第 7 章:實作公開金鑰基礎結構

發佈日期: 2004 年 11 月 10 日 |更新日期: 2005 年 5 月 26 日


本頁內容

簡介
憑證服務規劃工作表
建置伺服器
為 PKI 準備 Active Directory
為憑證服務保護 Windows Server 2003
其他 Windows 設定工作
安裝和設定根 CA
安裝與設定發行 CA
後續建置設定
用戶端設定
總結

簡介

本章為您提供了詳細指南,用於建置以 Microsoft® Windows Server™ 2003 憑證服務為基礎的公開金鑰基礎結構 (PKI)。本章包括憑證授權單位 (CA) 的安裝與設定、Active Directory® 目錄服務和 Microsoft Internet Information Services (IIS) 的準備,以及用戶端憑證原則的設定。本指南專門協助您建立後續章節中用於建置完整無線區域網路安全性解決方案的憑證基礎結構。

本章旨在為您提供第 4 章<設計公開金鑰基礎結構>中所述 PKI 設計的實作說明。本章不會嘗試說明任何一般 PKI 概念,也不會詳細說明 Microsoft 憑證服務實作。

本章與 PKI 規劃及作業章節 (分別為第 4 章和第 11 章) 屬於同一系列文章。《規劃指南》章節說明本章所用實作決策的理論依據。《作業指南》章節則說明成功維護 PKI 所需的工作與程序。如果您尚未閱讀《規劃指南》各章節,強烈建議您在繼續閱讀本章之前先行閱讀這些文章。在使用本章中的指南實作 PKI 之前,您還應閱讀並瞭解《作業指南》中的支援需求含義。

本章先決條件

本節包含檢查清單,可協助您確保組織準備就緒,隨時可以實作 PKI。(「準備就緒」是從邏輯意義 (而非商業意義) 上而言 – 實作本解決方案的商業動機已在先前的《規劃指南》章節中討論過。)

知識先決條件

您尤其應該熟悉 PKI 和 Microsoft 憑證服務概念。您還需熟悉 Windows 2000 Server 或 Windows Server 2003 以下各方面的內容:

  • 安裝 Microsoft Windows® 作業系統。

  • Active Directory 概念 (包括 Active Directory 結構和工具;操作使用者、群組及其他 Active Directory 物件;群組原則的使用)。

  • Windows 系統安全性;安全性概念,如使用者、群組、稽核、存取控制清單 (ACL);使用安全性範本;使用群組原則或命令列工具來套用安全性範本。

  • 管理 IIS。

  • 瞭解 Windows Scripting Host 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言有助您充分利用提供的指令碼,但這並不是必要的。

在繼續閱讀本章之前,您還應閱讀《規劃指南》,全面瞭解解決方案的架構與設計。

組織先決條件

您應該諮詢組織中實作本解決方案的其他相關人員,如:

  • 業務贊助者

  • 安全人員和稽核人員。

  • Active Directory 工程、管理及操作人員。

  • DNS (網域名稱系統)、網頁伺服器及網路工程人員。

  • 管理及操作人員。

IT 基礎結構先決條件

本章假設現有 IT 基礎結構滿足以下條件:

  • 已部署 Windows 2000 或 Windows Server 2003 Active Directory 網域基礎結構。所有「憑證服務」的使用者必須是 Active Directory 樹系的成員。

    附註:
    雖然本解決方案完全支援將 Windows Server 2003 憑證服務及網際網路驗證服務 (IAS–Microsoft 的 RADIUS 實作) 與 Windows 2000 Active Directory 搭配使用,但並未在此設定下對本解決方案進行測試;本解決方案僅針對與 Windows 2003 Active Directory 搭配使用進行了測試。但是,本指南中包含使用 Windows 2000 Active Directory 的說明。
    雖然經過小幅修改後可以為多個樹系部署本解決方案,但這部分內容不屬於本指南的討論範圍。如需更多有關多個樹系部署的資訊,請參閱本章結尾<其他資訊>一節中的附註。
    本解決方案不包含整合到現有 PKI 的指南。但是,本解決方案不排除與現有 PKI 一起進行部署。

  • 具有能夠執行 Windows Server 2003 憑證服務的伺服器硬體。本指南中提供了建議的設定。

  • 本解決方案不整合到現有 PKI。但是,本解決方案不排除與現有 PKI 一起進行部署。

  • 具有 Windows Server 2003 標準版與企業版授權、安裝媒體以及產品金鑰。

本章概觀

下圖顯示了建置本章所述 PKI 的程序。

圖 7.1 PKI 建置程序圖

圖 7.1 PKI 建置程序圖

上述步驟與本章中的結構相對應,並在以下清單中說明。每個步驟均包含安裝或設定工作, 同時還具有驗證程序,使您在繼續執行下一個步驟前,能夠檢查所有工作是否都準備就緒。

  • 憑證服務規劃工作表。列出本章中用來安裝和設定憑證服務的設定資訊, 其中還包含開始實作之前必須提供的資訊表。

  • 建置伺服器。說明如何選取並設定硬體、安裝 Windows Server 2003,以及安裝選用元件 (例如 IIS)。

  • 為 PKI 準備 Active Directory。說明欲部署 PKI 之 Active Directory 樹系和網域的先決條件,以及必要的準備步驟。同時說明如何建立管理安全性群組和使用者,以及為委派管理工作設定正確的權限。

  • 為憑證服務保護 Windows Server 2003 討論如何透過套用安全性範本來實作作業系統層級的安全性。所使用的範本來自《Windows Server 2003 安全性指南》。如需有關如何獲取本指南的詳細資訊,請參閱本章結尾的<其他資訊>一節。

  • 其他 Windows 設定工作 列出完成伺服器基本安裝的幾項常見工作。

  • 安裝和設定根 CA 說明準備步驟、軟體安裝及憑證服務的設定 (包括定義伺服器的管理角色)。最終步驟是將離線根 CA 的憑證和憑證撤銷清單 (CRL) 發佈到 Active Directory 和網頁伺服器。

  • 安裝與設定發行 CA。類似於根 CA 的指南,但同時還包括如何從根 CA 取得 CA 憑證。最終驗證步驟確認您可以從發行的 CA 註冊憑證。

  • 建置後設定。說明如何設定由發行 CA 發出的預設憑證類型、為多網域樹系設定權限,以及在將 CA 引入生產環境之前進行備份。

  • 用戶端設定 說明如何為網域中的所有使用者和電腦啟用自動註冊,以及如何設定根憑證信任原則。


憑證服務規劃工作表

本節中的表格將列出本解決方案中使用的所有 PKI 設定參數。您應將這些表格作為計劃決策的檢查清單。

這些表格中的部分參數需要在執行本章所述程序時手動輸入。其他參數由某個程序中執行的指令碼設定,或由指令碼透過某種方式參照參數以完成設定或操作工作。如果出現這種情況,表格中將包含相關的指令碼名稱。

附註:本章中所使用的指令碼,在附錄 A 和指令碼隨附的 ToolsReadme.txt 檔案中有更詳細的說明。

使用者定義的設定項目

下表列出虛構 Woodgrove Bank 公司的特定組織參數。開始安裝程序之前,應確定已收集或決定貴組織所有項目的對等設定。在本章中,下表所示的虛擬值將用於命令範例。您應使用適合貴企業組織的值來取代這些虛構值。文字中需要您取代值的地方以斜體表示。

表 7.1:使用者定義的設定項目

設定項目

設定

指令碼參照

Active Directory 樹系根網域的 DNS 名稱

woodgrovebank.com

 

樹系根的識別名稱 (DN)

DC=woodgrovebank,DC=com

Pkiparams.vbs

網域的 NetBIOS (網域基本輸入/輸出系統) 名稱

WOODGROVEBANK

 

根 CA 工作群組的 NetBIOS 名稱

WGB-Root

 

根 CA 的伺服器名稱

HQ-CA-01

 

發行 CA 的伺服器名稱

HQ-CA-02

 

根 CA 的 X.500 一般名稱 (CN)

WoodGrove Bank Root CA

 

發行 CA 的 X.500 CN

WoodGrove Bank Issuing CA 1

 

用來發佈 CA 憑證和撤銷資訊之網頁伺服器的完整主機名稱

www.woodgrovebank.com

Pkiparams.vbs

解決方案指定的設定項目

除非您必須使用不同於解決方案設計的設定,否則在安裝時不必變更這個表格所指定的設定。但您要瞭解,變更這些設計參數,此作業結果會不同於已通過測試的解決方案。請確定您完全瞭解變更設定的影響及設定可能具有的相依性,然後再變更此處、設定程序及所提供指令碼中的任何值。

表 7.2:解決方案指定的設定項目

設定項目

設定

指令碼參照

管理角色安全性群組

公開金鑰服務設定容器的系統管理員。

企業 PKI 系統管理員

ca_setup.wsf

有權將憑證撤銷清單 (CRL) 和 CA 憑證發佈到企業設定容器的系統管理群組。

企業 PKI 發行者

ca_setup.wsf

設定和維護 CA 的系統管理群組,亦控制指派所有其他 CA 角色並更新 CA 憑證的能力。

CA 系統管理員

ca_setup.wsf

核准憑證註冊和撤銷要求的系統管理群組。這是一個 CA 長官角色。

憑證管理員

ca_setup.wsf

管理 CA 稽核和安全性記錄的系統管理群組。

CA 稽核員

ca_setup.wsf

管理 CA 備份的系統管理群組。

CA 備份操作員

ca_setup.wsf

IIS 設定

用於發佈 CA 憑證和 CRL 資訊的網際網路資訊服務 (IIS) 虛擬目錄名稱。

pki

Pkiparams.vbs

發行 CA 上對應至 IIS 虛擬目錄的實體路徑。

C:\CAWWWPub

Pkiparams.vbs

一般 CA 參數

儲存「憑證服務」要求檔案的磁碟機和路徑。

C:\CAConfig

Pkiparams.vbs

儲存「憑證服務」資料庫記錄的磁碟機和路徑。

%windir%\System32\CertLog

 

根 CA 設定

根 CA 金鑰的長度

(請參閱本表格後的附註)。

4096

 

根 CA 憑證的有效期。

16

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

根 CA 發出之憑證的最大有效期。

8

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

根 CA 的 CRL 發佈間隔。

6

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

CRL 重疊期間 (新 CRL 發佈和舊 CRL 到期之間的時間)。

10

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

根 CA 的 Delta–CRL 發佈期間 — 0 = 停用 delta–CRL。

0

Pkiparams.vbs

上一個值的單位。

小時

 

發行 CA 的參數

儲存「憑證服務」資料庫的磁碟機和路徑。

D:\CertLog

 

發行 CA 金鑰的長度。

2048

 

發行 CA 憑證的有效期。

8

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

發行 CA 發出之憑證的最大有效期。

4

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

發行 CA 的 CRL 發佈間隔。

7

Pkiparams.vbs

上述值的單位。

Pkiparams.vbs

CRL 重疊期間 (新 CRL 發佈和舊 CRL 到期之間的時間)。

4

Pkiparams.vbs

上述值的單位。

Pkiparams.vbs

發行 CA 的 Delta–CRL 發佈期間 — 0 = 停用 delta–CRL。

1

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

Delta–CRL 重疊期間 (新 delta CRL 發佈和舊 delta CRL 到期之間的時間)

1

Pkiparams.vbs

上一個值的單位。

Pkiparams.vbs

雜項

安裝指令碼的路徑。

C:\MSSScripts

 


重要:如果要將憑證發出到某些裝置 (例如,某些路由器) 或其他廠商某些無法處理超過一定大小之金鑰的舊軟體,或者由這些裝置或舊軟體來使用,則使用 4096 位元的金鑰長度可能導致相容性問題。在部署 PKI 之前,您應該使用具有此大小的根 CA 憑證金鑰之憑證來測試應用程式。如果擔心金鑰長度會造成問題,請將根 CA 金鑰大小減到 2048 位元。(您必須在安裝根 CA 時於 CAPolicy.inf 檔案內指定此值 – 請參閱<安裝和設定根 CA>一節。)

建置伺服器

本節討論準備伺服器硬體和安裝作業系統的基本工作。需要兩個伺服器:一個作為根 CA,一個作為發行 CA。

重要:開始建置 CA 之前,您應該閱讀第 4 章<設計公開金鑰基礎結構>中<CA 的安全性管理>一節。這可能會影響用於建置伺服器的安全性環境。

選取和設定伺服器硬體

下一小節摘述了兩個 CA 角色的基本伺服器規格。第 4 章<設計公開金鑰基礎結構>詳細探討了選取硬體的部分關鍵準則。

根 CA 伺服器硬體

下表以一般 Windows Server 2003 硬體建議為基礎,顯示了根 CA 的建議硬體規格。但是,如果您有符合第 4 章中所列準則且只是由於效能原因而排除的伺服器,則可能不需要購買新的硬體。

表 7.3:根 CA 伺服器的建議硬體規格

項目

需求

CPU

單一 CPU 733 MHz 或更高速度

記憶體

256 MB

網路介面

無 (或停用)

磁碟儲存

IDE (整合式電子裝置) 或 SCSI (小型電腦系統介面) RAID (獨立磁碟容錯陣列) 控制站

2 x 18 GB (SCSI) 或 2 x 20 GB (IDE),設定為 RAID 1 磁碟區 (磁碟機 C)

本機卸除式媒體存放裝置 (用於備份的 CD-RW 或磁帶)

用於資料傳輸的 1.44 MB 磁碟機

發行 CA 伺服器硬體

儘管發行 CA 具有效能需求,但與許多其他類型的伺服器相比之下,發行 CA 的工作量通常都很少,所以這些需求也相對較低。為根 CA 伺服器選取硬體的相同品質及可靠性準則在此同樣適用。在網路和存放裝置方面與根 CA 的規格有部分細微差異 (如下表所示):

表 7.4:發行 CA 伺服器的建議硬體規格

項目

需求

CPU

單一 CPU 733 MHz 或更高速度

記憶體

256 MB

網路介面

2 x 單一網路介面卡 (NIC),以提供恢復功能

磁碟儲存

IDE 或 SCSI RAID 控制站

2 x 18 GB (SCSI) 或 2 x 20 GB (IDE),設定為 RAID 1 磁碟區 (磁碟機 C 和 D)

如果沒有網路備份設備,則需本機卸除式媒體存放裝置 (用於備份的 CD-RW 或磁帶)。

用於資料傳輸的 1.44 MB 磁碟機


重要:上表中的伺服器規格適用於大約 5,000 個使用者。如果您擁有更多使用者,則應至少將磁碟容量增加一倍以作為第二個磁碟機 (允許每 1000 個使用者擁有約 2 GB 的容量),並將安裝的記憶體增加一倍。如需有關磁碟使用率的指南,請參閱第 11 章<管理公開金鑰基礎結構>中<決定發行 CA 的儲存和備份需求>一節。

準備硬體

根據硬體廠商的建議完成所有硬體設定。這些建議可能包括套用最新的 BIOS 與韌體更新。

使用隨硬體提供的磁碟控制站管理軟體,來建立前面表格中所述的 RAID 1 磁碟區 (一個磁碟區用於根 CA,兩個磁碟區用於發行 CA)。

準備根 CA 伺服器

本節中的工作說明如何在用於根 CA 的伺服器上安裝 Windows。

安裝 Windows Server 2003 標準版

許多組織已經擁有自動安裝伺服器的程序。如果本節中使用的參數可以包含於自動建置程序,則可使用此程序來建置伺服器。

如果建置依賴網路連線,則屬於例外情況。在此情況下,您應該毫不猶豫地考慮手動執行建置,至少根 CA 需要如此。很多離線 CA 的安全性保證依賴於沒有連線至網路或從未連線至網路的事實。這會大幅降低電腦受外部攻擊入侵的可能性 (因為攻擊者需要以某種方式實體存取伺服器)。

安裝 Windows Server 2003

  1. 將 Windows Server 2003 標準版 CD 放入 CD-ROM 光碟機,然後啟動系統。請確定伺服器 BIOS 中已將 CD-ROM 設定為可開機裝置。

  2. 在主磁碟區上建立一個磁碟分割,將其格式化為 NTFS,然後選取在該磁碟分割上安裝 Windows 的選項。

  3. 選取適當的區域設定。

  4. 鍵入 Windows 將註冊的名稱和公司資訊。

  5. 為本機系統管理員帳戶輸入一個增強式密碼 (至少 10 個字元,且為大寫字母和小寫字母、數字,及標點字元的混合)。

  6. 在提示時鍵入電腦名稱,如 HQ-CA-01 (請用您的電腦名稱取代此值)。

    重要:即使根 CA 離線,保證其名稱在組織中唯一也很重要。

  7. 提示時,選取加入一個工作群組。鍵入工作群組名稱,如 WGB-Root (請用您所選擇的工作群組名稱取代此值)。

  8. 提示時,不要安裝任何選用元件。

    伺服器會在主要安裝程序結束時重新啟動。繼續執行下列步驟。

  9. 安裝現行 Windows Service Pack (撰寫本文時,Windows Server 2003 剛製造發行,所以沒有 Service Pack 可以使用) 和任何建議的安全性更新 (請使用 Microsoft Baseline Security Analyzer 之類的工具來決定建議的更新)。您還應該安裝任何其他重要功能性更新 (與安全性無關),或根據測試結果所需的更新。

  10. 啟動 Windows 的複本。啟動程序必須離線完成,這樣伺服器在任何時候都不會連線至網路。

網路設定

根 CA 不連線至網路。您應該透過 [控制台] 中的 [網路連線] 停用系統上的任何網路介面,以防止根 CA 在錯誤連線至網路時可經由網路進行存取。

驗證安裝

您應該驗證作業系統的安裝是否正確完成,以及設定的參數是否與預期的一致。

檢視目前的系統設定

  1. 在命令提示字元中,執行 systeminfo 程式。

  2. 驗證 systeminfo 輸出的下列元素 (此處為求簡明,已省略部分輸出詳細資訊,並以省略號「...」表示):

    主機名稱:    HQ-CA-01

    作業系統名稱:    Microsoft® Windows® Server 2003, Standard Edition

    ...

