」的資訊)。
執行下列命令,建立複製 CRL 的排定工作:
schtasks /create /tn "Publish CRLs" /tr "cscript.exe
//job:PublishIssCRLsToIIS C:\MSSScripts\CA_Operations.wsf"
/sc Hourly /ru "System"
(此命令會顯示為多行;實際輸入時請勿分行。)
**附註:**此程序會建立排程工作,每個小時將 CA 的 CRL 發佈到網頁伺服器。此頻率足以應付每日或半日 delta CRL 發佈排程。如果您的 CRL 排程比這更頻繁,則應該更常執行排程工作。工作排程最好佔 delta-CRL 排程的 5 到 10% 左右。
驗證發行 CA 資訊的發佈
您應該驗證發行 CA 資訊是否已經成功發佈。需要執行這些步驟登入連線至網路的網域成員電腦,並使用有效的網域帳戶。
驗證發行 CA 資訊的發佈
若要驗證是否將 CA 憑證發佈到中間 CA 存放區,請執行下列命令:
certutil -viewstore -enterprise CA
您應該看到顯示的兩個憑證 – 一個作為根 CA,一個作為發行 CA。連按兩下發行 CA 憑證,並驗證 [主體] 名稱是否符合您對發行 CA 的設定,以及 [有效期自] 的日期是否為目前的日期。
若要驗證是否將 CA 憑證發佈到 NTAuth CA 存放區 (所有企業 CA 均在此處發佈),請執行下列命令:
certutil -viewstore -enterprise NTAuth
您應該看到發行 CA 顯示的同一個憑證。
若要驗證是否將發行 CA CRL 發佈到目錄,請執行下列命令,用您自己安裝中使用的值來取代斜體項目 (CA 一般名稱、CA 簡短主機名稱,Active Directory 樹系根的 DN):
certutil -store -enterprise "ldap:///cn=Woodgrove Bank Issuing CA 1,cn=HQ-CA-02,cn=CDP,CN=Public Key Services, CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass= cRlDistributionPoint"
(此命令會顯示為多行;實際輸入時請勿分行。)
應該看到與下面類似的輸出。請驗證 [發行者] 值是否符合您為發行 CA 設定的名稱:
================ CRL 0 ================
Issuer: CN= WoodGrove Bank Issuing CA,DC=woodgrovebank,DC=com
CA Version: V1.0
CRL Number: CRL Number=1
CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe
CertUtil: -store command completed successfully.
若要驗證是否將 CA 憑證發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己安裝中使用的值來取代斜體項目:
https://www.woodgrovebank.com/pki/HQ-CA-02_WoodGrove Bank Issuing CA 1.crt
應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示發行 CA 憑證。
若要檢驗是否將發行 CA CRL 發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己安裝中使用的值來取代斜體項目:
https://www.woodgrovebank.com/pki/WoodGrove Bank Issuing CA 1.crl
應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示根 CA CRL。
附註: 如果您已經更新 CA 憑證或發出多個 CRL,則可以看到這些命令輸出中顯示的不同版本號碼。
驗證憑證註冊
應該驗證可以自發行 CA 註冊的憑證。
驗證憑證註冊
登入與發行 CA 在同一個網域的電腦。使用網域帳戶。
開啟目前使用者的憑證 MMC 嵌入式管理單元。(由於沒有預先定義的嵌入式管理單元,因此您需要使用 [新增/移除嵌入式管理單元] 將此嵌入式管理單元新增到空白 MMC。)
在個人資料夾上按一下滑鼠右鍵,然後從 [所有工作] 子功能表中選取 [要求新憑證]。
系統應會提示您從憑證類型清單中選擇 - 請選取 [使用者] 類型。請勿選取 [進階選項] 核取方塊。
使用可辨識、好記的名稱 (如 [發行 CA 驗證]) 為憑證命名。
按一下 [完成] 來註冊憑證。
瀏覽至 [個人資料夾] 的 [憑證] 子資料夾。您應該在此處看到 [發行 CA 驗證] 憑證。(可能需要先重新整理存放區:在 MMC 左窗格中的 [憑證–目前使用者] 根物件上按一下滑鼠右鍵,然後按一下 [重新整理]。)