    作業系統設定:    獨立伺服器

    註冊的擁有者:    YourOwnerName

    登記的公司:    YourOwnerOrganization

    ...

    Windows 目錄:    C:\WINDOWS

    系統目錄:    C:\WINDOWS\System32

    開機裝置:    \Device\HarddiskVolume1

    系統地區設定:    YourSystemLocale

    輸入法地區設定:    YourInputLocale

    時區:    YourTimeZone

    ...

    網域:    WGB-Root

    登入伺服器:    \\HQ-CA-01

    Hotfix:    已安裝 X 個 Hotfix。

                                   [01]: Qxxxxxx

    ...

                                   [nn]: Qnnnnnn

    網路卡:    N/A

  3. 如果這些設定與預期不符,您需要透過 [控制台] 重新設定伺服器,或重新執行安裝。

準備發行 CA 伺服器

本節中的工作說明如何在用於發行 CA 的伺服器上安裝 Windows。

安裝 Windows Server 2003 企業版

遵循建置根 CA 伺服器的程序,並注意下列例外情況。

與根 CA 不同的是,您可以使用基於網路的建置方法 (如果需要) 來建置發行 CA 伺服器。但是,您應該採取合理的預防措施,確保 CA 不會受到任何安全性威脅。例如,您應將其安裝在隔離的網路中,沒有至網際網路或公司主要網路的可路由路徑。請切記,在安裝最新安全性更新之前,系統可能容易受到網路威脅。

安裝 Windows Server 2003 企業版

  1. 遵循在根 CA 伺服器上安裝 Windows 作業系統的步驟 1 到 5,不同之處是要以 Windows Server 2003 的企業版取代標準版。

  2. 在提示時鍵入電腦名稱,如 HQ-CA-02 (請用您的電腦名稱取代此值)。

  3. 在提示時,選取加入網域之選項。輸入伺服器將加入的 Active Directory 網域名稱,如 WOODGROVEBANK (請用您要在其中安裝 CA 的網域名稱取代此值)。在提示時,輸入獲准將電腦加入此網域的使用者認證。

    附註:在多網域樹系中,憑證伺服器一般都會安裝在樹系的根網域下;這雖然不是必要的,但本解決方案中仍對此作了假設。

  4. 請勿安裝任何選用元件。

    伺服器會在主要安裝程序結束時重新啟動。繼續執行下列步驟。

  5. 為根 CA 安裝任何現行的 service pack 和所需的 hotfix。

  6. 在第二個硬式磁碟的磁碟區上建立一個磁碟分割,並將其指定為磁碟機 D,然後將其格式化為 NTFS 格式。

  7. 在磁碟機 D: 上建立名為 D:\CertLog 的資料夾。

  8. 啟動 Windows 的複本。啟動程序必須離線完成,這樣伺服器就不會以任何方式暴露於網際網路中。

網路設定

此發行 CA 有單一網路介面 (雖然可能透過組合兩個實體網路介面卡來實作,用於增加恢復力)。網路介面應以固定的網際網路通訊協定 (IP) 位址,及其他適用於您網路的 IP 設定參數 (預設閘道,DNS 設定等) 來進行設定。

基於安全性理由,您應封鎖發行 CA 與網際網路之間的任何輸入或輸出連線。即使僅授予輸出存取權,也會導致病毒及其他惡意軟體具有更大的危險性。例如,這樣會使病毒及其他惡意軟體能夠從網際網路下載其他程式碼,或盜取您的 CA 私密金鑰資料並在組織外進行傳輸。

驗證安裝

您應該驗證作業系統的安裝是否正確完成,以及設定的參數是否與預期的一致。

檢視目前的系統設定

  1. 在命令提示字元中,執行 systeminfo 程式。

  2. 驗證 systeminfo 輸出的下列元素 (此處為求簡明,已省略部分輸出詳細資訊):

    主機名稱:    HQ-CA-02

    作業系統名稱:    Microsoft® Windows® Server 2003, Enterprise Edition

    ...

    作業系統設定:    成員伺服器

    註冊的擁有者:    YourOwnerName

    登記的公司:    YourOwnerOrganization

    ...

    Windows 目錄:    C:\WINDOWS

    系統目錄:    C:\WINDOWS\System32

    開機裝置:    \Device\HarddiskVolume1

    系統地區設定:    YourSystemLocale

    輸入法地區設定:    YourInputLocale

    時區:    YourTimeZone

    ...

    網域:    woodgrovebank.com

    登入伺服器:    \\DomainControllerName

    Hotfix:    已安裝 X 個 Hotfix。

                                   [01]: Qxxxxxx

    ...

                                   [nn]: Qnnnnnn

    網路卡:    已安裝 1 NIC。

    [01]:    ModelAndVendorofNetworkCard

        連線名稱: 區域連線

        啟用 DHCP:    否

        IP address(es)

        [01]: 10.1.1.11

  3. 如果這些設定與預期不符,則應透過 [控制台] 重新設定伺服器,或重新執行安裝。

安裝設定指令碼至伺服器

本解決方案還提供許多支援指令碼和設定檔,有助於簡化解決方案的某些設定和操作。您必須將它們安裝在每一個 CA 伺服器上。上述部分指令碼在執行《作業指南》章節中所述的操作時還需要使用,因此請勿在完成 CA 安裝後就將其刪除。

在每一個伺服器上安裝設定指令碼

  1. 建立名為 C:\MSSScripts的資料夾。

  2. 將指令碼從發佈媒體複製到此資料夾中。

安裝和設定網際網路資訊服務

本節說明如何在發行 CA 上安裝和設定網際網路資訊服務 (IIS)。使用 IIS 可以為非 Windows 用戶端提供 CA 憑證和 CRL 下載點。建議不要在根 CA 上安裝 IIS。雖然您可以在發行 CA 上安裝 IIS,但更為安全的方法是在 CA 以外的其他伺服器上主控 CA 憑證和 CRL 的 Web 下載點。可能有許多需要擷取 CRL 或 CA 鏈資訊的憑證 (內部和外部) 使用者,但是不必對其授與對 CA 的存取權。如果下載點由 CA 本身主控,則無法防止此類存取。

重要:為了簡化本解決方案中的指南,可使用發行 CA 伺服器來主控網頁伺服器、CA 憑證和 CRL 下載點。但是,建議在您的環境中使用獨立的網頁伺服器,以提高 CA 的安全性。此處所述的步驟可用於在發行 CA 或獨立的伺服器上安裝和設定 IIS。

IIS 還可以主控憑證服務 Web 註冊頁,但本解決方案中並沒有使用這些網頁。如果要在 CA 以外的伺服器上安裝 Web 註冊頁,您必須在 Active Directory 的伺服器電腦物件中設定相應屬性,以將此伺服器標示為「受信任可以委派」。

在發行 CA 上安裝網際網路資訊服務

IIS 使用「Windows 選用元件管理員」(透過 [控制台] 中的 [新增/移除元件] 存取) 進行安裝。下表列出要安裝的元件。縮排結構反映元件之間的階層關係,如同您在「選用元件管理員精靈」中所見 (例如,[啟用網路 COM+ 存取] 是 [應用程式伺服器] 的子元件)。未選取的元件不會顯示在該表格中。

表 7.5:要安裝的選用元件

元件

安裝狀態

應用程式伺服器

已選取

      啟用網路 COM+ 存取

已選取

      網際網路資訊服務

已選取

            Common Files

已選取

            Internet Information Services Manager

已選取

            World Wide Web Service

已選取


安裝 IIS

  1. 在命令提示字元中執行下列命令。

    sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIIS.txt

    此命令可讓「選用元件管理員」使用自動安裝檔案 C:\MSSScripts\OC_AddIIS.txt 中指定的元件設定。

    [Components]
    complusnetwork = On
    iis_common = On
    iis_asp = On
    iis_inetmgr = On
    iis_www = On
    

    附註:此設定的 iis_asp = on 行中啟用了 [動態伺服器網頁] (ASP) 選項。您必須啟用此選項以支援憑證服務 Web 註冊頁延伸解決方案,但對於核心解決方案則不需要。如果您不需要 Web 註冊頁面,則應該考慮停用 ASP (執行 sysocmgr.exe 之前刪除命令行 iis_asp = on)。您可在以後需要時啟用此設定。

  2. 如下所示,重新執行「選用元件管理員」,並驗證安裝的元件是否符合上表中所列的元件。

    sysocmgr /i:sysoc.inf

    [應用程式伺服器] 的其他子元件都不需要,因此不需要選取。

在發行 CA 上設定 IIS 以發佈授權資訊存取 (AIA) 和 CRL 發佈點 (CDP)

您必須在 IIS 上建立虛擬目錄,用作 CA 憑證和 CRL 發佈點 (分別稱為 AIA 和 CDP) 的超文字傳輸通訊協定 (HTTP) 位置。

在 IIS 上建立虛擬目錄

  1. 以本機系統管理員權限登入 IIS 伺服器 (發行 CA)。

  2. 建立包含 CA 憑證和 CRL 的資料夾 C:\CAWWWPub 。

  3. 使用 Windows 檔案總管設定資料夾的安全性;下表顯示了要套用的權限。前四個項目應該已經存在。

    表 7.6:虛擬目錄權限

    使用者/群組

    權限

    允許/拒絕

    系統管理員

    完全控制

    允許

    系統

    完全控制

    允許

    建立者擁有者

    完全控制 (僅子資料夾和檔案)

    允許

    使用者

    讀取

    列出資料夾內容

    允許

    IIS_WPG

    讀取

    列出資料夾內容

    允許

    網際網路來賓帳戶

    寫入

    拒絕


  4. 在網際網路資訊服務管理主控台中,於預設網站下建立新的虛擬目錄:

    • 將虛擬目錄命名為 pki

    • 指定 C:\CAWWWPub 作為路徑。

  5. 在虛擬目錄存取權限中,清除 [執行指令碼 (如 ASP)] 選項。

  6. 確定虛擬目錄的匿名驗證已啟用。

為 HTTP 發佈點選擇 DNS 別名

您應該建立通用 DNS 別名 (CNAME),解析主控 CDP 和 AIA 的 IIS 伺服器,例如:www.woodgrovebank.com。在後續章節中設定 CA 的 CDP 和 AIA 路徑時,應使用此 DNS 別名。使用此別名可讓您在以後輕易地將 CA 發佈點移至其他伺服器或網路位置,而不必重新發行 CA 憑證。

驗證 IIS 安裝

繼續前應驗證 IIS 的基本作業。如果下列任何測試失敗,您應根據本節的先前步驟重新檢查 IIS 安裝與設定。

驗證 IIS 虛擬目錄的正確運作

  1. 以本機系統管理員成員的身份登入 IIS 伺服器 (發行 CA),然後使用記事本等文字編輯程式來建立檔案。輸入一些可辨識文字 (文字的內容並不重要,也不需要 HTML 標籤)。例如:

    Hello World

  2. 在您於上一步驟中為發佈 CDP 和 AIA 資訊而建立的資料夾 [C:\CAWWWPub] 中,將檔案儲存為 test.htm。在同一資料夾將相同的檔案儲存為 test.asp。

  3. 開啟瀏覽器並鍵入統一資源定位器 (URL),以嘗試擷取該頁面:

    http://www.woodgrovebank.com/pki/test.htm

    附註:如果尚未在 DNS 中設定此別名,則可根據 IIS 伺服器的 IP 位址,在本機主機檔案 (%systemroot%\system32\drivers\etc\hosts) 中暫時輸入別名。或者,您可以使用 IIS 伺服器的真實主機名稱取代別名。但請注意,您必須在稍後檢查 DNS 別名能否正常運作。

  4. 您應該看到瀏覽器中顯示的文字「Hello world」(或您在步驟 1 中輸入的任何其他文字)。

驗證已停用的「執行」權限

  1. 開啟瀏覽器並鍵入下列 URL,以嘗試擷取該頁面:

    http://www.woodgrovebank.com/pki/test.asp

  2. 瀏覽器上應該會顯示下列錯誤訊息 (或類似訊息):

    無法顯示此頁面

    您試圖從不允許執行程式的目錄執行 CGI、ISAPI,或其他可執行程式。

    下列錯誤碼也應該會顯示:

    HTTP 錯誤 403.1 - 禁止:執行存取被拒絕。

    網際網路資訊服務 (IIS)

您必須確保已啟用匿名存取網站的功能。因為 Microsoft Internet Explorer 會自動且默默地嘗試驗證網站的使用者,所以有時很難判斷使用的是匿名存取還是驗證存取。其中一個方法是變更 Internet Explorer 區域安全性設定,強制使用匿名登入,並重複前面的測試。或者,您也可以執行下列程序,使用 telnet.exe 強制進行未經驗證的存取。本程序假設您從 IIS 伺服器本身測試網站,不適用於從 Proxy 伺服器進行測試。

驗證已啟用匿名存取

  1. 在命令提示字元中,執行 telnet 程式。

  2. 在 telnet 提示畫面,鍵入下列命令來開啟鍵入字元的本機顯示:

    set localecho

  3. 鍵入下列命令,以使用先前定義的 DNS 別名連線至 IIS:

    open www.woodgrovebank.com 80

  4. 鍵入下列文字 (完全遵循顯示,包括大小寫) 以擷取 test.htm 頁面:

    GET /pki/test.htm

    附註:游標將返回螢幕頂端,表示鍵入的文字正在覆寫螢幕上的現有文字,這可能導致輕微地顯示混亂。您可以放心地忽略此情況。
    如果鍵入出錯,請按下 RETURN,然後再次鍵入 open 命令 (如步驟 3 中所示) 以重新連線,並重新嘗試使用 GET 命令。

  5. 應該看到下列輸出:

    Hello world

    主機連線遺失。

    按下任意鍵繼續...