如果此驗證測試失敗,應返回本章中的步驟,並改正找出的任何問題。如果仍然遇到問題,請參閱第 11 章<管理公開金鑰基礎結構>中的<疑難排解>一節。
後續建置設定
即使您已經為組織建置了根和發行 CA,仍需要完成幾個重要的設定工作。本節會說明這些工作。
設定憑證範本
大多數工作都與 CA 可以發出的憑證類型設定、控制發行的人員,以及憑證發行的對象和內容相關聯。
從發行 CA 中移除不要的範本
除非需要憑證類型,否則請從 CA 設定中移除對應的範本,以免意外發行憑證。但是,範本永遠在目錄中,需要時可以重新新增。
從發行 CA 中移除不要的範本
以 CA 系統管理員網域群組成員登入。
從 [憑證授權單位] 管理主控台中,選取 [憑證範本] 容器。
移除下列範本類型:
EFS 復原代理程式
基本 EFS
網頁伺服器
電腦
使用者
次級憑證授權單位
系統管理員
**附註:**此程序會從發行 CA 中移除所有範本,但網域控制站、網域控制站驗證和目錄電子郵件複寫的範本除外。Windows 2000 網域控制站使用網域控制站憑證啟用智慧卡登入和簡易郵件傳送通訊協定 (SMTP) Active Directory 複寫。Windows Server 2003 網域控制站使用網域控制站驗證憑證支援智慧卡登入與安全的 LDAP,及使用目錄電子郵件複寫憑證進行 SMTP Active Directory 複寫。
>如果需要,所有已移除的範本以後都可以重新新增。同時,只允許已慎重選擇要發行的憑證類型,是非常好的作法。
建立和管理憑證範本
安全性群組可以有效地管理與使用企業憑證範本。這些群組能控制可以修改每個範本屬性的使用者,以及可以註冊該類型憑證的使用者。
附註: 當有可能控制委派到不同系統管理員的範本時,範本系統管理員群組非常有用。如果您的 PKI 管理結構不太大也不複雜,則有可能不需要此功能。這種情況下,僅「企業系統管理員」內建群組和「企業 PKI 系統管理員」(作為本解決方案的一部份建立) 成員能夠管理憑證範本。
如需有關建立和維護憑證範本管理群組的說明,請參閱第 11 章<管理公開金鑰基礎結構>中所述的操作程序。
如需有關建立本解決方案特定憑證範本的說明,請參閱第 9 章<實作無線區域網路安全性基礎結構>中的<設定和部署無線驗證憑證>一節。
如需有關建立和修改憑證範本的一般說明,請參閱<管理憑證範本>產品文件章節,以及技術文件《在 Windows Server 2003 中實作與管理憑證範本》(英文) (請參閱本章結尾的參考資料)。
管理憑證註冊
透過範本註冊群組即可輕易地進行管理,針對特定憑證類型決定誰可以註冊或是自動註冊。您可從安全性群組中輕鬆新增或移除使用者。如果您不想直接編輯憑證範本的屬性,還可以授予系統管理人員對範本註冊群組成員資格的控制權限。
如需有關建立和維護憑證範本註冊群組的說明,請參閱第 11 章<管理公開金鑰基礎結構>。
設定多網域部署權限
如果要將此解決方案部署到多網域樹系中,您需要將憑證發佈給非 CA 網域中的使用者與電腦。如果遇到這種情況,您需要將預設權限變更為允許 CA 將憑證正確發佈到 Active Directory 樹系中的其他網域。
當為使用者在 CA 和憑證範本上設定註冊權限時,必須從想要使用者和電腦能夠註冊憑證的所有網域中明確包含這些使用者和電腦。
允許將憑證發佈至其他網域的使用者和電腦
登入要啟用憑證發佈的網域。您必須是此網域的網域系統管理員成員或有足夠權限變更網域物件權限的群組成員。
開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元,並在網域節點上按一下滑鼠右鍵。
附註: 您可由其他網域執行此操作,只要您帳戶具有目標網域的適當權限即可。您需要從 Active Directory 使用者及電腦連線至目標網域。
按一下 [委派控制],啟動委派精靈。
在精靈中,按一下 [下一步],然後從安裝發行 CA 的網域中新增 [憑證發行者] 群組。接著按一下 [下一步]。
選取 [建立要委派的自訂工作],然後按一下 [下一步]。
在資料夾中,選取 [僅下列物件]。
選取 [使用者物件],然後按一下 [下一步]。
選取 [指定屬性] 選項。
選取 [讀取 userCertificate] 和 [寫入 userCertificate] 選項。
按一下 [下一步],然後按一下 [完成]。
重複步驟 3 到 10,但在步驟 7 時,請選取 [電腦物件] 而不是 [使用者物件]。
此程序可確保企業 CA 具有權限,可為此網域中的使用者與電腦正確發佈憑證。
備份 CA 金鑰和 CA 伺服器
現在您已建置了根和發行 CA,應該儘快對其備份,這樣可以保護其金鑰和憑證資料庫,以免伺服器失效或資料毀損。
完成如第 11 章<管理公開金鑰基礎結構>中所述的以下程序:
「設定發行 CA 備份」
「設定和執行根 CA 備份」