  6. 鍵入 quit 以結束 telnet。

如果本節中的三個測試已全部正確完成,則請從網頁伺服器資料夾中刪除 test.htm 和 test.asp 檔案。

安裝和設定其他作業系統元件

本節說明如何安裝和設定伺服器所需的其他元件。根 CA 和發行 CA 伺服器都應遵循這些程序。

移除更新根憑證服務

您應該移除「更新根憑證」服務。這是依預設安裝的選用元件。CA 的根信任沒必要自動更新。在任何情況下,如果無法存取網際網路,此服務將不會運作,並且會將錯誤記錄到事件日誌。很明顯,離線 CA 沒有網路存取權,但您也應該如之前所述,封鎖發行 CA 與網際網路之間的任何輸入或輸出連線。

移除更新根憑證服務

  • 在命令提示字元中執行下列命令。

    sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_RemoveRootUpdate.txt

此命令可將「選用元件管理員」設定為使用 C:\MSSScripts\OC_ RemoveRootUpdate.txt 檔案中指定的元件設定。

[Components]
rootautoupdate = Off

檢查 Service Pack 和安全性更新

此時,您應該重新檢查安裝的 Service Pack 和更新清單 (因為可能已經安裝了其他的元件,如 IIS)。請使用諸如 Microsoft Baseline Security Analyzer (MBSA) 的工具來執行檢查,獲取所有必需的更新,並在經適當測試後將其安裝在伺服器上。

如需有關使用 MBSA 的說明,請參閱本章結尾<其他資訊>一節中提供的連結。

附註:您需要分別下載現行 Microsoft 安全性更新清單 mssecure.xml,以便您可以離線執行 MBSA。MBSA 連結中的 MBSA 文件對此進行了說明。

安裝其他軟體

本節說明如何安裝 CA 所需的其他軟體。

CAPICOM

對於隨本解決方案提供的部分設定和管理指令碼,根 CA 和發行 CA 都需要 CAPICOM 2.0 (現行版本實際為 2.0.0.3)。如需有關取得最新版 CAPICOM 的資訊,請參閱本章結尾<其他資訊>一節。

請遵循自行解壓縮的可執行檔中的說明,安裝並註冊 CAPICOM 動態連結程式庫 (DLL) 程式庫。

Windows Server 2003 支援工具

雖然並非嚴格必要,在發行 CA 伺服器上安裝 Windows 2000 支援工具還是非常有用的。對於某些 CA 作業,一些工具很有用,其他則可助於疑難排解。可以從 Windows 安裝 CD (Suptools.msi 在 Support\Tools 內) 中安裝支援工具。

為 PKI 準備 Active Directory

本節說明如何準備 Active Directory 以安裝 Windows Server 2003 憑證服務。

Active Directory 架構準備

本解決方案的 Active Directory 網域基礎結構有一些基本需求。根據解決方案是安裝在 Windows 2000 Active Directory 環境中還是已經升級到 (或原本就安裝為) Windows Server 2003 Active Directory,這些需求會有所不同。

Active Directory 所有版本的需求

本解決方案需要最低功能等級為 Windows 2000 原生模式的網域,至少是安裝憑證授權單位伺服器的網域需要如此。這個需求必須滿足,因為本解決方案使用的 Active Directory 萬用群組,最早是在 Windows 2000 原生模式中提供的。如果網域不滿足這個需求,您必須遵循產品文件中的說明對其進行變更 (請參閱本章結尾<其他資訊>一節)。

附註:即使您在安裝時僅使用 Windows 2003 Active Directory 網域控制站,Active Directory 的預設網域功能等級永遠都是混合模式。繼續操作前您需要從此層級進行提高。如果您因為需要支援 Microsoft Windows NT® 4.0 版網域控制站,而無法從混合模式提高網域等級,則您需要手動建立網域通用群組以取代萬用群組。

本解決方案假設 Active Directory 樹系具有預設 Windows 2000 樹系功能等級 (最低)。無須變更此預設。如需有關這些概念的進一步資訊,請參閱本章結尾的參考資料。

安裝在 Windows 2000 網域中

重要:雖然 Microsoft 支援在使用 Windows 2000 網域控制站的網域中安裝和使用 Windows Server 2003 憑證服務,但尚未在此組合下對本解決方案進行全面測試。

如果本解決方案要安裝到 Windows 2000 Active Directory 樹系中,您必須更新 Windows 2003 憑證服務安裝的目錄架構使其正常運作。您還必須確定所有 Windows 2000 網域控制站都套用了 Service Pack 3 (或更新版本)。您必須套用 Service Pack 才能讓架構更新工具正常運作,從而使網域控制站支援 LDAP (輕量型目錄存取通訊協定) 簽章。LDAP 簽章是使用憑證自動註冊的 Windows Server 2003 CA 和 Windows XP 用戶端所需的安全性增強功能。

Windows 2003 憑證服務的許多功能 (例如自動註冊和可編輯範本) 需要 Windows Server 2003 版本的 Active Directory 架構。但是,有此需求並不代表任何或所有網域控制站都需要執行 Windows Server 2003。它僅僅表示 Windows Server 2003 憑證服務需要 Windows 2000 Active Directory 架構中所不具備的特定架構延伸模組。您可以使用 ADPrep.exe 工具 (位於 Windows Server 2003 發佈媒體的 [i386] 資料夾中) 更新目錄架構。

要使用 Adprep,您必須將 Service Pack 3 套用到您的 Windows 2000 網域控制站 (雖然 Adprep 可與 Service Pack 1 及部分後續 SP1 更新配合使用,但由於必須套用 SP3,因此沒必要討論)。如果不確定所有網域控制站是否處於正確的修正層次,請不要嘗試使用此工具。

警告:使用此工具將無法還原您對目錄架構所作的變更。儘管此程序非常安全,開始前仍需仔細閱讀相關文件。

在樹系的「架構主機」網域控制站中執行下列命令:

ADPrep /ForestPrep

要執行此工作,您必須是 Schema Admins 的成員,或要求具有正當權限的系統管理員為您執行此變更。

如需更多有關 ADPrep 工具的資訊,請參閱本章結尾的參考資料。

驗證 Active Directory 是否準備就緒

您可以執行下列步驟來驗證網域功能等級和架構版本。

驗證網域功能等級

  1. 開啟 Active Directory 使用者和電腦。

  2. 檢視網域物件的屬性。

  3. 在 [一般] 索引標籤上,您應該看到 [網域功能等級] 列示為下列內容之一:

    • Windows 2000 原生模式

    • Windows Server 2003

驗證架構版本是否正確

  1. 在命令提示中鍵入下列命令 (請務必替代您樹系根網域的 DN):

    dsquery * "cn=schema,cn=configuration, DC=woodgrovebank,DC=com" -scope base -attr objectversion

    (此命令會顯示為多行;實際輸入時請勿分行。)

    附註:您將需要從 Windows 2003 伺服器中執行此命令。Dsquery.exe 依預設不可用於 Windows XP 或 Windows 2000。

  2. 輸出應顯示架構版本為 30 (或更高),如下所示:

      objectversion

      30

Active Directory 群組和使用者

本節說明如何建立 CA 使用的 Active Directory 安全性群組和使用者帳戶。

建立 PKI 和 CA 管理群組

可以使用網域使用者帳戶和安全性群組來定義系統管理角色和功能。

附註:本解決方案定義對應於獨立系統管理角色的多個安全性群組。此方法為您委派 CA 管理責任提供了許多控制方式。但是,如果他們不對應於您的管理模型,則不應認為必須使用所有或其中的任何角色。極端狀況下,如果您只有一個 PKI 系統管理員管理所有方面的服務,您可以將此帳戶新增至 CA 上的所有角色群組。事務上,大部分組織會使用某些角色分隔,但是很少有組織會使用憑證服務的所有角色分隔功能。

在網域中建立 CA 管理群組

  1. 使用具有足夠權限的帳戶登入網域成員電腦,以在使用者容器中建立使用者和群組物件。

  2. 執行下列命令,建立網域 CA 管理群組:

    Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf

此指令碼會建立下表中所列的安全性群組。這些群組在網域使用者容器內建立為萬用群組,然後應移至更合適的組織單元 (OU) 中。(合適的 OU 結構圖表如本節稍後所示)。

注意:此指令碼在 Active Directory 樹系中建立的安全性群組會被委派大量權力。您應該審慎確定這些群組的成員。具體來說:

企業 PKI 系統管理員。這是一個權力非常大的群組。它可完全控制整個 Active Directory 樹系的 PKI,其中包括安裝和取代根 CA 與企業 CA、變更根信任以及安裝交互憑證的能力。請如同處理企業系統管理員群組那樣,謹慎處理該群組。

企業 PKI 發行者。此群組雖然聽起來可能無害,但也具有強大的功能。它具有安裝和移除整個樹系的信任根 CA 及交互憑證之能力。雖然它的權力沒有企業系統管理員大,但您必須謹慎加以處理。

表 7.7:群組名稱和用途

群組名稱

用途

企業 PKI 系統管理員

公開金鑰服務設定容器的系統管理員。

企業 PKI 發行者

有權將 CRL 和 CA 憑證發佈到企業設定容器

CA 系統管理員

具有對 CA 的完整管理功能,包括判定其他角色的成員資格

憑證管理員

管理憑證發行和撤銷

CA 稽核員

管理 CA 稽核資料

CA 備份操作員

具有備份和還原 CA 金鑰和資料的權限


附註:
如果要求每個企業 CA 都具有單獨的 CA 系統管理員、憑證管理員、稽核員和備份操作員,您應該為每個 CA 建立此處所示的單獨網域群組,而不是涵蓋整個企業的單一群組。請將它們命名為 CAName CA Admins 或類似名稱。
這些網域群組在離線 CA 上大部分都建有同等本機群組。
CA 伺服器本機系統管理員群組也在 CA 管理上的扮演重要角色。此群組依預設已經存在於 Windows 伺服器中。
在多網域樹系中,您應將這些群組與憑證伺服器建立在同一個網域中;這是本指南其餘部分中假設使用的方法。(因為這些群組是萬用群組,您可以使用它們來管理在任何樹系網域中安裝的 CA。)

建立 PKI 和 CA 管理測試使用者

為了測試和說明,本節中的指令碼會建立普通使用者帳戶,這些帳戶對應於之前建立的管理群組所定義的每個角色。但是,如果要使用的實際帳戶此時已經存在,或您已經定義並且可以建立這些帳戶,則應忽略此步驟並使用這些帳戶。

建立測試 CA 管理使用者帳戶

  1. 使用具有足夠權限的帳戶登入網域成員電腦,以在使用者容器中建立使用者和群組物件。

  2. 為透過執行下列指令碼來管理 CA 的個體建立測試網域使用者帳戶:

    Cscript //job:CertDomainTestAccts C:\MSSScripts\ca_setup.wsf

    指令碼會在所有帳戶上設定隨機密碼 (並不是保留空白密碼)。請根據指令碼輸出記下這些密碼,或將自動指派的密碼重設為自己選取的密碼。

    注意:使用這些在系統管理員之間共用密碼的普通帳戶,將導致稽核無法進行。除了測試環境以外,您應該始終使用能追蹤到唯一個體的帳戶。

指令碼會建立下表所述的網域帳戶。指令碼將在使用者容器中建立使用者,並且您應該將其移動到更適當的 OU 中。(相關的圖表會在後續章節中提供。)

表 7.8:帳戶名稱和用途

使用者帳戶

帳戶用途

EntPKIAdmin

公開金鑰服務設定容器的系統管理員

EntPKIPub

有權將 CRL 和 CA 憑証發佈到企業設定容器

CAAdmin

具有對 CA 的完整管理功能,包括判定其他角色的成員資格

CertManager

管理憑證發行和撤銷

CAAuditor

管理 CA 稽核資料

CABackup

具有備份和還原 CA 金鑰和資料的權限


附註:測試帳戶說明了最複雜的管理角色設定 – 其中每個 CA 角色均對應至一個獨立的個體 (使用者帳戶)。但是,每一個角色擁有獨立帳戶通常沒有多大好處,除非您真的有獨立個體來執行這些角色。在多角色群組,甚至所有角色群組中,擁有單一使用者帳戶是可以接受的,只要這樣能更準確反映您的系統管理結構。請參閱後續的<為企業 CA 建立簡化管理模型>一節。

移入 CA 管理群組

您應以組織中適當管理人員的帳戶來移入 CA 管理群組。如需有關這些群組如何對應至憑證服務基礎結構的系統管理角色之完整說明,請參閱第 4 章<設計公開金鑰基礎結構>中的<管理角色>一節。如需有關 Windows Server 2003 憑證服務系統管理角色的詳細討論,請參閱線上說明中<以角色為基礎的管理>主題,或參閱本章結尾的參考資料。

附註:如果您已建立測試網域帳戶,則還必須手動將其新增為相應安全性群組的成員。為了安全考量,指令碼依預設不會執行此步驟。

本文件其餘部分中的設定程序要求您使用企業 PKI 系統管理員、企業 PKI 發行者和 CA 系統管理員成員的帳戶來執行某些設定動作。此方法可免除絕對要使用企業系統管理員或網域系統管理員權限之需要。

附註:在 Windows Server 2003 憑證服務 (僅限於企業版) 中,可以強制執行嚴格的角色分隔。這表示指派有多個角色的任何帳戶 (直接或透過群組成員資格)都將禁止指派 CA 上的所有系統管理角色。此選項在產品中依預設不會啟用,在本解決方案中也沒有啟用,因此您可以將同一使用者帳戶指派給多個系統管理角色,只要這樣做適合於您的組織。

為企業 CA 建立簡化管理模型

測試帳戶和系統管理群組說明了最複雜的管理角色設定 – 其中每個 CA 角色對應至一個獨立的個體 (使用者帳戶)。但在多角色群組,甚至所有角色群組中,擁有單一帳戶是合法的,只要這樣能更準確反映您的系統管理結構。

許多組織將僅使用以下三個角色:CA 系統管理員、稽核員和備份操作員。這些角色如下表所示 (使用先前建立之測試帳戶的子集進行說明)。

表 7.9:簡化管理模型群組指派

簡化管理角色使用者帳戶

使用者帳戶的群組成員資格

CAAdmin

企業 PKI 系統管理員

CA 系統管理員

憑證管理員

系統管理員 (CA 的本機系統管理員)

CAAuditor

CA 稽核員

系統管理員 (CA 的本機系統管理員)

CABackup

CA 備份操作員


透過此方案的使用,CAAdmin 帳戶能夠執行企業 CA 上的所有系統管理工作 (包括憑證核准和撤銷),並對 Active Directory 中所有企業 PKI 設定資訊擁有系統管理控制權 (所有這些權限稍後會在文件中設定)。

CA 的建議網域 OU 結構和憑證範本管理

許多群組和使用者帳戶與 PKI 的管理和運作有關。您應該將這些群組和使用者帳戶放入 OU 中,以便簡化管理。下表顯示了建議的 OU 結構,並說明了每個 OU 的用途 (縮排的項目是憑證服務 OU 的子 OU)。

您必須授予企業 PKI 系統管理員群組權限,在憑證服務 OU 和所有子項容器中建立和刪除群組和使用者。

表 7.10:OU 結構範例

OU

用途

憑證服務

父 OU。

\—憑證服務管理

包含管理 CA 和企業 PKI 設定的系統管理員群組。

\—憑證範本管理

包含管理個體憑證範本的群組。

\—憑證範本註冊

包含具有同名範本之註冊或自動註冊權限的群組。這些群組的控制權可以委派給適當的人員,以允許彈性註冊制度,不用涉及範本本身。

\—憑證服務測試使用者

包含暫時測試帳戶。


如需有關如何使用這些 OU 及其所含群組的詳細討論,請參閱第 11 章<管理公開金鑰基礎結構>中的相關章節。

建立憑證服務 OU 管理階層

  1. 使用具有可建立 OU 並在其中委派權限之權限的帳戶登入。(作為新 OU 的建立者,您將始終能夠授予自己委派那些 OU 的控制權限。)

  2. 在您網域的適當位置建立上表中所示的 OU 結構。(假設這是樹系根網域,但這並非必要。)

  3. 對「企業 PKI 系統管理員」群組授與權限,以在憑證服務 OU 和所有子項容器中建立和刪除群組。

    附註:此 OU 結構僅作範例之用。無須採用此結構。

Active Directory 公開金鑰服務安全性

本節說明將公開金鑰服務容器控制權委派給 PKI 管理安全性群組的方法。

授予公開金鑰服務容器權限

整個樹系的 PKI 設定資訊會儲存在 Active Directory 設定容器中。變更此容器及其所有子容器和物件的權限,依預設會限制於企業系統管理員安全性群組。

基於以下原因,您必須變更公開金鑰服務容器的安全性:

  • 允許企業 PKI 系統管理員安裝企業 CA 並設定憑證範本,而無需成為企業系統管理員安全性群組的成員。

  • 允許企業 PKI 發行者發佈憑證撤銷清單和 CA 憑證,而無需成為企業系統管理員的成員。

您需要請求 Active Directory 企業系統管理員群組的成員為您執行第一個程序,除非您就是此群組的成員。

注意:此程序將委派 Active Directory 中非常敏感的部分,它會影響整個樹系中的使用者和電腦。您應該謹慎授予對公開金鑰服務容器的控制權限。有權控制此容器的帳戶除擁有其他權限外,還可以新增和移除信任根 CA 及企業 CA,並可為樹系中的任何使用者建立有效認證。

授予企業 PKI 系統管理員權限

  1. 以「企業系統管理員」安全性群組成員登入。

  2. 在 [Active Directory 站台及服務 Microsoft Management Console (MMC)] 嵌入式管理單元中,顯示 [服務] 節點 (自 [檢視] 功能表)。瀏覽至 [公開金鑰服務] 子容器,開啟其屬性。

  3. 在 [安全性] 索引標籤上,新增 [企業 PKI 系統管理員] 安全性群組,並授予此群組 [完全控制] 權限。

  4. 在 [進階] 檢視中,編輯此群組的權限,確保 [完全控制] 套用到 [這個物件及所有的子物件]。

  5. 選取 [服務] 容器並開啟其屬性。

  6. 在 [安全性] 索引標籤上,新增 [企業 PKI 系統管理員] 安全性群組,並授予此群組 [完全控制] 權限。

  7. 在 [進階] 檢視中,編輯此群組的權限,確保 [完全控制] 套用到 [只有這個物件]。

授予企業 PKI 發行者權限

  1. 以「企業 PKI 系統管理員」(或企業系統管理員) 安全性群組的成員登入。

  2. 在 [Active Directory 站台及服務 MMC] 嵌入式管理單元中,顯示 [服務] 節點,並開啟 [公開金鑰服務\AIA] 容器的屬性。

  3. 在 [安全性] 索引標籤上,新增 [企業 PKI 發行者] 安全性群組,並授予此群組下列權限:

    • 讀取

    • 寫入

    • 建立所有子項物件

    • 刪除所有子項物件

  4. 在 [進階] 檢視中,編輯此群組的權限,確保權限套用到 [這個物件及所有的子物件]。

  5. 對下列容器重複步驟 2 至 4:

    • 公開金鑰服務\CDP

    • 公開金鑰服務\憑證授權單位

      附註:在上述程序中授予企業 PKI 系統管理員權限後,此群組的成員就可以授予企業 PKI 發行者權限。

授予憑證發行者群組權限

憑證發行者安全性群組包含網域中所有企業 CA 的電腦帳戶。此群組用來將權限套用到使用者和電腦物件,以及前面程序中提到的 CDP 容器中的物件。安裝 CA 後,其電腦帳戶需要新增到此群組中。依預設,僅網域系統管理員、企業系統管理員或內建網域系統管理員群組具有修改憑證發行者成員資格的權限。若要允許企業 PKI 系統管理員成員安裝企業 CA,您必須變更此安全性群組的權限。

授予憑證發行者修改成員資格的權限

  1. 以「網域系統管理員」成員登入 (安裝發行 CA 的網域)。

  2. 開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元。

  3. 從 MMC 的 [檢視] 功能表中,確定已啟用 [進階功能]。

  4. 尋找 [憑證發行者] 群組 (依預設在 [使用者] 容器中),並檢視群組的屬性。

  5. 自 [安全性] 索引標籤,新增 [企業 PKI 系統管理員] 群組,並按一下 [進階] 按鈕。

  6. 從清單中選取 [企業 PKI 系統管理員] 群組,按一下 [編輯] 按鈕。

  7. 選取 [屬性] 索引標籤,確定在 [套用在:] 方塊中已選取 [只有這個物件]。

  8. 向下捲動並在 [允許] 欄位中按一下 [寫入成員] 方塊。

  9. 在每一個方塊上按一下 [確定] 以儲存變更並關閉所有對話方塊。

  10. 在安裝憑證服務元件之前,需要重新啟動發行 CA 伺服器。重新啟動電腦允許伺服器在其存取權杖中挑選新的群組成員資格。

授予企業 PKI 系統管理員還原權限

要安裝企業 CA,您需要在安裝 CA 的網域中具有「還原檔案和目錄」的權限。憑證服務安裝程序需要此使用者權限來將憑證範本安裝到網域中。更特別地是,需要此權限來允許合併範本和其他目錄物件的安全性說明,因此要授予網域 PKI 物件正確的權限。依預設,內建網域群組系統管理員、伺服器操作員和備份操作員具有此權限。

由於您將使用企業 PKI 系統管理員群組來執行 CA 安裝,因此必須授予此群組「還原檔案和目錄」的使用者權限。

授予企業 PKI 系統管理員還原權限:

  1. 以「網域系統管理員」成員登入 (安裝發行 CA 的網域)。

  2. 開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元。

  3. 選取 [網域控制站 OU],並開啟該 OU 的屬性。

  4. 在 [群組原則] 索引標籤上選取 [預設網域控制站原則 GPO],並按一下 [編輯]。

  5. 瀏覽至 [電腦設定\Windows 設定\安全性設定\本機原則\使用者權限指派],並連按兩下 [還原檔案和目錄] 項目。

  6. 新增群組 [企業 PKI 系統管理員] 至顯示的清單。

  7. 關閉對話方塊和編輯 MMC 的 GPO。

    重要:如果具有在網域控制站上設定 「還原檔案和目錄」使用者權限的任何其他 GPO,則您必須以最高優先順序在 GPO 上執行上面的程序,而不是以「預設網域控制站原則」執行。使用者權限的設定值不累加,只有設定了此權限且最近套用的 GPO (即擁有最高優先順序的 GPO) 才有效。

驗證

您可以使用 Active Directory 使用者及電腦 MMC 並瀏覽至該使用者和群組,來驗證群組、使用者和 OU 的建立。使用者應該是適當群組 (使用測試使用者或真實的 PKI 管理使用者帳戶) 的成員。

透過執行下列步驟,您可以驗證公開金鑰服務容器權限的正確應用。您將需要在執行此程序之系統上安裝 Windows Server 2003 支援工具的副本。此程序不必在 CA 上執行。

附註:在下列程序中,您可以在 Windows 檔案總管中使用 Runas 或 [執行身分] 快顯功能表選項,以在所需的使用者內容中執行 ADSIEdit MMC,而無需使用不同使用者帳戶登入。

驗證公開金鑰服務權限

  1. 以企業 PKI 系統管理員成員登入網域成員伺服器 (如,發行 CA 伺服器)。

  2. 執行 mmc.exe 並載入「ADSI 編輯」嵌入式管理單元。

  3. 在 [ADSI 編輯] 資料夾上按一下滑鼠右鍵,選取 [連線至],然後自 [選取已知的命名內容] 下拉清單中,選取 [設定]。

  4. 瀏覽至 [公開金鑰服務] 容器,然後在此容器上按一下滑鼠右鍵。然後依次選取 [新增] 與 [物件]。

  5. 從清單中選取 [容器],並為其命名 (如 Test)。

    應該在 [公開金鑰服務] 容器中順利建立容器物件。

  6. 刪除剛才建立的容器物件。

  7. 您應該無法在設定容器的任何位置 (服務容器及其子容器除外) 建立容器物件。

  8. 以「企業 PKI 發行者」成員登入。

  9. 載入 ADSIEdit 並連線至 [設定] 命名內容 (NC)。

  10. 嘗試在公開金鑰服務容器中建立容器物件。您的嘗試應該會失敗。

  11. 在每一個 AIA、CDP 和憑證授權單位子容器中建立測試物件 (容器物件)。

  12. 驗證測試物件已成功建立後,將其移除。

    注意:請務必只刪除您建立的測試物件。特別是企業PKI 系統管理員成員,此時擁有足以刪除整個公開金鑰服務容器的權限。

    附註:如果選擇不安裝 Windows Server 2003 支援工具,ADSIEdit 將不可使用。您可以使用內建 dsadd.exe 和 dsrm.exe 公用程式,透過命令列執行這些驗證步驟。但是,使用這些公用程式時,您應該非常小心以確保使用正確的語法和目錄物件路徑。在生產 Active Directory 樹系中使用這些命令之前,請在測試系統上仔細測試命令。


為憑證服務保護 Windows Server 2003

本節說明在安裝憑證服務之前,如何將安全性原則和其他安全性措施套用至 Windows Server。您還應閱讀第 4 章<設計公開金鑰基礎結構>中的<實體安全性>一節。

在根 CA 伺服器上實作安全性

下列章節說明本機群組和使用者帳戶的設定,以及將安全性原則套用至 CA 伺服器。

在根 CA 上建立本機使用者帳戶和安全性群組

由於根 CA 不是網域的一部分,因此系統管理角色和功能需要使用本機使用者帳戶和安全性群組進行定義。

在根 CA 伺服器上建立本機使用者帳戶和群組

  1. 在根 CA 上,執行下列指令碼以建立本機 CA 管理群組:


    Cscript //job:CertLocalGroups C:\MSSScripts\ca_setup.wsf


    指令碼會建立在下列表格中說明的本機群組。


    表 7.11:群組名稱和用途

    群組名稱

    用途

    CA 系統管理員

    具有對 CA 的完整管理功能,包括判定其他角色的成員資格。

    憑證管理員

    管理憑證發行和撤銷。

    CA 稽核員

    管理 CA 稽核資料。

    CA 備份操作員

    具有備份和還原 CA 金鑰和資料的權限。


  2. 為 CA 管理者建立本機使用者帳戶。為了測試和說明,對應於先前群組定義的每一個角色的普通本機帳戶會由下列指令碼建立。但是,如果此時您可以建立實際帳戶,則應略過此步驟。直接建立那些帳戶。

    Cscript //job:CertLocalTestAccts C:\MSSScripts\ca_setup.wsf

    指令碼會使用 CAPICOM 在所有帳戶上產生虛擬隨機密碼 (並不是保留空白密碼)。請根據指令碼輸出記下這些密碼,或將密碼重設為自己選取的密碼。

    附註:使用在系統管理員之間共用密碼的普通帳戶,將使稽核記錄毫無意義。在高安全性生產環境中,您應始終使用能追蹤到唯一個體的帳戶。

    指令碼會建立在下表所列的本機帳戶。

    表 7.12:帳戶名稱和用途

    帳戶名稱

    用途

    CAAdmin

    具有對 CA 的完整管理功能,包括判定其他角色的成員資格。

    CertManager

    管理憑證發行和撤銷。

    CAAuditor

    管理 CA 稽核資料。

    CABackup

    具有備份和還原 CA 金鑰和資料的權限。


    附註:測試帳戶說明了最複雜的管理角色設定;其中每個 CA 角色均對應至一個獨立的個體 (使用者帳戶)。但是,每一個角色擁有獨立帳戶幾乎沒有多大好處,除非您實際上有獨立的個體來執行這些角色。在多角色群組,甚至所有角色群組中,擁有單一帳戶是可以接受的,只要這樣能更準確反映您的系統管理結構。

  3. 依需要將這些使用者帳戶新增到管理安全性群組。對於測試帳戶,請使用下表;或根據您組織定義的 IT 角色和安全性原則來使用自己的帳戶。

    表 7.13:帳戶名稱和群組成員資格

    帳戶名稱

    群組成員資格

    CAAdmin

    CA 系統管理員

    CertManager

    憑證管理員

    CAAuditor

    –CA 稽核員

    –系統管理員

    CABackup

    CA 備份操作員


    附註:您也可以將 CA 系統管理員群組的成員,指定為本機系統管理員群組的成員。有一些工作需要本機系統管理權限,您可能要將這些工作與 CA 系統管理員角色相結合。

為根 CA 建立簡化管理模型

大部份組織不需要與前面程序中所示同樣複雜的管理結構。部分組織可能不需要任何角色分隔;許多組織會使用以下三個角色:CA 系統管理員、稽核員和備份操作員。這些角色如下表所示 (使用先前建立之測試帳戶的子集)。

表 7.14:簡化管理模型群組指派

簡化管理角色

群組成員資格

CAAdmin

CA 系統管理員

憑證管理員

系統管理員

CA 稽核員

CA 稽核員

系統管理員

CABackup

CA 備份操作員

驗證群組和帳戶

透過檢視「電腦管理」 MMC 的「使用者和群組」節點,來驗證群組、使用者和群組成員資格的建立。

在根 CA 伺服器上套用系統安全性設定

您可以使用《Windows Server 2003 安全性指南》定義的企業用戶端憑證服務角色來保護 CA 伺服器 (請參閱本章結尾<其他資訊>一節中的參考資料)。

根 CA 不是網域成員,因而無法使用網域群組原則,所以必須手動套用安全性範本和程序。請從《Windows Server 2003 安全性指南》中取得下列安全性範本,並將其複製到根 CA 伺服器上的 [C:\MSSScripts] 資料夾:

  • Enterprise Client–Domain.inf

  • Enterprise Client–Member Server Baseline.inf

  • Enterprise Client–Certificate Services.inf

請自訂安全性範本並根據下列程序將其套用至伺服器。

自訂安全性範本

  1. 以本機系統管理員成員登入,並將 Enterprise Client – Certificate Services.inf 載入安全性範本 MMC。

  2. 在 [本機原則\安全性選項] 中,變更下列與您組織的安全性標準一致的項目:

    • 帳戶:重新命名系統管理員帳戶:NewAdminName

    • 帳戶:重新命名來賓帳戶:NewGuestName

    • 互動式登入:給嘗試登入使用者的訊息本文:LegalNoticeText

    • 互動式登入:給嘗試登入使用者的訊息標題:LegalNoticeTitle

      附註:您應基於您組織的現行原則來確定這些項目的值。儘管建議您設定這些值,你也可以不如此設定。

  3. 在 [本機原則\使用者權限指派] 中,新增本機群組 [CA 稽核員] 到 [管理稽核和安全性記錄] 使用者權限。

  4. 在 [本機原則\使用者權限指派] 中,新增本機群組 [CA 備份操作員] 到下列使用者權限:

    • 備份檔案及目錄

    • 還原檔案和目錄

  5. 在 [本機原則\使用者權限指派] 中,新增下列本機群組到 [允許本機登入] 權限:

    • 系統管理員

    • 備份操作員

    • CA 系統管理員

    • 憑證管理員

    • CA 稽核員

    • CA 備份操作員

  6. [系統服務] 資料夾中,開啟下列服務屬性,並按一下 [定義範本內的這個原則設定]。按一下 [確定],以接受預設權限。將 [設定服務啟動模式] 的值設定為 [自動]。

    • Removable Storage

    • Volume Shadow Copy

    • MS Software Shadow Copy Provider

      附註:在成員伺服器基線安全範本中,這些服務是停用的,但 NTBackup.exe 必須使用這些服務。

  7. 選取範本,儲存範本變更 (按一下 [檔案] 功能表上的 [儲存]),然後關閉 MMC。

  8. 以指定順序執行下列命令,以套用所需的安全性範本。Secedit 工具可能會指出產生了某些警告,請放心地忽略這些訊息 (但是,如果是錯誤則應該調查):

    secedit /configure /db %temp%\casec.db /cfg "C:\MSSScripts\Enterprise Client - Domain.inf" /overwrite /log "%temp%\Enterprise Client - Domain.log"

    secedit /configure /db %temp%\casec.db /cfg "C:\MSSScripts\Enterprise Client–Member Server Baseline.inf" /log "%temp%\Enterprise Client–Member Server Baseline.log"

    secedit /configure /db %temp%\casec.db /cfg "C:\MSSScripts\Enterprise Client - Certificate Services.inf" /log "%temp%\Enterprise Client - Certificate Services.log"

    (這些命令可能會顯示為多行;實際輸入時請勿分行。)

    附註:《Windows Server 2003 安全性指南》會詳細討論這些安全性設定。

驗證安全性設定

若要驗證是否正確套用安全性設定,請執行下列程序。

驗證根 CA 安全性設定

  1. 檢視前一節中產生的 secedit 記錄,並驗證沒有記載重大錯誤。(看到一些警告和小錯誤是很正常的,它們不會導致安全性範本套用失敗。)

  2. 重新啟動伺服器,驗證所有預期服務是否啟動,並且沒有錯誤記錄到系統事件日誌中。

  3. 嘗試使用已建立的測試帳戶 (或實際帳戶) 登入。您應該看到法律注意事項文字,且能夠登入。

在發行 CA 伺服器上實作安全性

下列章節說明如何將安全性原則套用到 CA 伺服器。

在發行 CA 伺服器上套用系統安全性設定

您可以使用《Windows Server 2003 安全性指南》中定義的憑證服務角色來保護 CA 伺服器。既然發行 CA 是網域的成員,可使用基於網域的「群組原則」來套用安全性原則設定。

您需要建立適當的 OU 結構,保留 CA 伺服器電腦物件和 GPO 結構,以套用安全性設定。必須建立三個 GPO:

  • 企業用戶端–成員伺服器基線

  • 企業用戶端–憑證服務

  • 企業用戶端–憑證服務 IIS ( IIS 安裝在 CA 上時才需要)

    附註:《Windows Server 2003 安全性指南》還包括網域原則 (密碼和帳戶鎖定原則) 的建議設定。這些設定由網域中的所有電腦繼承。如果您不想修改網域層級的原則,但想使用發行 CA 的建議設定,您還應該建立連結到 CA OU 的第四個 GPO:
    企業用戶端–憑證服務帳戶原則
    您應該遵循下列程序,將網域原則範本匯入此 GPO。這些設定只會對 CA 上的本機帳戶產生影響。

以下程序概述如何為組織建立 OU 和 GPO。其中的 GPO 和 OU 名稱僅為範例,您應該使此程序適合自己網域的 OU 和 GPO 標準。

建立 CA 伺服器 OU 和 GPO

  1. 請從《Windows Server 2003 安全性指南》中取得以下的安全性範本:

    • 企業用戶端–網域

    • 企業用戶端–成員伺服器基線

    • 企業用戶端–憑證服務

    • 企業用戶端–IIS 伺服器 (IIS 安裝在 CA 上時才需要)

  2. 以「網域系統管理員」成員的身份登入,或以具有建立 OU 權限的使用者身份登入 (如步驟 4 中所述)。您也必須同時是「群組原則建立者擁有者」的成員。

  3. 開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元。

  4. 建立以下 OU 結構:

    woodgrovebank.com (網域)

    成員伺服器

         CA

  5. 開啟網域容器的屬性,並在 [群組原則] 索引標籤上按一下 [新增] 以建立新的 GPO, 然後將其命名為 [網域原則]。

  6. 編輯 GPO,並瀏覽至 [電腦設定\Windows 設定\安全性設定]。在 [安全性設定] 資料夾上按一下滑鼠右鍵,然後選取 [匯入]。瀏覽至 Enterprise Client - Domain.inf 檔案,並將其選取為要匯入的範本。