「備份 CA 金鑰和憑證」(此工作需要對每一個 CA 執行)
用戶端設定
本節說明一些重要的用戶端設定工作。重要資訊較少,因為大部分用戶端的相關設定是專門針對使用憑證服務的應用程式或服務,如 WLAN 或虛擬私人網路 (VPN), 而非所有憑證應用程式共有的工作。
啟用使用者和電腦憑證自動註冊
先前<管理憑證註冊>小節中說明的措施,可讓您使用安全性群組和範本權限來精確控制自動註冊。但是 Windows XP 用戶端已預設為停用自動註冊功能。要啟用此功能,您必須在「群組原則」中設定正確的設定。如果您正在使用安全性群組來控制自動註冊,則可以為網域中所有使用者與電腦啟用自動註冊功能,並且使用註冊安全性群組來決定接收各類憑證的使用者。
注意: 此程序會為網域中的「所有」電腦和使用者啟用自動註冊。請確定在啟動此程序之前,您已經從發行 CA 中移除預設範本,以免預設電腦和使用者憑證註冊到網域中的每一個電腦和使用者。本程序假設您使用安全性群組來控制自動註冊,如第 11 章<管理公開金鑰基礎結構>中所述。
為網域中的所有使用者和電腦啟用自動註冊
使用具有權限建立 GPO (群組原則建立者擁有者成員) 且具有權限將 GPO 連結到網域的帳戶登入。或者,要求網域系統管理員為您建立和連結 GPO,然後授予您 GPO 上的讀取和寫入權限。
在 [Active Directory 使用者及電腦] 中,選取網域物件,在其上按一下滑鼠右鍵,然後按一下 [屬性]。
在 [群組原則] 索引標籤中,按一下 [新增],然後鍵入 GPO 的名稱 (如,網域 PKI 原則)。
按一下 [編輯] 來編輯 GPO,然後瀏覽至 [電腦設定\Windows 設定\安全性設定] 下的 [公開金鑰原則]。
在詳細資料窗格中,連按兩下 [自動註冊設定]。
確定已選取下列項目:
自動註冊憑證
更新過期憑證、更新擱置憑證並移除撤銷的憑證
更新使用憑證範本的憑證
為使用者自動註冊設定重複步驟 5 和 6,其位於 [使用者設定\Windows 設定\安全性設定\公開金鑰原則] 中。
關閉 GPO。
確定 GPO 優先順序高於預設網域原則 GPO。
附註:
如果擁有多網域 Active Directory 樹系,您必須在要啟用憑證自動註冊的樹系中為每一個網域執行此程序。
如果不想為網域中的所有使用者或電腦啟用自動註冊,則可以建立 GPO,連結到包含您想要啟用自動註冊的使用者和/或電腦子集的 OU。
如果使用者不使用漫遊設定檔,並且您允許全體自動註冊,則使用者登入的每台電腦都會註冊憑證。您可能要在使用者登入伺服器時,避免系統管理員和操作員自動註冊憑證。您可以建立套用到這些伺服器的 GPO (如,透過將其連結到伺服器 OU) 來實現。在該 GPO 中,透過選取 [不要自動註冊憑證] 來為使用者停用自動註冊。在同一個 GPO 中,透過啟用 [電腦設定\系統管理範本\系統\群組原則\使用者群組原則回送處理模式] 設定並選取 [取代] 選項,來啟用 GPO 回送處理。
啟用憑證自動註冊在本章結尾的<其他資訊>一節列示的文件中也有詳細說明。
僅 Windows XP 用戶端和更新版本支援使用者和電腦憑證兩者的自動註冊。Windows 2000 用戶端僅支援自動註冊電腦憑證 (儘管如 EFS 等一些應用程式具有自己的使用者憑證自動註冊機制)。
如果在 Windows 2000 Active Directory 環境中部署此解決方案,您必須透過執行 Windows Server 2003 或 Windows XP Professional 並已安裝 Windows Server 2003 管理工具 (Windows XP 需要特定的 service pack 和 hotfix 層級,才能支援 Windows Server 2003 管理工具) 的電腦,才能編輯 GPO 中的自動註冊設定。
設定根憑證授權單位網域原則
本節說明如何管理組織中用戶端信任的商業根 CA,以及您想要針對個體使用者是否可以變更其信任根 CA 的控制程度。
管理協力廠商的信任
根據預設值,Windows 用戶端已設定為信任眾多的商業根 CA (稱為「內設根」)。如果要防止使用者自動信任協力廠商的根 CA,請參考《防止使用者信任具有群組原則的協力廠商根憑證授權單位》線上「說明」提供的相關程序。在<其他資訊>一節有關本主題的文章中,還提供了相關連結。
附註: 停用協力廠商根可能導致用戶端應用程式錯誤或失效,因此在未適當測試後果的情況下,請勿執行此操作。例如,至大多數公開安全網站的用戶端連線將導致產生信任錯誤。
以幾種方式移除全部協力廠商信任,可以緩解某些問題:
透過將個別根新增到「群組原則」的「信任根憑證授權單位」原則設定中,您可以選擇將一些根添加回來。
您可以將根憑證新增至「憑證信任清單」中,並透過「群組原則」的「企業信任」設定來對其進行部署。此方法還允許您控制對您將信任之根發出的憑證的使用。但由於其用戶端支援有限,僅在沒有其他替代方案的情況下,才建議您這樣做。