  7. 關閉 GPO。

  8. 針對以下表格中的 OU、GPO,和安全性範本的組合,重複上述的三個步驟。

    表 7.15:GPO 與安全性範本和 OU 的對應

    OU

    GPO

    安全性範本

    成員伺服器

    企業用戶端 — 成員伺服器基線

    Enterprise Client — Member Server Baseline.inf

    CA

    企業用戶端 — 憑證服務

    Enterprise Client — Certificate Services.inf

    CA

    (選用 — 請參閱上面的附註)

    企業用戶端 — 憑證服務帳戶原則

    Enterprise Client — Domain.inf

    CA

    (選用 — 如果 IIS 在 CA 上)

    企業用戶端 — 憑證服務 IIS

    Enterprise Client — IIS Server.inf


    附註:如果已選擇將 IIS 安裝到發行 CA 上 (如本章所述),您僅需要為 CA 建立獨立的 IIS GPO。您可能還有 IIS GPO 用於內部網路 IIS 伺服器,強烈建議您建立獨立的 GPO 以由 CA 專用。此方法可確保 IIS GPO 的任何變更都不會影響 CA 的安全性,且 CA 的安全性設定仍完全由 CA GPO 系統管理員控制。

建立 GPO 並匯入範本後,您必須在 GPO 中自訂設定,並遵循以下程序將其套用至憑證服務電腦。

自訂並套用憑證服務 GPO

  1. 在 [Active Directory 使用者及電腦] 中,編輯 [企業用戶端–憑證服務 GPO]。在 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項] 中,根據您組織的安全性標準變更以下項目:

    • 帳戶:重新命名系統管理員帳戶:NewAdminName

    • 帳戶:重新命名來賓帳戶:NewGuestName

    • 互動式登入:給嘗試登入使用者的訊息本文:LegalNoticeText

    • 互動式登入:給嘗試登入使用者的訊息標題:LegalNoticeTitle

  2. 在 [本機原則\使用者權限指派] 中,新增 [CA 稽核員] 網域群組到 [管理稽核和安全性記錄] 使用者權限。

  3. 在 [本機原則\使用者權限指派] 中,新增 [CA 備份操作員] 到下列使用者權限:

    • 備份檔案及目錄

    • 還原檔案和目錄

  4. 在 [本機原則\使用者權限指派] 中,將以下的本機和網域群組新增至 [允許本機登入] 權限:

    • (本機) 系統管理員

    • (本機) 備份操作員

    • (網域) 企業 PKI 系統管理員

    • (網域) 企業 PKI 發行者

    • (網域) CA 系統管理員  

    • (網域) 憑證管理員

    • (網域) CA 稽核員

    • (網域) CA 備份操作員

  5. [檔案系統] 中,新增資料夾 D:\CertLog。確定權限會在下表中顯示。

    表 7.16:CA 資料庫資料夾權限

    使用者/群組

    權限

    允許/拒絕

    系統管理員

    完全控制

    允許

    系統

    完全控制

    允許

    備份操作員

    完全控制

    允許

    建立者擁有者

    完全控制

    允許


  6. 對於同一個資料夾,新增下表所示 Everyone 群組的稽核項目 (按一下 [安全性] 對話方塊中的 [進階] 按鈕,然後按一下 [稽核] 索引標籤)。出現使用者或群組名稱提示時,請鍵入 "Everyone"。新增 Everyone 群組時會顯示標題為 [D:\CertLog 的稽核項目] 的對話方塊,您可以在其中輸入詳細的稽核設定。請確定在 [套用在] 欄位中已選取 [這個資料夾、子資料夾及檔案]。選取表格中所有顯示 [是] 的項目。

    表 7.17:CA 資料庫資料夾稽核

    權限

    成功

    已失敗

    完全控制

     

    周遊資料夾/執行檔案

     

    列出資料夾/讀取資料

     

    讀取屬性

     

    讀取延伸屬性

     

    建立檔案/寫入資料

    建立資料夾/附加資料

    寫入屬性

    寫入延伸屬性

    刪除子資料夾和檔案

    刪除

    讀取權限

     

    變更權限

    取得所有權


  7. 在 [系統服務] 資料夾中,開啟下列服務屬性,並按一下 [定義範本內的這個原則設定]。按一下 [確定],以接受預設權限。將 [設定服務啟動模式] 的值設定為 [自動]。

    • Removable Storage

    • Volume Shadow Copy

    • MS Software Shadow Copy Provider

    • 工作排程器

      附註:在成員伺服器基線安全性範本中,這些服務是停用的。但 NTBackup.exe 需要使用前三個服務。有些操作指令碼需要「工作排程器」服務。

  8. 將發行 CA 電腦帳戶移動到憑證服務 OU。

  9. 在發行 CA (將要安裝 CA 的伺服器) 上,執行下列命令以將 GPO 設定套用到電腦:

    gpupdate

    附註:《Windows Server 2003 安全性指南》中包含這些安全性設定的詳細討論。

驗證安全性設定

若要驗證是否正確套用安全性設定,請執行下列步驟。

驗證根 CA 安全性設定

  1. 檢查來自 SceCli 原始檔之事件的應用程式事件記錄。執行 gpupdate 命令後,應該會產生一個事件 ID 1704。該事件的文字應該如下所示:

    已成功套用群組原則物件中的安全性原則。

  2. 重新啟動伺服器,驗證所有預期服務是否啟動,並且沒有錯誤記錄列入系統事件日誌中。

  3. 嘗試使用已建立的測試帳戶 (或實際帳戶) 登入。您應該看到法律注意事項文字,且能夠登入。

在發行 CA 上設定終端機服務安全性

應該在發行 CA 上停用終端機服務,因為其為入侵者攻擊 CA 提供了其他方法,並嚴重影響保護伺服器的任意實體安全性方法。如果必須啟用它 (作為遠端管理之用),則您應該設定下表所述的設定。

附註:因為根 CA 上的終端機服務未連線至網路,所以其狀態無關緊要。

這些設定值應在憑證服務安全性 GPO 或其他套用到線上 CA 的 GPO 上進行設定。

表 7.18:在 [電腦設定\系統管理範本\Windows 元件\終端機服務] 中設定的設定值

設定路徑

原則

設定

 

拒絕登出的系統管理員登入主控台工作階段

啟用

 

不允許本端系統管理員自訂權限

啟用

 

為終端機服務使用者工作階段的遠端控制設定規則

不允許遠端控制

用戶端\伺服器資料重新導向

允許時區重新導向

停用

 

不允許剪貼簿重新導向

啟用

 

允許音訊重新導向

停用

 

不允許 COM 連接埠重新導向

啟用

 

不允許用戶端印表機重新導向

啟用

 

不允許 LPT 連接埠重新導向

啟用

 

不允許磁碟重新導向

啟用

 

不要將預設的用戶端印表機設定成工作階段的預設印表機

啟用

加密和安全性

連線時自動提示用戶端輸入密碼

啟用

 

設定用戶端連線加密等級

加密和安全性\RPC 安全性

安全伺服器 (要求安全性)

啟用

工作階段

為中斷連線的工作階段設定時間

10 分鐘

 

只允許從原始用戶端重新連線

啟用


任何要求對 CA 進行「終端機服務」存取的網域帳戶或安全性群組,都必須新增到本機「遠端桌面使用者」群組 (除非已經是本機「系統管理員」群組成員)。

其他 Windows 設定工作

根據您組織的基礎結構和標準,需要在發行和根 CA 上執行其他設定工作。這些工作可能包括:

  • 啟用備份 (如第 11 章所述) 或安裝備份代理程式。

  • 設定 [簡單網路管理協定 (SNMP)] 或 [Windows Management Instrumentation (WMI)] 選項。

  • 安裝管理代理程式,例如 Microsoft Operations Manager (MOM) 或 Microsoft Systems Management Server (SMS) 用戶端元件。

  • 安裝防毒軟體。

  • 安裝入侵檢測代理程式。

當您根據隨產品提供的指示安裝這些項目時,應該對其進行驗證。

安裝和設定根 CA

本節說明如何在根 CA 上安裝和設定憑證服務。

為根 CA 準備 Capolicy.inf 檔案

Capolicy.inf 檔案必須在您設定 Windows 2003 根憑證授權單位之前建立。此檔案會指定自我簽章根 CA 憑證的特性,如金鑰長度、憑證有效期、CRL 和 AIA 發佈位置、憑證原則以及憑證實施準則 (certificate practices statement(CPS),如果已建立的話)。

附註:請參閱第 4 章<設計公開金鑰基礎結構>中的<建立憑證實施準則>一節,以取得有關 CPS 以及是否應考慮建立 CPS 的進一步討論。CPS 是法律文件,不是技術文件,所以您應確定在 CA 中設定前需要一個。

根 CA 憑證本身不需要 CRL 和 AIA 資訊,所以在 Capolicy.inf 檔案中,CRLDistributionPoint 和 AuthorityInformationAccess 參數被設定為 [空]。

建立 CAPolicy.inf 檔案

  1. 在文字編輯器如記事本中,輸入下列文字:

    [Version]
    Signature= "$Windows NT$"
    
    [Certsrv_Server]
    RenewalKeyLength=4096 
    RenewalValidityPeriod=Years 
    RenewalValidityPeriodUnits=16
    
    [CRLDistributionPoint]
    Empty=true
    
    [AuthorityInformationAccess]
    Empty=true
    

    注意:設定長度為 4096 位元的金鑰可能導致相容性問題。某些裝置 (如某些路由器) 及其他廠商的某些舊軟體無法處理超過一定大小的金鑰。

  2. 如果已為此 CA 定義 CPS,則請在 Capolicy.inf 檔案中包含下列內容 (您必須用自己的值來取代所有斜體項目):

    [CAPolicy]
    Policies=WoodGrove Bank Root CA CPS
    
    [WoodGrove Bank Root CA CPS]
    OID=your.Orgs.OID
    URL = "http://www.woodgrovebank.com/YourCPSPage.htm" 
    

  3. 將檔案儲存為 %windir%\Capolicy.inf (請用安裝 Windows 之資料夾的絕對路徑來取代 %windir% ,如 C:\Windows)。您必須是本機系統管理員或具有寫入 Windows 資料夾的權限,才能完成此步驟。

安裝憑證服務軟體元件

使用 Windows 元件精靈可安裝 CA 軟體元件。請注意完成安裝將需要 Windows Server 2003 安裝 CD 或網路路徑。

安裝憑證服務

  1. 以本機系統管理員群組成員登入,執行「選用元件管理員」(或透過 [控制台],按一下 [新增/移除程式/Windows 元件]):

    sysocmgr /i:sysoc.inf。

  2. 選取 [憑證服務] 元件 (按一下 [是] 以去除重新命名警告訊息方塊)。

  3. 選取 [獨立根 CA] 作為 CA 類型,確定您已選取 [使用自訂設定] 核取方塊。

  4. 在 [公開和私密金鑰組] 對話方塊中,保留預設值,但金鑰長度除外,應將其設定為 4096。[CSP 類型] 應為 [Microsoft 強密碼編譯提供者]。

  5. 輸入「憑證授權單位」識別資訊,如下所示:

    • CA 一般名稱:WoodGrove Bank Root CA 

    • 識別名稱尾碼:DC=woodgrovebank,DC=com
      (組織的 Active Directory 樹系根名稱)

    • 有效期:8

      附註:如果 CA 之前已安裝在此電腦上,則會有警告對話方塊提示您是否覆寫先前安裝的私密金鑰。繼續前,您應該確定金鑰不再需要。如有疑問,請取消安裝程序並備份現有的金鑰資訊。(使用系統備份或現有 CA 憑證和私密金鑰的備份 – 請參閱第 11 章<管理公開金鑰基礎結構>中所述的相關程序。)

    CSP 會產生金鑰對,寫入至本機電腦金鑰存放區。

  6. 保留憑證資料庫、資料庫記錄檔和設定資料夾的位置作為預設值。

    附註:
    由於之前已停用所有網路介面,因此安裝程式可能會顯示有關無法建立共用資料夾的警告。您可以放心地忽略此警告並繼續。
    您必須將憑證資料庫和憑證資料庫記錄放置在本機 NTFS 磁碟機上。

    Optional Component Manager 接著會安裝「憑證服務」元件。本部分的程序需要 Windows Server 2003 安裝媒體 (CD)。

  7. 按一下 [確定] 以去除 IIS 警告,並繼續完成安裝。

驗證根 CA 安裝

您可以驗證「憑證服務」安裝是否成功完成,如下所示:

驗證根 CA 的正確安裝

  1. 開啟憑證授權單位管理主控台 (透過 [所有程式]、[系統管理工具])。驗證 [憑證服務] 已啟動,您可以檢視 CA 屬性。

  2. 在 [一般] 索引標籤上,選取 CA 憑證 (如果有多個憑證,請從清單中選取 [憑證 #0]),然後按一下 [檢視憑證]。

  3. 查看 [CA 憑證] 的 [詳細資料] 索引標籤,驗證顯示值是否符合下表內容。

    表 7.19:根 CA 憑證屬性和副檔名

    憑證屬性

    所需設定

    發行者和主體欄位

    這兩個欄位應該相同,並且應顯示安裝時您提供的完整 CA 一般名稱和 DN 尾碼。

    不早於—不遲於

    16 年。

    公開金鑰長度

    RSA (4096 位元)。

    金鑰用法

    數位簽章、憑證簽章、離線 CRL 簽章、CRL 簽章 (86)。

    基本限制 (重要)

    主體類型=CA

    路徑長度限制=無


    [基本限制] 主體類型的存在是非常重要的,因為此值會區分終端實體憑證和 CA 憑證。此外,CDP 或 AIA 副檔名不應列出。

    如果有任何值不是您所預期的值,則應該重新開始安裝憑證服務。

    附註:如果重新執行憑證服務安裝,您將看到關於私密金鑰的警告已經存在。如果知道未用此金鑰發出任何憑證,則您可以放心地忽略此警告並產生新的金鑰。如果 CA 已經發出憑證 (測試憑證除外),則不應重新安裝憑證服務,直到您已安全備份先前的金鑰和憑證為止 (本程序將在第 11 章<管理公開金鑰基礎結構>中說明)。

  4. 您可以檢視憑證服務安裝記錄 (%systemroot%\certocm.log),以進一步驗證或協助疑難排解可能發生的任何錯誤。

設定根 CA 屬性

CA 設定程序會套用針對環境的一些特定參數。本章前面的<憑證服務規劃工作表>一節對這些參數值進行了說明。本程序會設定下表所列的 CA 屬性。

表 7.20:要設定的 CA 屬性

CA 屬性

設定說明

CRL 發佈點 URL

指定可以取得現行 CRL 的 HTTP、LDAP 及 FILE 位置。

FILE 位置是本機資料夾,僅由 CA 用來儲存發出的 CRL;在發出的憑證中只包含 LDAP 和 HTTP 位置。

HTTP URL 列在 LDAP 之前,因此使用根 CA 憑證的用戶端不靠 Active Directory 取得 CRL。

AIA URL

可以取得 CA 憑證的位置。

如同 CDP 一樣,檔案位置僅用於發佈 CA 憑證,且 HTTP URL 優先順序高於 LDAP URL。

有效期

發行憑證的最大有效期 (不同於 CA 憑證本身的有效期,其在 CAPolicy.inf 中設定或由父 CA 設定)。

CRL 期間

CRL 發佈頻率。

CRL 重疊時間

新 CRL 發出和舊 CRL 到期之間的重疊時間。

Delta–CRL 期間

Delta—CRL 發佈頻率 (在根 CA 上,delta-CRL 是停用的)。

CA 稽核

CA 稽核設定。依預設會啟用所有稽核。


附註:本表中所示的屬性將影響根 CA 發出的憑證,而不是根 CA 憑證本身。

設定根 CA 屬性

  1. 以本機系統管理員群組成員登入 CA 伺服器。

  2. 自訂下列指令碼 (C:\MSSScripts\pkiparams.vbs) 以包含 Active Directory 樹系根的正確 DN,以及指向 CDP 和 AIA 發佈網頁伺服器的 HTTP URL。變更 AD_ROOT_DN 設定的值,使之與 Active Directory 樹系根網域 DN 相符。變更 HTTP_PKI_VROOT 設定,使之與先前設定的 IIS 虛擬目錄 HTTP 路徑相符。

    附註:此處僅顯示 pkiparams.vbs 檔案的一部分。請勿編輯或移除檔案中的其他項目,除非您瞭解這樣做的影響。

    '**************************************************************************
    '    USER SETTABLE CONSTANTS        
    '
    ' These values MUST be set to reflect actual values used
    ' by the organization.
    '**************************************************************************
    
    ' This is the URL where CRL and CA certs are to be published.
    CONST CA_HTTP_PKI_VROOT        = " http://www.woodgrovebank.com/pki"
    