您可以交叉認證其他憑證授權單位 (或與其建立合格的子項信任關係)。此方法可讓您更大程度控制允許在組織中信任的使用和憑證參數。
使用憑證信任清單或合格子關係,對於在組織中部署協力廠商信任根來說,是最安全的方式。如需此主題的詳細資訊,請參閱第 4 章<設計公開金鑰基礎結構>。
管理使用者對信任根的控制
您還可以使用「群組原則」來防止使用者選擇信任新的根 CA。如果為了控制組織中對協力廠商憑證的使用,而建立了您自己的合格子關係信任或「憑證信任清單」時,這一點就更為重要。您可在《防止使用者選取具有群組原則新根的憑證授權單位》線上「說明」中,或在<其他資訊>一節列示的連結中找到使用「群組原則」的程序,來管理使用者對信任根的控制。
總結
如果執行完本章所述全部程序,則已完成以下工作:
安裝和設定離線根 CA。
安裝和設定線上發行 CA。
安裝和設定網頁伺服器以發佈 CRL 和 CA 憑證。
設定系統管理群組和使用者以管理 CA 和 Active Directory PKI 設定資訊。
設定 Active Directory 和群組原則以支援您的 PKI。
您現在可以設定使用 PKI 的應用程式。此程序將在本指南的第 8 章<實作 RADIUS 基礎結構>和第 9 章<實作無線區域網路安全性基礎結構>中說明。
您還應該閱讀第 11 章<管理公開金鑰基礎結構>的相關部分,並確定相關操作人員已熟知這部分內容。本章提供有關如何保持您的 PKI 以安全和穩定方式執行的重要資訊。
其他資訊
PKI 和 Windows 憑證服務的一般幕後資訊
如需有關 PKI 概念和 Windows 2000 憑證服務功能的說明,請參閱<Windows 2000 公開金鑰基礎結構簡介>(英文),網址是:https://www.microsoft.com/technet/archive/windows2000serv/
evaluate/featfunc/pkiintro.mspx如需有關 Windows Server 2003 和 Windows XP 中增強型 PKI 功能的說明,請參閱<Windows XP Professional 和 Windows Server 2003 中 PKI 增強功能>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx
如需有關討論主要概念和管理工作的幕後產品文件,請參閱線上「說明」的「憑證服務」部分,或 Windows Server 2003 產品文件的公開金鑰基礎結構部分 (英文),網址是:https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/B1EE9920-D7EF-4CE5-B63C-3661C72E0F0B.mspx
特定主題的資訊
如需有關在多樹系 Active Directory 環境中部署 PKI 的詳細資訊,請參閱 Windows Server 2003 產品文件中的<在外部 Active Directory 樹系中發佈憑證>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/
windowsserver2003/library/ServerHelp/a9d684f0-90b1-4c67-8dca-7ebf803a003d.mspx。CAPICOM 可從 Microsoft 下載中心下載,網址是:https://www.microsoft.com/download/details.aspx?displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6, 但您可能要在下載中心網站中搜尋「CAPICOM」,以確保您取得的是最新版本。
如需有關如何使用 Microsoft Baseline Security Analyzer (MBSA) 的說明,請參閱 Microsoft Baseline Security Analyzer v1.2 頁面,網址是:https://www.microsoft.com/technet/security/tools/mbsahome.mspx。
如需有關 Active Directory 網域功能層級的資訊,以及如何在層級之間進行變更的說明,請參閱 Windows Server 2003 產品文件的以下部分。
https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/entserver/sag_levels.mspx 中網域和樹系功能部分 (英文) 說明了不同網域和樹系層級。https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/entserver/sag_changedomlevel.mspx 中的提高網域功能層級頁面 (英文) 說明了如何變更網域和樹系層級。
如需有關 ADPrep 工具的詳細資訊,請參閱 Microsoft 知識庫文件編號 Q325379<如何將 Windows 2000 網域控制站升級至 Windows Server 2003>,網址是:https://support.microsoft.com/?kbid=325379
ADPrep 頁面位於:https://www.microsoft.com/technet/prodtechnol/
windowsserver2003/proddocs/entserver/adprep.mspx。如需有關 ADPrep 補充程式層級需求的詳細資訊,請參閱 Microsoft 知識庫文章 Q331161<執行 Adprep /Forestprep 之前,必須安裝在 Windows 2000 網域控制站上的 Hotfix>,網址是:https://support.microsoft.com/?kbid=331161。
如需有關「憑證服務」管理角色的完整說明,請參閱 Windows Server 產品文件<管理角色型管理>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/entserver/sag_CS_Manage_Role_based_admin_topnode.mspx。如需有關本指南中所用的伺服器安全性設定和伺服器角色的詳細資訊,請參閱<Windows Server 2003 安全性指南>(英文),網址是:https://go.microsoft.com/fwlink/?LinkId=14845。
如需有關建立和修改憑證範本的說明,請參閱技術文章<在 Windows Server 2003 中實作與管理憑證範本>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/
windowsserver2003/echnologies/security/ws03crtm.mspx;以及產品文件的<管理企業憑證授權單位的憑證範本>部分 (英文),網址是:https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/entserver/sag_CS_procs_temps.mspx。如需有關如何停用自動信任協力廠商 CA 的資訊,請參閱
<防止使用者信任具有群組原則的協力廠商根憑證授權單位>(英文),網址是:https://www.microsoft.com/resources/documentation/
WindowsServ/2003/enterprise/proddocs/en-us/sag_pkpprocsconfig3rdpartyrootca.asp。如需有關如何管理使用者對信任根的控制權之資訊,請參閱
<防止使用者選取具有群組原則新根的憑證授權單位>(英文),網址是:https://www.microsoft.com/resources/documentation/WindowsServ/
2003/enterprise/proddocs/en-us/sag_pkpprocsconfigtrustedrootca.asp。如需有關憑證自動註冊的詳細資訊,請參閱<Windows XP 憑證自動註冊>(英文),網址是:https://www.microsoft.com/WindowsXP/pro/techinfo/
administration/autoenroll/default.asp;以及<檢查清單:設定憑證自動註冊>(英文),網址是:https://www.microsoft.com/resources/documentation/
WindowsServ/2003/datacenter/proddocs/en-us/certsrv_checklist_autoenroll.asp。如需有關進階憑證註冊的詳細資訊,請參閱<進階憑證註冊與管理>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/
windowsserver2003/technologies/security/advcert.mspx。如需有關 web 註冊的詳細資訊,請參閱
<設定 Windows 2000 和
Windows Server 2003 憑證服務 Web 註冊並排解疑難>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/
windowsserver2003/technologies/security/webenroll.mspx。如需有關管理 Windows PKI 的詳細資訊 (第 11 章<管理 PKI>提供的資訊除外),請參閱<Windows Server 2003 PKI 作業指南>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/
windowsserver2003/technologies/security/ws03pkog.mspx。