    ' This needs to be set only if non Active directory clients need to query
    ' the ldap URL for CRLs. Normally they are OK with HTTP. If you do set this 
    ' (to a specific DC FQDN) ALL clients will use this DC to query. Left blank
    ' AD clients use their default LDAP server (local DC) to query.
    CONST CA_LDAP_SERVER        = ""
    
    ' This needs to be set to the DN of the Active Directory Forest root domain
    ' This is used to set the Root CA CDP and AIA paths so that clients can 
    ' obtain CRL and CA Certificate information from the Active Directory 
    CONST AD_ROOT_DN            = "DC=woodgrovebank,DC=com"
    

  3. 然後執行下列指令碼:

    Cscript //job:RootCAConfig C:\MSSScripts\ca_setup.wsf

設定系統管理角色

為了使用 CA 上的系統管理角色 (如稽核員和憑證管理員),您需要將之前建立的安全性群組對應至這些角色。

附註:本解決方案使用先前建立的群組來定義多個獨立角色。此方法為您委派 CA 管理責任提供了最大彈性。但是,如果您不需要此層次的委派,則應考慮使用本章先前指定的簡化管理群組模型。簡化模型將允許您使用更少的帳戶來執行 CA 系統管理功能。

在根 CA 上設定系統管理角色

  1. 在憑證授權單位管理主控台中按一下 [屬性],以編輯 CA 的屬性。

  2. 按一下 [安全性] 索引標籤,並新增下表所列的本機安全性群組。為每一個群組,新增顯示的權限。

    表 7.21:要新增的 CA 權限項目

    群組名稱

    權限

    允許/拒絕

    CA 系統管理員

    管理 CA

    允許

    憑證管理員

    發行和管理憑證

    允許


    附註:如果要進行更仔細的角色分隔,還應從本機系統管理員群組中移除管理 CA 權限。(由於根 CA 安裝在 Windows Server 標準版上,因此您無法強制執行角色分隔 – 此選項僅適用於企業版。)

  3. 此 CA 的其他 CA 安全性角色已透過先前套用到伺服器的安全性原則進行定義:

    • CA 稽核員已授予「管理安全性和稽核記錄」使用者權限。

    • 備份操作員有備份和還原 CA 必要的權限。

將根 CA 憑證和 CRL 傳送到磁碟

您必須從 CA 中複製根 CA 憑證和 CRL,以便將其發佈到 Active Directory 和 IIS 憑證和 CRL 發佈伺服器。

將根 CA 憑證和 CRL 複製到磁碟

  1. 以本機 CA 系統管理員群組成員登入根 CA,然後將用於傳輸的磁碟放置到磁碟機中。

  2. 執行下列指令碼,將 CA 憑證複製到磁碟:

    Cscript //job:GetCACerts C:\MSSScripts\CA_Operations.wsf

  3. 執行下列指令碼,將 CA CRL 複製到磁碟:

    Cscript //job:GetCRLs C:\MSSScripts\CA_Operations.wsf

  4. 將此磁碟標記為 Transfer-[HQ-CA-01]、標明日期,並保留以備稍後在程序中使用。

    附註:此磁碟不含任何安全性機密資訊 (如 CA 私密金鑰資料),因此處理時無須任何特別的安全性預防措施。

發佈根 CA 資訊

在可以安裝發行 CA 之前,您必須將根 CA 的憑證發佈到 Active Directory 信任根存放區,並將根 CA 的 CRL 發佈到 Active Directory CDP 容器中。這將導致所有網域成員 (包括發行 CA) 匯入根 CA 的憑證至其自身的根存放區,並能夠驗證根 CA 發出之任何憑證的撤銷狀態。(在憑證服務啟動之前,發行 CA 必須能夠驗證自己憑證的撤銷狀態。)

附註:您可以自任何網域成員執行下列程序,雖然需要在該系統上安裝 Certutil.exe 及支援的 certadm.dll 和 certcli.dll 程式庫 — certutil.exe (及所需的 DLL) 已作為 Windows Server 2003 的一部分進行安裝。您可以使用未設定的發行 CA 伺服器來執行此程序。

將根 CA 憑證和 CRL 發佈到 Active Directory

  1. 以企業 PKI 系統管理員群組成員身分登入網域成員電腦,並插入之前用來儲存根 CA 憑證和 CRL 的磁碟 (標記為 Transfer-[HQ-CA-01])。

  2. 執行下列指令碼,將 CA 憑證發佈到 Active Directory:

    Cscript //job:PublishCertstoAD C:\MSSScripts\CA_Operations.wsf

  3. 執行下列指令碼,將 CA CRL 發佈到 Active Directory:

    Cscript //job:PublishCRLstoAD C:\MSSScripts\CA_Operations.wsf

將根 CA 憑證和 CRL 發佈到網頁伺服器

由於 CDP 和 AIA URL 的 HTTP 版本在 CA 發行的憑證副檔名中有指定,所以需要此步驟。如果這些副檔名存在,則必須遵照這些副檔名,將CRL 和憑證發佈到在憑證中設定的 URL。

附註:不管 CDP 和 AIA 發佈網頁伺服器在發行 CA 還是其他伺服器上,此程序皆相同。它會假設虛擬目錄與之前在設定 IIS 的程序中所設定的目錄相符 – C:\CAWWWPub。如果您選擇使用不同路徑,則需要更新檔案 C:\MSSScripts\PKIParams.vbs 中的值 WWW_LOCAL_PUB_PATH。

將根 CA 憑證和 CRL 發佈到 Web URL

  1. 以本機系統管理員或具有寫入 [C:\CAWWWPub] 資料夾權限的帳戶登入網頁伺服器。

  2. 確定包含 CA 憑證和 CRL 的磁碟 (標記為 Transfer-[HQ-CA-01]) 已插入磁碟機中。

  3. 執行下列指令碼,將 CA 憑證發佈到網頁伺服器資料夾:

    Cscript //job:PublishRootCertstoIIS

    C:\MSSScripts\CA_Operations.wsf

    (此命令會顯示為多行;實際輸入時請勿分行。)

  4. 執行下列指令碼,將 CA CRL 發佈到網頁伺服器資料夾:

    Cscript //job:PublishRootCRLstoIIS

    C:\MSSScripts\CA_Operations.wsf

    (此命令會顯示為多行;實際輸入時請勿分行。)

驗證根 CA 資訊的發佈

您應該驗證根 CA 資訊是否正確發佈。使用有效網域使用者帳戶登入連線至網路的網域成員電腦時,需要執行這些步驟。

附註:您可能需要等待 Active Directory 完成複寫。在驗證根 CA 資訊的發佈之前,請使用 certutil -pulse 命令強制執行根 CA 憑證下載。

驗證根 CA 資訊的發佈

  1. 若要驗證是否將 CA 憑證發佈至信任根存放區,請執行下列命令:

    certutil -viewstore -enterprise Root

  2. 您應該看到顯示的憑證。驗證 [發行者] 和 [主體] 值是否符合您設定的根 CA 名稱,並驗證 [有效期自] 的日期是否為今天。

  3. 若要驗證是否將根 CA CRL 發佈到目錄,請執行下列命令,並用您自己在安裝中使用的值來取代斜體項目 (CA 一般名稱、CA 簡短主機名稱及 Active Directory 樹系根的 DN):

    certutil -store -enterprise "ldap:///cn=WoodGrove Bank Root CA,cn=HQ-CA-01,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass=crlDistributionPoint"

    (此命令會顯示為多行;實際輸入時請勿分行。)

  4. 應該看到與下面類似的輸出。驗證 [發行者] 值是否符合您為根 CA 設定的名稱:

    ================ CRL 0 ================

    Issuer:    CN=WoodGrove Bank Root CA,DC=woodgrovebank,DC=com

    CA Version: V1.0

    CRL Number: CRL Number=1

    CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe

    CertUtil: -store command completed successfully.

  5. 若要驗證是否將 CA 憑證發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己環境中使用的值來取代斜體項目:

    http://www.woodgrovebank.com/pki/HQ-CA-01_WoodGrove Bank Root CA.crt

    附註:您可能需要在憑證檔案名稱中使用 CA 伺服器的完整 DNS 名稱 (即 HQ-CA-01.woodgrovebank.com_WoodGrove Bank Root CA.crt,而不是以上所示的名稱)。

  6. 應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示根 CA 憑證。

  7. 若要驗證是否將根 CA CRL 發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己環境中使用的值來取代斜體項目:

    http://www.woodgrovebank.com/pki/WoodGrove Bank Root CA.crl

  8. 應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示根 CA CRL。

    附註:如果您已經更新 CA 憑證或發出多個 CRL,則可以看到這些命令輸出中顯示的不同版本號碼。


安裝與設定發行 CA

本節說明如何在發行 CA 伺服器上安裝和設定憑證服務。安裝期間,在此 CA、根 CA、Active Directory 和網頁伺服器之間會進行複雜的互動。這些互動如下圖所示。在學習本節內容時參照此圖可能對您很有幫助。

圖 7.2:發行 CA 安裝期間,CA、Active Directory 和網頁伺服器之間的互動

圖 7.2:發行 CA 安裝期間,CA、Active Directory 和網頁伺服器之間的互動

發行 CA 安裝期間,不同系統間的主要互動會在圖表中顯示。這些互動是:

  1. 將根 CA 憑證和 CRL 發佈到 Active Directory。

  2. 將根 CA 憑證和 CRL 發佈到網頁伺服器。

  3. 安裝憑證服務軟體,產生您必須對磁碟上根 CA 執行的憑證要求。在根 CA 中為此要求發出憑證。

  4. 安裝發行 CA 憑證。

  5. 將發行 CA 憑證和 CRL 發佈到網頁伺服器。

    附註:步驟 1 和 2 已在前一節<發佈根 CA 資訊>中說明。圖中標記為 X 的步驟會在「設定發行 CA 屬性」工作期間,在發行 CA 上設定 CRL 和 AIA 值時自動執行。其他步驟將在本節中說明。

為發行 CA 準備 Capolicy.inf 檔案

CAPolicy.inf 並非發行 CA 所嚴格必需的。但是,如果您需要變更 CA 所使用的金鑰大小,則將需要一個。您應在設定發行 CA 之前建立 Capolicy.inf 檔案 (雖然您可以稍後新增一個並更新 CA 憑證)。此檔案會指定 CA 憑證的某些特性,如金鑰長度和 CPS (如果已建立一個)。

建立 CAPolicy.inf 檔案

  1. 在文字編輯器如記事本中,輸入下列文字。

    [Version]
    Signature= "$Windows NT$"
    
    [Certsrv_Server]
    RenewalKeyLength=2048 
    

  2. 如果已為此 CA 定義 CPS,則請在 Capolicy.inf 檔案中包含下列內容 (您必須用自己的值來取代所有斜體項目):

    [CAPolicy]
    Policies=WoodGrove Bank Issuing CA 1 CPS
    
    [WoodGrove Bank Issuing CA 1 CPS]
    OID=your.Orgs.OID
    URL = "http://www.woodgrovebank.com/YourCPSPage.htm" 
    

    附註:請參閱第 4 章<設計公開金鑰基礎結構>中的<建立憑證實施準則>一節,以取得有關 CPS 以及是否應考慮建立 CPS 的進一步討論。CPS 是法律文件,不是技術文件,所以您應確定在 CA 中設定前需要一個。

  3. 將檔案儲存為 %windir%\Capolicy.inf (或用安裝 Windows 之資料夾的絕對路徑來取代 %windir% ,如 C:\Windows)。您必須是本機系統管理員或具有寫入 Windows 資料夾的權限,才能完成此步驟。

安裝憑證服務軟體元件

使用 Windows 元件精靈可安裝 CA 軟體元件。請注意,必須要有 Windows Server 2003 安裝媒體 (CD) 才能完成安裝。

安裝憑證服務

  1. 以本機系統管理員群組成員登入伺服器,執行「選用元件管理員」(或在 [控制台] 中,按一下 [新增/移除程式/Windows 元件]):

    sysocmgr /i:sysoc.inf

    附註:您必須是本機系統管理員群組的成員,才能完成第一部分的安裝。在下列程序中,您還必須是企業 PKI 系統管理員 (或企業系統管理員) 群組成員才能安裝 CA 憑證。

  2. 選取 [憑證服務] 元件 (按一下 [確定] 去除重新命名警告訊息方塊)。

  3. 選取 [企業次級 CA] 作為 CA 類型,確定您已選取 [使用自訂設定] 核取方塊。

  4. 在 [公開和私密金鑰組] 對話方塊中,保留預設值,但金鑰長度除外,應將其設定為 2048 位元。[CSP 類型] 應為 [Microsoft 強密碼編譯提供者]。

  5. 輸入「憑證授權單位」識別資訊,如下所示:

    • CA 一般名稱:WoodGrove Bank Issuing CA 1 

    • 識別名稱尾碼:DC=woodgrovebank,DC=com
      (您組織的 Active Directory 樹系根名稱)

    • 有效期:由父 CA 判定

      附註:如果 CA 之前已安裝在此電腦上,則會有警告對話方塊提示您是否覆寫先前安裝的私密金鑰。繼續前,您應該確定金鑰不再需要。如有疑問,請取消安裝程序並備份現有的金鑰資訊。(使用系統備份或現有 CA 憑證和私密金鑰的備份 – 請參閱第 11 章<管理公開金鑰基礎結構>中所述的相關程序。)

  6. CSP 會產生金鑰組,並將其寫入本機電腦金鑰存放區。

  7. 輸入憑證資料庫,資料庫記錄檔和設定資料夾的位置,如下所示:

    • 憑證資料庫:D:\CertLog

    • 憑證資料庫記錄檔:%windir%\System32\CertLog

    • 共用資料夾:停用

    如果可能,由於效能和靈活性原因,您應將 CA 資料庫始終儲存並記載在實際分隔磁碟區中。(如果資料庫因任何原因而遭損毀,您可以使用最新備份和記錄檔將 CA 還原到失敗發生的位置。) 憑證資料庫和憑證資料庫記錄檔都必須在本機 NTFS 格式的磁碟機上。

  8. 將憑證要求檔案複製至磁碟。系統會產生憑證要求,並將其儲存到共用資料夾路徑中。將 HQ-CA-02.woodgrovebank.com_WoodGrove Bank Issuing CA 1.req 檔案複製到磁碟,並將磁碟標記為 Transfer-[HQ-CA-02]。

    「選用元件管理員」接著會安裝「憑證服務」元件。此安裝需要 Windows Server 2003 安裝媒體 (CD)。

  9. 按一下 [確定] 以去除 IIS 警告,並繼續完成安裝。設定精靈會顯示通知,提示您繼續前需要從父系 CA 中獲取憑證。

    附註:
    在安裝的下一個階段,您將看到無法將 CA 新增到「Windows 2000 前版相容性存取群組」的警告。如果您需要使用「憑證服務」的「憑證管理員限制」功能,才會相關。如果您確實需要使用此功能,則應要求網域系統管理員將 CA 電腦帳戶新增到此群組。
    憑證服務不會啟動,直到根 CA 處理完憑證要求,且憑證已返回並安裝在 CA 中。

將憑證要求提交至根 CA

下一步,必須將發行 CA 的憑證要求傳送到根 CA,讓該要求能得到簽章,憑證能發出至發行 CA。

將憑證要求提交至根 CA

  1. 以本機「憑證管理員」群組成員登入根 CA。

  2. 在憑證授權單位管理主控台的 CA [工作] 功能表中,選取 [提交新要求],然後提交自發行 CA 傳來的要求 (位於 Transfer-[HQ-CA-02] 磁碟上)。

    附註:如果前一個 CA 安裝失敗,重複安裝時,不要重複使用之前 CA 安裝的要求檔案;該檔案與前一個金鑰資料有關聯,而不是與目前正在安裝的 CA 有關聯。

  3. 根 CA 要求手動核准所有要求。在憑證授權單位 MMC 的 [擱置要求] 容器中找到要求,驗證 [一般名稱] 欄位是否具有發行 CA 的名稱,然後在要求上按一下滑鼠右鍵,再按 [發出] 來核准要求。

  4. 在 [已發行的憑證] 容器中找到最新發行的憑證,然後將其開啟。

  5. 驗證憑證的詳細資料是否正確,按一下 [複製至檔案] 將其匯出到檔案,並在標記為 Transfer-[HQ-CA-02] 的磁碟上 (用於送回至發行 CA) 將其儲存為 PKCS#7 檔案 (選取將所有可能的憑證併入鏈中之選項)。

安裝發行 CA 憑證

本節中的工作將確定先前發佈到 Active Directory 的根 CA 資訊可以下載至發行 CA。然後即可將發行 CA 憑證安裝在 CA 上。

重新整理發行 CA 上的憑證資訊

根 CA 憑證先前已發佈到 Active Directory 的信任根存放區。現在您應該確定發行 CA 已下載此資訊,並將憑證放置到自己的根存放區。

重新整理發行 CA 上的憑證信任資訊

  1. 以本機系統管理員登入發行 CA。

  2. 在命令提示字元中執行下列命令。

    certutil –pulse

此命令會強制 CA 從目錄中下載新的信任根資訊,並將根 CA 憑證放置到自己的本機信任根存放區。

附註:此程序並非必要,因為將憑證安裝到 CA 的最後一步中,會自動將根 CA 憑證放置到本機信任根存放區。但是,此步驟可讓您驗證先前發佈到 Active Directory 的步驟是否順利完成。正確完成此發佈程序非常重要,因為所有網域用戶端都會從 Active Directory 接收有關根 CA 和發行 CA 的信任資訊。

驗證是否自 Acve Directory 成功下載根 CA 信任

  1. 執行 mmc.exe,並新增 [憑證] 嵌入式管理單元。

  2. 選取 [電腦帳戶] 作為要管理的憑證存放區。

  3. 確定根 CA 憑證位於 [受信任的根憑證授權單位] 資料夾中 (憑證按照好記的 CA 主體名稱列出 – CN 元素)。

安裝憑證

來自根 CA 的簽章回應 (包含憑證的 PKCS#7 套件) 現在可以安裝至發行 CA。為了將 CA 憑證順利發佈到 Active Directory NTAuth 存放區 (將 CA 視為企業 CA),您必須使用 CA 上同時屬於企業 PKI 系統管理員和本機系統管理員成員的帳戶來安裝 CA 憑證。前一群組擁有將憑證發佈至目錄的權限,後者擁有將 CA 憑證安裝到 CA 伺服器上的權限。如果您使用先前建議的簡化管理模型,則 CAAdmin 角色是這兩個群組的成員。

安裝發行 CA 憑證

  1. 使用「企業 PKI 系統管理員」和本機「系統管理員」群組兩者的成員帳戶登入發行 CA。

  2. 插入儲存有根 CA 發出之憑證的磁碟 (Transfer-[HQ-CA-02])。

  3. 在憑證授權單位管理主控台的 CA [工作] 功能表中,選取 [安裝憑證],並從磁碟中安裝發行 CA 的憑證。

CA 現在應該啟動。

驗證發行 CA 安裝

您可以驗證「憑證服務」安裝是否成功完成,如下所示:

驗證發行 CA 安裝

  1. 開啟憑證授權單位管理主控台。驗證「憑證服務」已啟動,而且您可以檢視 CA 屬性。

  2. 在 [一般] 索引標籤上,選取 CA 憑證 (如果顯示多個憑證,請選取 [憑證 #0]),然後按一下 [檢視憑證]。

  3. 在 [CA 憑證] 的 [詳細資料] 索引標籤中,驗證顯示值是否符合下表內容。

    表 7.22:發行 CA 憑證屬性和副檔名

    憑證屬性

    所需設定

    發行者

    根 CA 一般名稱 (及 DN 尾碼)

    主體

    發行 CA 一般名稱 (及 DN 尾碼)

    不早於—不遲於

    8 年

    公開金鑰長度

    2048 位元

    金鑰用法

    數位簽章、憑證簽章、離線 CRL 簽章、CRL 簽章 (86)

    基本限制 (重要)

    主體類型=CA

    路徑長度限制=無

    CRL 發佈點

    2 個實體—HTTP 和 LDAP URL

    授權資訊存取

    2 個實體—HTTP 和 LDAP URL


    [基本限制] 主體類型的存在是非常重要的,因為此值會區分終端實體憑證和 CA 憑證。此外,還將列出另一個副檔名,即授權金鑰識別元,它不會出現在根 CA 憑證中。此值應該符合根 CA 憑證的主體金鑰識別元。

    如果任何先前的值不是您所預期的值,則應該重新開始安裝憑證服務。

    附註:如果重新執行憑證服務安裝,您將看到關於私密金鑰的警告已經存在。如果知道未用此金鑰發出任何憑證,則您可以放心地忽略此警告並產生新的金鑰。如果 CA 已經發出憑證 (測試憑證除外),則不應重新安裝憑證服務,直到安全備份先前的金鑰和憑證 (本程序將在第 11 章<管理公開金鑰基礎結構>中說明)。

  4. 查看 [憑證路徑] 索引標籤,然後驗證發行 CA 憑證是否正確繫結到根 CA。

  5. 您可以檢視憑證服務安裝記錄 (%systemroot%\certocm.log),以進一步驗證或協助排解可能發生的任何安裝錯誤。

設定發行 CA 屬性

CA 設定程序會套用您環境的一些特定參數。本章前面的<憑證服務規劃工作表>一節對這些參數值進行了說明。本程序會設定下表所述的 CA 屬性。

表 7.23:要設定的 CA 屬性

CA 屬性

設定說明

CRL 發佈點 URL

指定可以取得現行 CRL 的 HTTP、LDAP 及 FILE 位置。

FILE 位置是本機資料夾,僅由 CA 用來儲存發出的 CRL;在發出的憑證中只包含 LDAP 和 HTTP 位置。

LDAP URL 列在 HTTP 之前,因此本機網域控制站將成為下載 CRL 的偏好目標,請參閱表格後的附註。

AIA URL

可以取得 CA 憑證的位置。

如同 CDP 一樣,檔案位置僅用於發佈 CA 憑證,且 LDAP URL 優先順序高於 HTTP URL,請參閱表格後的附註。

有效期

發行憑證的最大有效期 (不同於 CA 憑證本身的有效期,其在 CAPolicy.inf 中設定或由父 CA 設定)。

CRL 期間

CRL 發佈頻率。

CRL 重疊時間

新 CRL 發出和舊 CRL 到期之間的重疊時間。

Delta–CRL 期間

Delta-CRL 發佈的頻率。

Delta–CRL 重疊

新 CRL 發出和舊 CRL 到期之間的重疊時間。

CA 稽核

CA 稽核設定。依預設會啟用所有稽核。


重要:如果需要支援非網域用戶端 (如第 4 章<設計公開金鑰基礎結構>所述),您必須變更 CDP 和 AIA 項目的順序,以使 HTTP 項目具有較高的優先順序。要變更此順序,您需要編輯 CA 設定指令碼 (ca_setup.vbs) 或使用 CA MMC 來手動變更 CDP 和 AIA 項目。由於 LDAP URL 只能穩當用於網域用戶端,因此,您只能決定使用 HTTP URL。如果這樣做,您必須確保主控 HTTP AIA 和 CDP 發佈點的網頁伺服器具有恢復力。

設定發行 CA 屬性

  1. 以本機系統管理員群組成員登入 CA 伺服器。

  2. 您應該在設定根 CA 時已將指令碼 C:\MSSScripts\pkiparams.vbs 自訂為組織特定的設定。需要在發行 CA 上已安裝 C:\MSSScripts\pkiparams.vbs 的複本中複寫這些變更。

  3. 然後執行下列指令碼:

    Cscript //job:IssCAConfig C:\MSSScripts\ca_setup.wsf

設定系統管理角色

為了使用 CA 上的系統管理角色 (如稽核員和憑證管理員),您必須將安全性群組對應至這些角色。

附註:本解決方案使用先前建立的群組來定義多個獨立角色。此方法為您委派 CA 管理責任提供了最大彈性。但是,如果您不需要此層次的委派,則應考慮使用本章先前指定的簡化管理群組模型。簡化模型將允許您使用更少的帳戶來執行 CA 系統管理功能。

在發行 CA 上設定系統管理角色

  1. 在憑證授權單位管理主控台中按一下 [屬性],以編輯 CA 的屬性。

  2. 按一下 [安全性] 索引標籤,並新增下表所列的網域安全性群組。為每一個群組,新增顯示的權限。

    表 7.24:要新增的 CA 權限項目

    群組名稱

    權限

    允許/拒絕

    CA 系統管理員

    管理 CA

    允許

    憑證管理員

    發行和管理憑證

    允許


    附註:如果要強制執行完整的角色分隔,還應從本機系統管理員群組中移除管理 CA 權限。

  3. 其他 CA 安全性角色需要某些額外設定 (儘管他們已經透過先前套用到伺服器的安全性原則進行部分定義):

    • CA 稽核員已被授予「管理安全性和稽核記錄」使用者權限。將此群組新增到本機「系統管理員」群組。

    • 「CA 備份操作員」已被授予在 CA 上「備份」和「還原」的權限。此群組不需要執行進一步設定。

發佈發行 CA 資訊

憑證和 CRL 會自動從發行 CA 發佈到 Active Directory。但是,CA 憑證和 CRL 不會自動發佈到 HTTP CDP 和 AIA 路徑;您必須設定排程工作來執行這些工作。

將發行 CA 憑證和 CRL 發佈到網頁伺服器

發行 CA 憑證和 CRL 必須分別發佈到 HTTP AIA 和 CDP 位置。設定 CA 直接發佈到網頁伺服器資料夾在技術上是可行的;讓網頁伺服器主控在發行 CA 上會使這項工作變得非常簡單。但由於安全性和網路連線的原因,此方法並非總是切實可行。下列方法使用簡單的檔案複製技術,可以將其延伸以適合大多數設定。

附註:由於此程序需要直接連線至網路並使用 Windows 網路檔案共用 (網際網路防火牆通常會加以封鎖),因此不適合用於直接發佈到面向網際網路的網頁伺服器。若要發佈至網際網路伺服器,請使用以下程序發佈至某個中間位置,然後再使用標準方法將內容安全地發佈至網頁伺服器。使用這種方法必須要考慮這個額外步驟可能對 CRL 最新程度的影響。

CA 憑證很少更新,因此您可以在更新 CA 憑證時手動發佈到 AIA 上。

發佈發行 CA 的憑證

  1. 使用具有寫入已發佈網頁伺服器資料夾權限的帳戶登入發行 CA。

  2. 如果網頁伺服器位於遠端伺服器上,請確定 [網頁伺服器] 資料夾已共用。記錄共用資料夾的 UNC 路徑。

  3. 如果網頁伺服器與 CA 位於同一伺服器上,則記錄至資料夾的本機路徑。

  4. 在 C:\MSSScripts\PKIParams.vbs 中更新 WWW_REMOTE_PUB_PATH 參數,以符合網頁伺服器資料夾的目標路徑 (預設為本機路徑 C:\CAWWWPub)。

  5. 執行以下指令,將 CA 憑證發佈至網頁伺服器:

    Cscript //job:PublishIssCertsToIIS

    C:\MSSScripts\CA_Operations.wsf

    (此命令會顯示為多行;實際輸入時請勿分行。)

從發行 CA 發佈 CRL 會比 CA 憑證更加頻繁 (delta-CRL 每日或每小時一次),因此需要使用將 CRL 複製到網頁伺服器的自動方法。

自動發佈 CRL

  1. 使用本機的「系統管理員」成員帳戶登入「發行 CA」。

  2. 確保 [網頁伺服器] 資料夾可以從此伺服器存取 (以遠端共用或使用本機路徑的方式)。

  3. 如果網頁伺服器在遠端,則請授予發行 CA 對檔案系統資料夾 (允許 [修改] 存取權) 和共用 (允許 [變更] 存取權) 的寫入存取權。如果網頁伺服器是樹系成員,您可以使用網域「憑證發行者」群組來授予存取權。  這將確保網域中的任何企業 CA 都有必要權限,可以將憑證及 CRL 發佈到這個資料夾。您無需變更網頁伺服器權限 (請參閱前一節有關「設定 IIS 以發佈 AIA 和 CDP」的資訊)。

  4. 執行下列命令,建立複製 CRL 的排定工作:

    schtasks /create /tn "Publish CRLs" /tr "cscript.exe

    //job:PublishIssCRLsToIIS C:\MSSScripts\CA_Operations.wsf"

    /sc Hourly /ru "System"

    (此命令會顯示為多行;實際輸入時請勿分行。)

    附註:此程序會建立排程工作,每個小時將 CA 的 CRL 發佈到網頁伺服器。此頻率足以應付每日或半日 delta CRL 發佈排程。如果您的 CRL 排程比這更頻繁,則應該更常執行排程工作。工作排程最好佔 delta-CRL 排程的 5 到 10% 左右。

驗證發行 CA 資訊的發佈

您應該驗證發行 CA 資訊是否已經成功發佈。需要執行這些步驟登入連線至網路的網域成員電腦,並使用有效的網域帳戶。

驗證發行 CA 資訊的發佈

  1. 若要驗證是否將 CA 憑證發佈到中間 CA 存放區,請執行下列命令:

    certutil -viewstore -enterprise CA

  2. 您應該看到顯示的兩個憑證 – 一個作為根 CA,一個作為發行 CA。連按兩下發行 CA 憑證,並驗證 [主體] 名稱是否符合您對發行 CA 的設定,以及 [有效期自] 的日期是否為目前的日期。

  3. 若要驗證是否將 CA 憑證發佈到 NTAuth CA 存放區 (所有企業 CA 均在此處發佈),請執行下列命令:

    certutil -viewstore -enterprise NTAuth

    您應該看到發行 CA 顯示的同一個憑證。

  4. 若要驗證是否將發行 CA CRL 發佈到目錄,請執行下列命令,用您自己安裝中使用的值來取代斜體項目 (CA 一般名稱、CA 簡短主機名稱,Active Directory 樹系根的 DN):

    certutil -store -enterprise "ldap:///cn=Woodgrove Bank Issuing CA 1,cn=HQ-CA-02,cn=CDP,CN=Public Key Services, CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass= cRlDistributionPoint"

    (此命令會顯示為多行;實際輸入時請勿分行。)

  5. 應該看到與下面類似的輸出。請驗證 [發行者] 值是否符合您為發行 CA 設定的名稱:

    ================ CRL 0 ================

    Issuer: CN= WoodGrove Bank Issuing CA,DC=woodgrovebank,DC=com

    CA Version: V1.0

    CRL Number: CRL Number=1

    CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe

    CertUtil: -store command completed successfully.

  6. 若要驗證是否將 CA 憑證發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己安裝中使用的值來取代斜體項目:

    http://www.woodgrovebank.com/pki/HQ-CA-02_WoodGrove Bank Issuing CA 1.crt

  7. 應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示發行 CA 憑證。

  8. 若要檢驗是否將發行 CA CRL 發佈到網頁伺服器,請將下列 URL 輸入瀏覽器,用您自己安裝中使用的值來取代斜體項目:

    http://www.woodgrovebank.com/pki/WoodGrove Bank Issuing CA 1.crl

  9. 應提示您開啟或儲存檔案。開啟此檔案並驗證是否顯示根 CA CRL。

    附註:如果您已經更新 CA 憑證或發出多個 CRL,則可以看到這些命令輸出中顯示的不同版本號碼。

驗證憑證註冊

應該驗證可以自發行 CA 註冊的憑證。

驗證憑證註冊

  1. 登入與發行 CA 在同一個網域的電腦。使用網域帳戶。

  2. 開啟目前使用者的憑證 MMC 嵌入式管理單元。(由於沒有預先定義的嵌入式管理單元,因此您需要使用 [新增/移除嵌入式管理單元] 將此嵌入式管理單元新增到空白 MMC。)

  3. 在個人資料夾上按一下滑鼠右鍵,然後從 [所有工作] 子功能表中選取 [要求新憑證]。

  4. 系統應會提示您從憑證類型清單中選擇 - 請選取 [使用者] 類型。請勿選取 [進階選項] 核取方塊。

  5. 使用可辨識、好記的名稱 (如 [發行 CA 驗證]) 為憑證命名。

  6. 按一下 [完成] 來註冊憑證。

  7. 瀏覽至 [個人資料夾] 的 [憑證] 子資料夾。您應該在此處看到 [發行 CA 驗證] 憑證。(可能需要先重新整理存放區:在 MMC 左窗格中的 [憑證–目前使用者] 根物件上按一下滑鼠右鍵,然後按一下 [重新整理]。)

如果此驗證測試失敗,應返回本章中的步驟,並改正找出的任何問題。如果仍然遇到問題,請參閱第 11 章<管理公開金鑰基礎結構>中的<疑難排解>一節。

後續建置設定

即使您已經為組織建置了根和發行 CA,仍需要完成幾個重要的設定工作。本節會說明這些工作。

設定憑證範本

大多數工作都與 CA 可以發出的憑證類型設定、控制發行的人員,以及憑證發行的對象和內容相關聯。

從發行 CA 中移除不要的範本

除非需要憑證類型,否則請從 CA 設定中移除對應的範本,以免意外發行憑證。但是,範本永遠在目錄中,需要時可以重新新增。

從發行 CA 中移除不要的範本

  1. 以 CA 系統管理員網域群組成員登入。

  2. 從 [憑證授權單位] 管理主控台中,選取 [憑證範本] 容器。

  3. 移除下列範本類型:

    • EFS 復原代理程式

    • 基本 EFS

    • 網頁伺服器

    • 電腦

    • 使用者

    • 次級憑證授權單位

    • 系統管理員

      附註:此程序會從發行 CA 中移除所有範本,但網域控制站、網域控制站驗證和目錄電子郵件複寫的範本除外。Windows 2000 網域控制站使用網域控制站憑證啟用智慧卡登入和簡易郵件傳送通訊協定 (SMTP) Active Directory 複寫。Windows Server 2003 網域控制站使用網域控制站驗證憑證支援智慧卡登入與安全的 LDAP,及使用目錄電子郵件複寫憑證進行 SMTP Active Directory 複寫。
      >如果需要,所有已移除的範本以後都可以重新新增。同時,只允許已慎重選擇要發行的憑證類型,是非常好的作法。

建立和管理憑證範本

安全性群組可以有效地管理與使用企業憑證範本。這些群組能控制可以修改每個範本屬性的使用者,以及可以註冊該類型憑證的使用者。

附註:當有可能控制委派到不同系統管理員的範本時,範本系統管理員群組非常有用。如果您的 PKI 管理結構不太大也不複雜,則有可能不需要此功能。這種情況下,僅「企業系統管理員」內建群組和「企業 PKI 系統管理員」(作為本解決方案的一部份建立) 成員能夠管理憑證範本。

如需有關建立和維護憑證範本管理群組的說明,請參閱第 11 章<管理公開金鑰基礎結構>中所述的操作程序。

如需有關建立本解決方案特定憑證範本的說明,請參閱第 9 章<實作無線區域網路安全性基礎結構>中的<設定和部署無線驗證憑證>一節。

如需有關建立和修改憑證範本的一般說明,請參閱<管理憑證範本>產品文件章節,以及技術文件《在 Windows Server 2003 中實作與管理憑證範本》(英文) (請參閱本章結尾的參考資料)。

管理憑證註冊

透過範本註冊群組即可輕易地進行管理,針對特定憑證類型決定誰可以註冊或是自動註冊。您可從安全性群組中輕鬆新增或移除使用者。如果您不想直接編輯憑證範本的屬性,還可以授予系統管理人員對範本註冊群組成員資格的控制權限。

如需有關建立和維護憑證範本註冊群組的說明,請參閱第 11 章<管理公開金鑰基礎結構>。

設定多網域部署權限

如果要將此解決方案部署到多網域樹系中,您需要將憑證發佈給非 CA 網域中的使用者與電腦。如果遇到這種情況,您需要將預設權限變更為允許 CA 將憑證正確發佈到 Active Directory 樹系中的其他網域。

當為使用者在 CA 和憑證範本上設定註冊權限時,必須從想要使用者和電腦能夠註冊憑證的所有網域中明確包含這些使用者和電腦。

允許將憑證發佈至其他網域的使用者和電腦

  1. 登入要啟用憑證發佈的網域。您必須是此網域的網域系統管理員成員或有足夠權限變更網域物件權限的群組成員。

  2. 開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元,並在網域節點上按一下滑鼠右鍵。

    附註:您可由其他網域執行此操作,只要您帳戶具有目標網域的適當權限即可。您需要從 Active Directory 使用者及電腦連線至目標網域。

  3. 按一下 [委派控制],啟動委派精靈。

  4. 在精靈中,按一下 [下一步],然後從安裝發行 CA 的網域中新增 [憑證發行者] 群組。接著按一下 [下一步]。

  5. 選取 [建立要委派的自訂工作],然後按一下 [下一步]。

  6. 在資料夾中,選取 [僅下列物件]。

  7. 選取 [使用者物件],然後按一下 [下一步]。

  8. 選取 [指定屬性] 選項。

  9. 選取 [讀取 userCertificate] 和 [寫入 userCertificate] 選項。

  10. 按一下 [下一步],然後按一下 [完成]。

  11. 重複步驟 3 到 10,但在步驟 7 時,請選取 [電腦物件] 而不是 [使用者物件]。

此程序可確保企業 CA 具有權限,可為此網域中的使用者與電腦正確發佈憑證。

備份 CA 金鑰和 CA 伺服器

現在您已建置了根和發行 CA,應該儘快對其備份,這樣可以保護其金鑰和憑證資料庫,以免伺服器失效或資料毀損。

完成如第 11 章<管理公開金鑰基礎結構>中所述的以下程序:

  • 「設定發行 CA 備份」

  • 「設定和執行根 CA 備份」

  • 「備份 CA 金鑰和憑證」(此工作需要對每一個 CA 執行)


用戶端設定

本節說明一些重要的用戶端設定工作。重要資訊較少,因為大部分用戶端的相關設定是專門針對使用憑證服務的應用程式或服務,如 WLAN 或虛擬私人網路 (VPN), 而非所有憑證應用程式共有的工作。

啟用使用者和電腦憑證自動註冊

先前<管理憑證註冊>小節中說明的措施,可讓您使用安全性群組和範本權限來精確控制自動註冊。但是 Windows XP 用戶端已預設為停用自動註冊功能。要啟用此功能,您必須在「群組原則」中設定正確的設定。如果您正在使用安全性群組來控制自動註冊,則可以為網域中所有使用者與電腦啟用自動註冊功能,並且使用註冊安全性群組來決定接收各類憑證的使用者。

注意:此程序會為網域中的「所有」電腦和使用者啟用自動註冊。請確定在啟動此程序之前,您已經從發行 CA 中移除預設範本,以免預設電腦和使用者憑證註冊到網域中的每一個電腦和使用者。本程序假設您使用安全性群組來控制自動註冊,如第 11 章<管理公開金鑰基礎結構>中所述。

為網域中的所有使用者和電腦啟用自動註冊

  1. 使用具有權限建立 GPO (群組原則建立者擁有者成員) 且具有權限將 GPO 連結到網域的帳戶登入。或者,要求網域系統管理員為您建立和連結 GPO,然後授予您 GPO 上的讀取和寫入權限。

  2. 在 [Active Directory 使用者及電腦] 中,選取網域物件,在其上按一下滑鼠右鍵,然後按一下 [屬性]。

  3. 在 [群組原則] 索引標籤中,按一下 [新增],然後鍵入 GPO 的名稱 (如,網域 PKI 原則)。

  4. 按一下 [編輯] 來編輯 GPO,然後瀏覽至 [電腦設定\Windows 設定\安全性設定] 下的 [公開金鑰原則]。

  5. 在詳細資料窗格中,連按兩下 [自動註冊設定]。

  6. 確定已選取下列項目:

    • 自動註冊憑證

    • 更新過期憑證、更新擱置憑證並移除撤銷的憑證

    • 更新使用憑證範本的憑證

  7. 為使用者自動註冊設定重複步驟 5 和 6,其位於 [使用者設定\Windows 設定\安全性設定\公開金鑰原則] 中。

  8. 關閉 GPO。

  9. 確定 GPO 優先順序高於預設網域原則 GPO。

    附註:
    如果擁有多網域 Active Directory 樹系,您必須在要啟用憑證自動註冊的樹系中為每一個網域執行此程序。
    如果不想為網域中的所有使用者或電腦啟用自動註冊,則可以建立 GPO,連結到包含您想要啟用自動註冊的使用者和/或電腦子集的 OU。
    如果使用者不使用漫遊設定檔,並且您允許全體自動註冊,則使用者登入的每台電腦都會註冊憑證。您可能要在使用者登入伺服器時,避免系統管理員和操作員自動註冊憑證。您可以建立套用到這些伺服器的 GPO (如,透過將其連結到伺服器 OU) 來實現。在該 GPO 中,透過選取 [不要自動註冊憑證] 來為使用者停用自動註冊。在同一個 GPO 中,透過啟用 [電腦設定\系統管理範本\系統\群組原則\使用者群組原則回送處理模式] 設定並選取 [取代] 選項,來啟用 GPO 回送處理。

啟用憑證自動註冊在本章結尾的<其他資訊>一節列示的文件中也有詳細說明。

僅 Windows XP 用戶端和更新版本支援使用者和電腦憑證兩者的自動註冊。Windows 2000 用戶端僅支援自動註冊電腦憑證 (儘管如 EFS 等一些應用程式具有自己的使用者憑證自動註冊機制)。

如果在 Windows 2000 Active Directory 環境中部署此解決方案,您必須透過執行 Windows Server 2003 或 Windows XP Professional 並已安裝 Windows Server 2003 管理工具 (Windows XP 需要特定的 service pack 和 hotfix 層級,才能支援 Windows Server 2003 管理工具) 的電腦,才能編輯 GPO 中的自動註冊設定。

設定根憑證授權單位網域原則

本節說明如何管理組織中用戶端信任的商業根 CA,以及您想要針對個體使用者是否可以變更其信任根 CA 的控制程度。

管理協力廠商的信任

根據預設值,Windows 用戶端已設定為信任眾多的商業根 CA (稱為「內設根」)。如果要防止使用者自動信任協力廠商的根 CA,請參考《防止使用者信任具有群組原則的協力廠商根憑證授權單位》線上「說明」提供的相關程序。在<其他資訊>一節有關本主題的文章中,還提供了相關連結。

附註:停用協力廠商根可能導致用戶端應用程式錯誤或失效,因此在未適當測試後果的情況下,請勿執行此操作。例如,至大多數公開安全網站的用戶端連線將導致產生信任錯誤。

以幾種方式移除全部協力廠商信任,可以緩解某些問題:

  • 透過將個別根新增到「群組原則」的「信任根憑證授權單位」原則設定中,您可以選擇將一些根添加回來。

  • 您可以將根憑證新增至「憑證信任清單」中,並透過「群組原則」的「企業信任」設定來對其進行部署。此方法還允許您控制對您將信任之根發出的憑證的使用。但由於其用戶端支援有限,僅在沒有其他替代方案的情況下,才建議您這樣做。

  • 您可以交叉認證其他憑證授權單位 (或與其建立合格的子項信任關係)。此方法可讓您更大程度控制允許在組織中信任的使用和憑證參數。

使用憑證信任清單或合格子關係,對於在組織中部署協力廠商信任根來說,是最安全的方式。如需此主題的詳細資訊,請參閱第 4 章<設計公開金鑰基礎結構>。

管理使用者對信任根的控制

您還可以使用「群組原則」來防止使用者選擇信任新的根 CA。如果為了控制組織中對協力廠商憑證的使用,而建立了您自己的合格子關係信任或「憑證信任清單」時,這一點就更為重要。您可在《防止使用者選取具有群組原則新根的憑證授權單位》線上「說明」中,或在<其他資訊>一節列示的連結中找到使用「群組原則」的程序,來管理使用者對信任根的控制。

總結

如果執行完本章所述全部程序,則已完成以下工作:

  • 安裝和設定離線根 CA。

  • 安裝和設定線上發行 CA。

  • 安裝和設定網頁伺服器以發佈 CRL 和 CA 憑證。

  • 設定系統管理群組和使用者以管理 CA 和 Active Directory PKI 設定資訊。

  • 設定 Active Directory 和群組原則以支援您的 PKI。

您現在可以設定使用 PKI 的應用程式。此程序將在本指南的第 8 章<實作 RADIUS 基礎結構>和第 9 章<實作無線區域網路安全性基礎結構>中說明。

您還應該閱讀第 11 章<管理公開金鑰基礎結構>的相關部分,並確定相關操作人員已熟知這部分內容。本章提供有關如何保持您的 PKI 以安全和穩定方式執行的重要資訊。

其他資訊

PKI 和 Windows 憑證服務的一般幕後資訊
  • 如需有關 PKI 概念和 Windows 2000 憑證服務功能的說明,請參閱<Windows 2000 公開金鑰基礎結構簡介>(英文),網址是:http://www.microsoft.com/technet/archive/windows2000serv/
    evaluate/featfunc/pkiintro.mspx

  • 如需有關 Windows Server 2003 和 Windows XP 中增強型 PKI 功能的說明,請參閱<Windows XP Professional 和 Windows Server 2003 中 PKI 增強功能>(英文),網址是:http://www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx

  • 如需有關討論主要概念和管理工作的幕後產品文件,請參閱線上「說明」的「憑證服務」部分,或 Windows Server 2003 產品文件的公開金鑰基礎結構部分 (英文),網址是:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/B1EE9920-D7EF-4CE5-B63C-3661C72E0F0B.mspx

特定主題的資訊
  • 如需有關在多樹系 Active Directory 環境中部署 PKI 的詳細資訊,請參閱 Windows Server 2003 產品文件中的<在外部 Active Directory 樹系中發佈憑證>(英文),網址是:http://www.microsoft.com/technet/prodtechnol/
    windowsserver2003/library/ServerHelp/a9d684f0-90b1-4c67-8dca-7ebf803a003d.mspx。

  • CAPICOM 可從 Microsoft 下載中心下載,網址是:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6, 但您可能要在下載中心網站中搜尋「CAPICOM」,以確保您取得的是最新版本。

  • 如需有關如何使用 Microsoft Baseline Security Analyzer (MBSA) 的說明,請參閱 Microsoft Baseline Security Analyzer v1.2 頁面,網址是:http://www.microsoft.com/technet/security/tools/mbsahome.mspx。

  • 如需有關 Active Directory 網域功能層級的資訊,以及如何在層級之間進行變更的說明,請參閱 Windows Server 2003 產品文件的以下部分。

    • http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
      proddocs/entserver/sag_levels.mspx 中網域和樹系功能部分 (英文) 說明了不同網域和樹系層級。

    • http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
      proddocs/entserver/sag_changedomlevel.mspx 中的提高網域功能層級頁面 (英文) 說明了如何變更網域和樹系層級。

  • 如需有關 ADPrep 工具的詳細資訊,請參閱 Microsoft 知識庫文件編號 Q325379<如何將 Windows 2000 網域控制站升級至 Windows Server 2003>,網址是:http://support.microsoft.com/?kbid=325379
    ADPrep 頁面位於:http://www.microsoft.com/technet/prodtechnol/
    windowsserver2003/proddocs/entserver/adprep.mspx。

  • 如需有關 ADPrep 補充程式層級需求的詳細資訊,請參閱 Microsoft 知識庫文章 Q331161<執行 Adprep /Forestprep 之前,必須安裝在 Windows 2000 網域控制站上的 Hotfix>,網址是:http://support.microsoft.com/?kbid=331161。

  • 如需有關「憑證服務」管理角色的完整說明,請參閱 Windows Server 產品文件<管理角色型管理>(英文),網址是:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
    proddocs/entserver/sag_CS_Manage_Role_based_admin_topnode.mspx。

  • 如需有關本指南中所用的伺服器安全性設定和伺服器角色的詳細資訊,請參閱<Windows Server 2003 安全性指南>(英文),網址是:http://go.microsoft.com/fwlink/?LinkId=14845。

  • 如需有關建立和修改憑證範本的說明,請參閱技術文章<在 Windows Server 2003 中實作與管理憑證範本>(英文),網址是:http://www.microsoft.com/technet/prodtechnol/
    windowsserver2003/echnologies/security/ws03crtm.mspx;以及產品文件的<管理企業憑證授權單位的憑證範本>部分 (英文),網址是:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
    proddocs/entserver/sag_CS_procs_temps.mspx。

  • 如需有關如何停用自動信任協力廠商 CA 的資訊,請參閱
    防止使用者信任具有群組原則的協力廠商根憑證授權單位>(英文),網址是:http://www.microsoft.com/resources/documentation/
    WindowsServ/2003/enterprise/proddocs/en-us/sag_pkpprocsconfig3rdpartyrootca.asp。

  • 如需有關如何管理使用者對信任根的控制權之資訊,請參閱
    防止使用者選取具有群組原則新根的憑證授權單位>(英文),網址是:http://www.microsoft.com/resources/documentation/WindowsServ/
    2003/enterprise/proddocs/en-us/sag_pkpprocsconfigtrustedrootca.asp。

  • 如需有關憑證自動註冊的詳細資訊,請參閱<Windows XP 憑證自動註冊>(英文),網址是:http://www.microsoft.com/WindowsXP/pro/techinfo/
    administration/autoenroll/default.asp;以及<檢查清單:設定憑證自動註冊>(英文),網址是:http://www.microsoft.com/resources/documentation/
    WindowsServ/2003/datacenter/proddocs/en-us/certsrv_checklist_autoenroll.asp。

  • 如需有關進階憑證註冊的詳細資訊,請參閱<進階憑證註冊與管理>(英文),網址是:http://www.microsoft.com/technet/prodtechnol/
    windowsserver2003/technologies/security/advcert.mspx。

  • 如需有關 web 註冊的詳細資訊,請參閱
    設定 Windows 2000 和
    Windows Server 2003 憑證服務 Web 註冊並排解疑難
    >(英文),網址是:http://www.microsoft.com/technet/prodtechnol/
    windowsserver2003/technologies/security/webenroll.mspx。

  • 如需有關管理 Windows PKI 的詳細資訊 (第 11 章<管理 PKI>提供的資訊除外),請參閱<Windows Server 2003 PKI 作業指南>(英文),網址是:http://www.microsoft.com/technet/prodtechnol/
    windowsserver2003/technologies/security/ws03pkog.mspx。


顯示: