第 11 章:管理公開金鑰基礎結構
發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日
本頁內容
簡介
基本維護任務
憑證服務管理角色
作業象限工作
支援象限工作
最佳化象限工作
變更象限工作
疑難排解
設定表格
其他資訊
簡介
本章涵蓋管理 PKI (公開金鑰基礎結構,為《保護無線區域網路安全》的解決方案之一部份) 所需的操作程序。其結構是以《作業指南》(第 10 章) 第一章所討論的 Microsoft Operations Framework (MOF) 類別和概念為基礎。
本章的目標是讓您能夠實作完整的 PKI 管理系統。主題包括開始監視和維護系統所需的所有安裝工作、使系統正常運作所需的定期操作工作。也討論用於協助您處理支援事件、管理環境變更以及最佳化系統效能的程序。
本章有兩個主要部分。第一個部分包括兩節:<必要維護工作>,以及<指定管理角色>,內容簡要,請全部閱讀。這些章節提供為系統設定妥善管理環境的相關重要資訊。本章的其他部分主要是參考資料。參考單元內有些工作必須在部署系統時實作,但是它們在<必要維護工作>一節內有清楚說明。
雖然您不需要吸收參考單元內的所有詳細資料,請閱讀以熟悉內容,以便未來能迅速找到需要的項目。
本章先決條件
您應熟悉第 10 章<作業指南入門>內 MOF 所使用的概念,而不需要詳細瞭解 MOF。
您尤其應熟悉 PKI 與 Microsoft® 憑證服務的概念。在下列範圍內,也需要熟悉 Microsoft Windows® 2000 Server (或更新版本):
Microsoft Windows Server™ 2003 的基本操作與維護,包括事件檢視器、電腦管理、與 NTBackup 等工具的使用。
Active Directory® 目錄服務,包括 Active Directory 的結構與工具,操作使用者、群組、與其他 Active Directory 物件;群組原則的使用。
Windows 系統安全:安全概念,如使用者、群組及稽核;存取控制清單;使用安全範本;使用群組原則或命令列工具的安全範本。
網際網路資訊服務 (IIS) 的管理。
瞭解 Windows Scripting Host 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言有助您對提供的指令碼有最大程度的瞭解,但並非必需。
您在閱讀本章之前,應閱讀《規劃指南》與《建置指南》的相關章節 (第 4 與第 6 章),並徹底瞭解解決方案的結構與設計。
本章概觀
下列清單說明本章的每一主要小節。
**必要維護工作。**包含列出您需要設定管理系統的工作的兩個表格,以及需要執行以維護系統的例行工作清單。
系統管理角色。說明解決方案內所用的系統管理角色、每一角色的功能為何、這些角色如何對應 MOF 角色叢集,以及為解決方案而定義的系統管理安全性群組。
作業象限工作。包括關於 PKI 正常維護的所有工作。這些工作包括監視、備份、目錄與安全性作業。
支援象限工作。包括從系統問題中復原的所有相關程序。這些程序包括憑證與憑證授權單位 (CA) 撤銷、從備份中復原、以及用於處理失敗 CA 的作業。
最佳化象限工作。包括某些容量管理規劃程序。
變更象限工作。包括關於變更 CA 設定,並以受控制的方式將這些變更發佈到生產的一般工作。此外也包括協助您收集與維護有關 PKI 必要設定資訊的程序。
疑難排解。包含程序以協助您疑難排解使用 PKI 可能遭遇的一般問題。此外也包括對於有用的疑難排解工具的說明,還有用於啟用不同元件記錄的程序。
**設定表格。**包括《建置指南》內所用設定參數的子集。這些數值在程序的文字中做為範例使用。
其他資訊。列出文字內所參照的許多額外資訊來源。
基本維護任務
本節列出使 PKI 正確運作所需執行的重要工作。一次設定工作和進行中操作工作列於兩個表格中。表格中所列的工作,將在本文稍後的部分進行詳細說明。工作按 MOF 象限分類,並在其旁邊列出了所屬的 MOF 服務管理函式 (SMF),以協助您便利地找到所需的工作。
本章還包括此單元之程序中要使用的工具和技術清單。
初始設定工作
這個表格列出將 PKI 作業投入生產環境運作所必須執行的工作。您也許不必執行所有工作,這取決於您的作業標準和實施方法,但您應檢閱每一工作的詳細資訊後再決定是否需要執行。某些工作可能需要再次執行;例如,如果安裝了新的 CA,就需要您為其設定備份與監視工作。
表 11.1:初始設定工作
工作名稱 | 角色叢集 | SMF |
---|---|---|
作業象限 | ||
為憑證服務管理準備網域組織單位 (OU) | 基礎結構 | 目錄服務管理 |
將發行 CA CRL 發佈至網頁伺服器 | Security | 安全性管理 |
設定發行 CA 資料庫備份 | 基礎結構 | 儲存管理 |
設定根 CA 資料庫備份 | 基礎結構 | 儲存管理 |
測試 CA 資料庫備份 | 作業 | 儲存管理 |
測試 CA 金鑰備份 | 作業 | 儲存管理 |
分類監視警告 | 基礎結構 | 服務監視和控制 |
監視憑證服務容量限制 | 基礎結構 | 服務監視和控制 |
監視憑證服務的狀態和可用性 | 基礎結構 | 服務監視和控制 |
為擱置的憑證要求設定 SMTP 警告 | 基礎結構 | 服務監視和控制 |
排程發行 CA 的工作 | 基礎結構 | 工作排程 |
最佳化象限 | ||
決定發行 CA 的最大負載 | 基礎結構 | 容量管理 |
決定發行 CA 的儲存和備份需求 | 基礎結構 | 容量管理 |
變更象限 | ||
管理作業系統更新程式 | 基礎結構 | 變更管理 版本管理 |
雖然沒有文件範本說明如何設定 PKI 設定管理系統的記錄工作,您仍應檢閱<設定管理>一節中的程序。這些程序說明了在設定管理系統中所應該收集並維護的資訊類型。
維護工作
這個表列出為確保 PKI 正確運作而必須定期執行的工作。您可以使用此表來協助您規劃所需資源,並計劃管理系統的工作排程。
您也許不必執行某些工作,但仍應先檢閱工作詳細資訊,再決定是否需要執行。而某些工作除了要定期執行外,還必須特定執行。例如,更新根 CA 憑證後,即使沒有排程,您也必須備份根 CA。出現這種情況時,頻率欄中會顯示說明。類似的相依性也會在工作詳細資訊中指明。
表 11.2:維護工作
工作名稱 | 頻率 | SMF |
---|---|---|
作業象限 | ||
檢查擱置的要求 | 每日 | 安全性管理 |
更新根 CA 憑證 | 每隔八年一次 | 安全性管理 |
更新發行 CA 憑證 | 每隔四年一次 | 安全性管理 |
發佈離線 CRL 和 CA 憑證 | 每隔六個月一次 | 安全性管理 |
備份 CA 金鑰和憑證 | 每年一次;或每次更新 CA 憑證時 (以其中較先發生者為準) | 儲存管理 |
測試 CA 資料庫備份 | 每月 | 儲存管理 |
測試 CA 金鑰備份 | 每隔六個月一次 | 儲存管理 |
保存來自 CA 的安全性稽核資料 | 每月一次 (發行 CA) | 儲存管理 |
保存來自 CA 的安全性稽核資料 | 每隔六個月一次 (根 CA) | 儲存管理 |
項目名稱 | 來源 |
---|---|
Active Directory 使用者及電腦管理主控台 (MMC 嵌入式管理單元)。 | Microsoft Windows Server 2003 |
憑證授權單位 MMC 嵌入式管理單元 | Windows Server 2003 |
憑證範本 MMC 嵌入式管理單元 | Windows Server 2003 |
Certutil.exe | Windows Server 2003 |
Certreq.exe | Windows Server 2003 |
MSS 指令碼 | 此解決方案 |
文字編輯器 | 記事本 — Windows Server 2003 |
Windows 工作排程器服務 | Windows Server 2003 |
SchTasks.exe | Windows Server 2003 |
Windows 備份 | Windows Server 2003 |
Cipher.exe | Windows Server 2003 |
事件檢視器 | Windows Server 2003 |
效能監視器 | Windows Server 2003 |
Net.exe | Windows Server 2003 |
DSquery.exe | Windows Server 2003 |
Ldifde.exe | Windows Server 2003 |
DCDiag.exe | Windows Server 2003 |
工作警告主控台 | Microsoft Operations Manager (MOM) |
用於備份根 CA 的卸除式媒體 | CD–RW 或磁帶 |
發行 CA 伺服器備份 | 企業備份服務或 本機備份裝置 |
群組原則 MMC 嵌入式管理單元 | 從 Microsoft.com 下載的網頁 |
PKI 狀態 | Windows Server 2003 Resource Kit |
項目名稱 | 來源 |
---|---|
工作警告主控台 | Microsoft Operations Manager 或其他服務監視系統 |
電子郵件基礎結構 – 用於操作警告 (MOM 的替代方式) | SMTP/POP3/IMAP 伺服器和用戶端,例如 Microsoft Exchange Server 和 Microsoft Outlook® |
Eventquery.vbs | Windows Server 2003 |
容量計劃工具 | Microsoft Operations Manager 或其他容量計劃工具 |
安全性更新發佈系統 | Microsoft Systems Management Server 或 Microsoft Software Update Services |
角色名稱 | 範圍 | 說明 |
---|---|---|
企業 PKI 系統管理員 | 企業 | 負責整體 PKI — 定義企業的憑證類型、應用程式原則、信任路徑等 |
企業 PKI 發行者 | 企業 | 負責將信任的根憑證、次級 CA 憑證和 CRL 發行到目錄。 |
CA 系統管理員 (CC 「系統管理員」(Administrator) 角色) |
CA | CA 系統管理員 – 負責 CA 設定以及在 CA 上的角色配置。此角色經常由企業 PKI 系統管理員兼任。 當憑證使用上有需要時,則可以由不同的 CA 系統管理員負責各個 CA。 |
Administrator (CC 「系統管理員」(Administrator) 角色) |
CA | CA 伺服器作業系統的管理員 — 負責整台伺服器的設定 (例如 CA 安裝)。此角色經常由 CA 系統管理員兼任。 當憑證使用上有需要時,則可以由不同的系統管理員負責各個 CA。 |
CA 稽核員 (CC 「稽核員」(Auditor) 角色) |
CA | 管理來自 CA 的可稽核事件的稽核事件、原則、與相似類型。 |
憑證管理員 (CC「長官」(Officer) 角色) |
CA | 核准需要手動核准及撤銷憑證的憑證要求。 當憑證使用上有需要時,則可以由許多的憑證管理員負責核准不同的 CA。 |
註冊管理中心 | 憑證設定檔 | 「憑證管理員」角色的延伸。負責在憑證主體的 ID 驗證之後,核准及簽署憑證要求。 可以是個人、IT 程序、或裝置 (例如指紋掃描器與資料庫)。 可為不同的憑證設定檔 (範本) 而指定不同的註冊管理中心,並能跨越多個 CA。 |
金鑰復原代理 | CA | 保留用於解密 CA 資料庫中已保存的私密金鑰之金鑰。 |
CA 備份操作員 (CC「操作員」(Operator) 角色) |
CA | 負責 CA 伺服器的備份和修復以及備份媒體的安全儲存。 |
角色名稱 | 範圍 | 說明 |
---|---|---|
監視器操作員 | 企業 | 負責監視事件。 |
容量計劃員 | 企業 | 負責分析效能及負載,以預測未來的容量需求。 |
Active Directory 系統管理員 | 企業 | 負責 Active Directory 基礎結構的設定和支援。 |
Active Directory 作業 | 企業 | 負責日常目錄維護,例如安全性群組維護和帳戶建立等。 |
變更核准委員 | 企業 | 核准基礎結構變更所需的業務和技術代表。 |
角色名稱 | 網域安全性群組 (線上 CA) | 本機安全性群組 (離線 CA) | 能力 |
---|---|---|---|
企業 PKI 系統管理員 | 企業 PKI 系統管理員 | – | 控制 Active Directory 公開金鑰服務容器。從而控制範本、信任發佈,及其他整個企業 (樹系) 的設定元素。 |
企業 PKI 發行者 | 企業 PKI 發行者 | – | 能將企業信任的根憑證、次級 CA 憑證和 CRL 發佈到目錄。 |
CA 系統管理員 | CA 系統管理員 | CA 系統管理員 (僅限根 CA) | 具有在 CA 上「管理 CA」(Manage CA) 的權限。控制 CA 上的角色指派。並具有變更 CA 屬性的權限。 除非強制實施角色分離,否則此角色經常會結合 CA 伺服器的本機系統管理員。 |
Administrator | 系統管理員」 | CA 伺服器的本機系統管理員。 | |
CA 稽核員 | CA 稽核員 | CA 稽核員 (僅限根 CA) 的系統管理員 | 具有在 CA 上「管理安全性和稽核記錄」(Manage Security and Audit logs) 的使用者權限。 同時也是 CA 本機系統管理員群組的成員 (必須具備此身份才可存取稽核記錄)。 |
憑證管理員 | 憑證管理員 | 憑證管理員 (僅限根 CA) |
擁有 CA 上「發行和管理憑證」(Issue and Manage Certificates) 的權限。 每個 CA 上可以設定多個憑證管理員,能分別為不同的部份使用者或其他終端實體管理憑證。 |
註冊管理中心 | – | – | 具有在核准前對憑證要求進行簽章所需的憑證和金鑰。 |
金鑰復原代理 | – | – | 具有對私密金鑰 (保存在憑證資料庫中) 進行解密所需的憑證和金鑰。 |
CA 備份操作員 | CA 備份操作員 | CA 備份操作員 (僅限根 CA) | 在 CA 伺服器上具有「備份和還原」(Backup and Restore) 的權限。 |
OU | 群組 | 用途 |
---|---|---|
憑證服務 | ||
憑證服務管理 | 企業 PKI 系統管理員 企業 PKI 發行者 CA 系統管理員 CA 稽核員 憑證管理員 CA 備份操作員 |
包含管理 CA 和企業 PKI 設定的系統管理員群組。 |
憑證範本管理 | 範例: 管理使用者範本 管理智慧卡登入範本 |
包含具有同名範本之「完整控制」權限的群組。允許按範本類型委派控制權限。 |
憑證範本註冊 | 範例: 註冊使用者憑證 自動註冊使用者憑證 註冊電子郵件簽章憑證 |
包含具有同名範本之註冊或自動註冊權限的群組。對群組的控制權限可以委派給適當的人員,在無需觸及實際範本的情況下,採用彈性註冊體制。 |
警告類別 | 說明 |
---|---|
無法使用的服務 | 當應用程式或元件完全無法使用時。 |
安全性破壞 | 當應用程式受到駭客攻擊或洩漏時。 |
嚴重錯誤 | 當應用程序遇到嚴重錯誤,需要盡快執行系統管理動作 (但不必立即執行) 時。應用程式或元件在效能的 sub-par 層操作,但仍能執行大部分重要操作。 |
Error | 當應用程式遇到暫時性問題,不需要立即執行 (甚至可能不需要) 任何系統管理動作或解決方案時。應用程式或元件在效能的可接受層作業,且仍能執行所有重要作業。 |
警告 | 當應用程式產生「警告」訊息,不需要立即執行 (甚至可能不需要) 系統管理動作或解決方案時。應用程式或元件在效能的可接受層作業,但仍能執行所有重要作業。如果問題持續存在,則此狀況可能會導致「錯誤」、「嚴重錯誤」、或「無法使用的服務」。 |
Information | 當應用程式產生「資訊事件」時。應用程式或元件以可接受的效能運作,並能執行所有重要與非重要的作業。 |
成功 | 當應用程式產生「成功事件」時。應用程式或元件在效能的可接受層作業,並執行所有重要和不重要作業。 |
效能物件 | 效能計數器 | 例項 |
---|---|---|
處理器 | 處理器時間的百分比 | _總計 |
實體磁碟 | 磁碟時間的百分比 | _總計 |
實體磁碟 | 磁碟讀取的平均佇列長度 | _總計 |
實體磁碟 | 磁碟寫入的平均佇列長度 | D: (CA–DB) C: (CA–Log) |
網路介面 | 位元總計/秒 | 網路介面卡 |
記憶體 (Memory) | 使用中承諾位元的百分比 | ––– |
憑證服務狀態 | 重要性 | 關鍵性 |
---|---|---|
CRL 過期 | 無法存取有效的 CRL — 這個狀況目前正導致服務無法使用。 | 無法使用服務 |
CRL 逾期 | CRL 仍有效,但新的 CRL 已逾期而尚未發佈。 | 危急 |
CRL 無法使用 子事件: 無法從 Active Directory 擷取 CRL 無法從網頁伺服器擷取 CRL |
在已發佈 CRL 的發佈點上,無法取得 CRL。這個狀況可能正導致服務無法使用。 | 危急 |
CA 伺服器失敗 | 在網路上看不到伺服器。 | 無法使用服務 |
CA 作業系統處於危急狀態 | 伺服器硬體或 Windows 存在潛在的重大問題。 | 危急 |
CA 作業系統處於錯誤/警告狀態 | 伺服器硬體或 Windows 的潛在問題並非重大問題。 | 錯誤或警告 (按 MOM 規則定義) |
憑證服務沒在線上 子事件: 用戶端介面離線 管理介面離線 |
「憑證服務」遠端程序呼叫 (RPC) 介面處於離線狀態 — 無法發行憑證。 | 危急 |
CA 憑證過期 子事件: 此 CA 憑證已經過期 父系 CA 憑證已經過期 |
CA 憑證已經過期。這個狀況正導致服務無法使用。 | 無法使用服務 |
CA 憑證的剩餘有效期不足一個月 | 如不進行更正,則 CA 憑證將很快過期,導致服務無法使用。目前只有發行使用期限極短的憑證。 | Error |
CA 憑證的有效期剩下不到一半 | CA 憑證達到有效期的一半時,便應予以更新。這可能表示,所發行憑證的有效期限低於預期長度。 | 警告 |
CA 備份失敗 | CA 的系統狀態備份失敗 — 可能導致資訊遺失。 | 危急或錯誤 |
事件 | 指令碼或偵測方法 | 來源與 事件 ID |
---|---|---|
CRL 過期 | Script: Ca_monitor.wsf Job: CheckCRLs |
CA Operations 20 |
CRL 逾期 | Script: Ca_monitor.wsf Job: CheckCRLs |
CA Operations 21 |
CRL 無法使用 子事件: 無法從 Active Directory 擷取 CRL 無法從網頁伺服器擷取 CRL |
Script: Ca_monitor.wsf Job: CheckCRLs |
CA Operations 22 23 |
CA 伺服器失敗 | 原生 MOM 伺服器失敗偵測 | |
CA 作業系統處於危急狀態 | 原生 MOM 伺服器狀態監視 | |
CA 作業系統處於錯誤/警告狀態 | 原生 MOM 伺服器狀態監視 | |
憑證服務」服務作業中 子事件: 用戶端介面離線 管理介面離線 |
Script: Ca_monitor.wsf Job: IsCAAlives |
CA Operations 1 2 |
CA 憑證過期 子事件: 此 CA 憑證已經過期 父系 CA 憑證已經過期 |
Script: Ca_monitor.wsf Job: CheckCACerts |
CA Operations 10 |
CA 憑證的剩餘有效期不足一個月 | Script: Ca_monitor.wsf Job: CheckCACerts |
CA Operations 11 |
CA 憑證的有效期剩下不到一半 | Script: Ca_monitor.wsf Job: CheckCACerts |
CA Operations 12 |
CA 備份被鎖定 (由於前一備份的鎖定檔案仍存在,因此無法執行備份指令碼) | Script: Ca_operations.wsf Job: BackupCADatabase |
CA Operations 30 |
CA 備份失敗 | 儘管您必須依賴 MOM 或其他監視系統來警告備份問題,但此處仍提供 NTBackup.exe 的錯誤碼。(請注意:您必須檢查是否具有系統狀態備份和組織備份兩種備份)。 | Ntbackup 8019 |
其他事件 | Ca_monitor.wsf 執行失敗 | CA Operations 100 |
'String used as the Source in event log events CONST EVENT_SOURCE= "MSS Tools" CONST CA_EVENT_SOURCE= "CA Operations"
'CA Event IDs CONST CA_EVENT_CS_RPC_OFFLINE=1 CONST CA_EVENT_CS_RPC_ADMIN_OFFLINE=2 CONST CA_EVENT_CA_CERT_EXPIRED=10 CONST CA_EVENT_CA_CERT_NEARLY_EXPIRED=11 CONST CA_EVENT_CA_CERT_RENEWAL_DUE=12 CONST CA_EVENT_CRL_EXPIRED=20 CONST CA_EVENT_CRL_OVERDUE=21 CONST CA_EVENT_CRL_NOT_AVAILABLE_LDAP=22 CONST CA_EVENT_CRL_NOT_AVAILABLE_HTTP=23 CONST CA_EVENT_BACKUP_LOCKED=30 CONST CA_EVENT_CA_OTHER=100
您必須指定在出現錯誤時,要產生電子郵件、事件日誌警告,還是兩者均要。預設值只有事件日誌項目。如果您指定使用電子郵件警告,則*必須*提供有效的電子郵件收件者清單 (以逗號分隔) 和 SMTP 伺服器主機名稱或IP 位址。這兩種字串都必須加上引號。
如果您指定使用事件記錄警告,則應變更 CA\_EVENT\_SOURCE (用於所有與 CA 相關的事件) 或 EVENT\_SOURCE (用於所有與 CA 無關的事件) 的參數。
下節將說明監視指令碼的語法及其使用。
**檢查 CA 憑證過期**
執行下列命令,檢查發行 CA (執行指令碼之處) 的憑證 ,以及從任何父系 CA 一直到根 CA 的階層中已發佈的憑證。
Cscript //job:CheckCACerts C:\\MSSScripts\\ca\_monitor.wsf
這個命令會在下列情況下發出警告:
- 「CA 憑證」已過期 (事件 ID 12)
- 「CA 憑證」將於一個月內過期 (事件 ID 11)
- 「CA 憑證」的有效期已過了一半 (事件 ID 12)
**檢查 CRL 過期**
執行下列命令,以檢查從父系 CA 至根 CA 之所有 CA (包括根 CA) 的發行 CA CRL 和已發佈的 CRL。
Cscript //job:CheckCRLs C:\\MSSScripts\\ca\_monitor.wsf
這個命令會在下列情況下發出警告:
- CRL 已過期 (事件 ID 20)
- CRL 已超過「發佈下一個 CRL」日期,且即將過期 (事件 ID 21)
- 無法從 LDAP CDP 擷取 CRL (事件 ID 22)
- 無法從 HTTP CDP 擷取 CRL (事件 ID 23)
目前指令碼中並未檢查 FTP 和 FILE CDP。)
**若要檢查 CA 服務是否正在執行**
請執行下列命令,檢查在其上執行指令碼的 CA。
Cscript //job:IsCAAlive C:\\MSSScripts\\ca\_monitor.wsf
這個命令會在下列情況下發出警告:
- 「CA RPC 用戶端介面」沒有回應 (事件 ID 1)
- 「CA RPC 管理介面」沒有回應 (事件 ID 2)
##### 憑證授權單位安全性監視
「憑證服務」會針對不同的安全性事件,產生對應的各種稽核記錄項目。其中大部份的項目都是日常操作工作的結果。但出現某些事件則表示發生了重要的設定變更,此時您可能會需要進一步調查。
###### 摘要資訊
- **安全性需求**:
- CA 稽核員 (檢閱安全性記錄)
- 透過 MOM (或類似系統) 執行監視的指定安全性監視帳戶
- **頻率**:設定工作
- **技術需求**:
- 操作警告主控台 (例如 MOM)
- 事件檢視器
- Eventquery.vbs (Windows 命令列工具)
###### 工作詳細資訊
下表列出「憑證服務」所產生的稽核事件,以及建議的警告分類。請設定您的監視系統檢查這些事件,並發出適當層級的警告。此外,如果您沒有集中式事件監視系統,請定期 (若可能最好每天一次) 檢閱 CA 伺服器安全性記錄來檢查這些項目。
「成功」事件的預設警告類別為「**資訊**」。任何因 CA 安全性設定變更而產生的「成功」事件,均會被視為「**警告**」事件。所有「**警告**」層級事件均為日常作業中通常不會發生的重大事件。所有**警告**事件都應該對應至已核准的變更要求。如果此種對應關係不存在,請將事件視為可能的安全性破壞,並立即調查。
日常作業時,或對 CA 進行標準變更的過程中,通常不會發生「**失敗**」事件。幾乎所有的失敗事件都是重大事件且必須進行調查 (雖然有時也可能只是因為錯誤的權限指派,而非因為遭受惡意攻擊)。
**附註:** 有幾種情況下例外,例如「事件 792」:**「憑證服務」拒絕了憑證要求**。當要求被「憑證管理員」正當拒絕時,這種狀況會產生「成功」和「失敗」兩種事件,但在不具足夠權限的人員嘗試拒絕要求時則只會產生「失敗」事件。
下表中清單的其他例外是因為您可以用不同方法來變更 CA 的設定。若使用憑證授權單位 MMC 嵌入式管理單元來進行變更,才會記錄事件 789 (稽核篩選器的變更),以及 795 和 796 (CA 設定或內容的變更)。若有人嘗試直接編輯 CA 登錄 (或使用 certutil -setreg 命令) 來變更 CA 設定值,則不會加以記錄。相反的,這些事件會記錄為簡單的「事件 560 物件存取稽核失敗」(請參閱下表的最後一項)。系統會啟用 CA 登錄設定子機碼的稽核,並記錄成功的變更及所有失敗的存取。若要追蹤對於 CA 登錄機碼的變更,請配合使用稽核事件內的**物件名稱**參數,以及**事件 ID** 與**事件類型**,以建立篩選器來產生正確的警告。
除了稽核憑證服務事件,您還必須監視標準的作業系統安全性事件,並產生警告,例如登入事件、權限使用、以及物件存取。CA 登錄和資料庫及記錄目錄已設定為對所有失敗存取和任何成功變更產生警告。您也應考慮在「公開金鑰服務」容器 (位於 Configuration\\Services 目錄) 和 PKI 管理群組上設定稽核。有鑑於監視散佈於各網域控制站的稽核事件很困難,本解決方案並不包含這些設定。如果您有系統 (例如 MOM) 可以合併和篩選這些記錄,請針對所有 Active Directory PKI 管理及設定物件和容器啟用稽核。
**附註:** CA 作業系統的安全性監視已超出本指南的範圍,其內容可能涉及專用的侵入偵測代理程式對安全性事件的處理。如果代理程式偵測到任何安全性破壞的跡象,請結合代理程式的輸出資料,徹底調查「憑證授權單位」稽核事件。
下表中的成功與失敗警告類別,是關於<分類監視警告>程序中定義的警告類別。
**表 11.13:憑證服務稽核事件**
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="25%" />
<col width="25%" />
<col width="25%" />
<col width="25%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >事件 ID</th>
<th style="border:1px solid black;" >事件說明</th>
<th style="border:1px solid black;" >成功警告類別</th>
<th style="border:1px solid black;" >失敗警告類別</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">772</td>
<td style="border:1px solid black;">憑證管理員拒絕了擱置的憑證要求</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">773</td>
<td style="border:1px solid black;">「憑證服務」收到重新提交的憑證要求</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">774</td>
<td style="border:1px solid black;">「憑證服務」撤銷了一個憑證</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">775</td>
<td style="border:1px solid black;">「憑證服務」收到了發佈憑證撤銷清單 (CRL) 的要求</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">警告</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">776</td>
<td style="border:1px solid black;">「憑證服務」發佈了憑證撤銷清單 (CRL)</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">777</td>
<td style="border:1px solid black;">憑證要求延伸已變更</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">778</td>
<td style="border:1px solid black;">一或多個憑證要求屬性已變更</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">779</td>
<td style="border:1px solid black;">「憑證服務」收到了關閉的要求</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">780</td>
<td style="border:1px solid black;">已開始「憑證服務」備份</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">781</td>
<td style="border:1px solid black;">已完成「憑證服務」備份</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">782</td>
<td style="border:1px solid black;">已開始「憑證服務」還原</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">783</td>
<td style="border:1px solid black;">已完成「憑證服務」還原</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">784</td>
<td style="border:1px solid black;">已開始「憑證服務」</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">785</td>
<td style="border:1px solid black;">已停止「憑證服務」</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">786</td>
<td style="border:1px solid black;">已變更「憑證服務」的安全性權限</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">787</td>
<td style="border:1px solid black;">「憑證服務」已擷取保存的金鑰</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">788</td>
<td style="border:1px solid black;">「憑證服務」在資料庫中匯入了一個憑證</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">警告</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">789</td>
<td style="border:1px solid black;">已變更「憑證服務」的稽核篩選器</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">790</td>
<td style="border:1px solid black;">「憑證服務」收到了憑證要求</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">791</td>
<td style="border:1px solid black;">「憑證服務」核准了憑證要求並發行了憑證</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">792</td>
<td style="border:1px solid black;">「憑證服務」拒絕了憑證要求</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">793</td>
<td style="border:1px solid black;">「憑證服務」已將憑證要求的狀態設定為擱置</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">794</td>
<td style="border:1px solid black;">「憑證服務」的憑證管理員設定已變更</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">795</td>
<td style="border:1px solid black;">「憑證服務」中的設定項目已變更</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:<br />
項目:CRLPeriod、CRLPeriodUnits、CRLDeltaPeriod、或 CRLDeltaPeriodUnits<br />
說明 CRL 發佈排程內的變更。CRLDeltaPeriodUnits 的值是 0,表示停用 Delta CRL 發佈</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:PolicyModules\CertificateAuthority_Microsoft<br />
Default.Policy<br />
項目:RequestDisposition<br />
值:1<br />
除非另有指定,否則設定 CA 發出連入要求。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:PolicyModules\CertificateAuthority_Microsoft<br />
Default.Policy<br />
項目:RequestDisposition<br />
值:257<br />
設定 CA 將連入要求保持在擱置狀態。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:ExitModules\CertificateAuthority_Microsoft<br />
Default.Exit<br />
項目:PublishCertFlags<br />
值:1<br />
允許將憑證發佈到檔案系統。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:ExitModules\CertificateAuthority_Microsoft<br />
Default.Exit<br />
項目:PublishCertFlags<br />
值:0<br />
不允許將憑證發佈到檔案系統。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:ExitModules<br />
項目:Active<br />
作用中的<結束>單元發生變更。其值表示新單元的名稱。空白則表示無新單元。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:PolicyModules<br />
項目:Active<br />
作用中的「原則」模組發生變更。其值表示新單元的名稱。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">節點:<br />
項目:CRLPublicationURLs<br />
CDP 或 AIA 中的變更。其值表示 CDP 結果組</td>
<td style="border:1px solid black;">節點:<br />
項目:CACertPublicationURLs<br />
AIA 或 CDP 中的變更。其值表示 AIA 結果組。</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">796</td>
<td style="border:1px solid black;">「憑證服務」的屬性已變更 (請參閱下面的子類型)。</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">類型:4<br />
向 CA 新增範本,或從 CA 移除範本。其值為依名稱和 OID 列出的結果範本。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">類型:3<br />
向 CA 新增 KRA 憑證。其值為憑證的 Base64 型式。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">類型:1<br />
從 CA 移除 KRA 憑證。其值為 KRA 憑證總數。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">類型:1<br />
為保存金鑰而新增/移除的 KRA 憑證數。其值為最後欲使用的憑證數。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">797</td>
<td style="border:1px solid black;">「憑證服務」保存了一個金鑰。</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">798</td>
<td style="border:1px solid black;">「憑證服務」匯入並保存了一個金鑰。</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">799</td>
<td style="border:1px solid black;">「憑證服務」已將 CA 憑證發佈到 Active Directory。</td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">800</td>
<td style="border:1px solid black;">已從憑證資料庫刪除了一行以上的資料行。</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">801</td>
<td style="border:1px solid black;">已啟用角色分離。</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">560</td>
<td style="border:1px solid black;">物件存取<br />
其中:<br />
物件類型:<strong>機碼</strong><br />
物件名稱:<strong>\REGISTRY\MACHINE\SYSTEM\ ControlSet001\Services\CertSvc\Configuration</strong></td>
<td style="border:1px solid black;">Information</td>
<td style="border:1px solid black;">Error</td>
</tr>
</tbody>
</table>
##### 為擱置的憑證要求設定 SMTP 警告
如果您設定某些憑證類型需要「憑證管理員」核准,則這些要求會在 (憑證授權單位 MMC 嵌入式管理單元的) \[擱置要求\] 資料夾中排入佇列,直到獲得核准或拒絕為止。您可以設定在每次將要求排入佇列時發出電子郵件警告。自動核准的要求不會發出電子郵件警告。
您也可以為其他 CA 事件設定電子郵件警告。「憑證服務」線上說明文件提供有關如何設定的資訊。
###### 摘要資訊
- **安全性需求**:CA 系統管理員
- **頻率**:設定工作
- **技術需求**:
- 文字編輯器
- SMTP 伺服器和收件者信箱
###### 工作詳細資訊
constants.vbs 檔中所設定、並由這個程序使用的 SMTP 伺服器和收件者清單數值,亦由<監視憑證服務狀態和可用性>程序所描述的 SMTP 警告來使用。若您需要在這兩項程序中針對 SMTP 伺服器與收件者使用不同設定,可以暫時變更 constants.vbs 內的值,然後執行這個現有的程序。這個程序內的指令碼將這些設定儲存到 CA 登錄中。一旦執行後,constants.vbs 可以變更為先前的值,而由<監視憑證服務狀態和可用性>程序內的監視指令碼來使用。(該程序中啟用或停用電子郵件警告的設定 - ALERT\_EMAIL\_ENABLED - 對此程序中的警告沒有影響。)
**為擱置的要求啟用電子郵件警告**
1. 在指令檔 C:\\MSSScripts\\constants.vbs 中,為電子郵件收件者和 SMTP 伺服器設定正確的值:
```
'Alerting parameters
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,
PKIOps@woodgrovebank.com"
CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com" 'SMTP host to use
```
**附註:** 本檔案摘錄中的縮排行是為顯示方便而對前一行進行的換行 - 它們在檔案中應為一行。
2. 執行以下指令以啟用排入佇列之擱置要求的電子郵件警告:
cscript //job:SetupSMTPAlerts C:\\MSSScripts\\ca\_monitor.wsf
#### 工作排程
進行工作排程時必須不斷地組織所有工作和程序,使其以最有效率的順序排列,讓系統輸送量和使用率達到最大,以滿足服務層級協議 (SLA) 的要求。工作排程與服務監視和控制以及容量管理密切相關。
##### 對發行 CA 的工作排程
為維護「憑證服務」基礎結構的順利運作,必須在 CA 上執行許多重複性的工作。將這些工作自動化可以降低操作費用。
###### 摘要資訊
- **安全性需求**:CA 上的本機系統管理員
- **頻率**:設定工作
- **技術需求**:
- Windows 工作排程器
- MOM (如果適用)
###### 工作詳細資訊
下表列出在「發行 CA」上執行的自動化工作。這些工作在本章其他地方的工作中定義 (顯示於**參照的工作**欄);下表僅供參考。
只有在「發行 CA」上會執行自動化工作。由於「根 CA」可能會長期關閉,因此在該電腦上不可能維持可靠的排程。
**表 11.14:在發行 CA 上的排程工作清單**
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="25%" />
<col width="25%" />
<col width="25%" />
<col width="25%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >工作說明</th>
<th style="border:1px solid black;" >排程</th>
<th style="border:1px solid black;" >執行程式</th>
<th style="border:1px solid black;" >參照的工作</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">將 CA 的系統狀態備份到檔案</td>
<td style="border:1px solid black;">每日</td>
<td style="border:1px solid black;">Windows 工作排程器</td>
<td style="border:1px solid black;">設定及執行發行 CA 資料庫備份<br />
設定及執行根 CA 資料庫備份</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">將 CA 的檔案備份到備份儲存區</td>
<td style="border:1px solid black;">每日一次 (在系統狀態備份之後執行)</td>
<td style="border:1px solid black;">組織備份排程器</td>
<td style="border:1px solid black;">無 (由您的組織定義)</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">將 CRL 發佈到 IIS</td>
<td style="border:1px solid black;">每小時一次</td>
<td style="border:1px solid black;">Windows 工作排程器</td>
<td style="border:1px solid black;">將發行 CA 和憑證發佈到 IIS</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">監視線上 CA 狀態</td>
<td style="border:1px solid black;">每小時一次</td>
<td style="border:1px solid black;">MOM 或 Windows 工作排程器</td>
<td style="border:1px solid black;">監視憑證服務的狀態和可用性</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">監視 CRL 發行和發佈狀態</td>
<td style="border:1px solid black;">每小時一次</td>
<td style="border:1px solid black;">MOM 或 Windows 工作排程器</td>
<td style="border:1px solid black;">監視憑證服務的狀態和可用性</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">監視 CA 憑證有效性</td>
<td style="border:1px solid black;">每日</td>
<td style="border:1px solid black;">MOM 或 Windows 工作排程器</td>
<td style="border:1px solid black;">監視憑證服務的狀態和可用性</td>
</tr>
</tbody>
</table>
#### 其他操作工作
PKI 的維護涉及許多其他操作工作。許多工作通常並非定期需要,但是可能偶爾需要,或做為處理偶發支援事件的一部份。
Windows Server 2003 憑證服務產品的說明文件描述許多這樣的工作,並提供管理方面的背景資訊。本章或隨附的《建置指南》章 (<實作公開金鑰基礎結構>),都沒有討論許多這樣的工作。即使本解決方案指南涵蓋這些工作,產品說明文件也提供有用的補充資訊。
請參閱本章結尾的<其他資訊>一節,在其中尋找上述文件的連結,以得知如何執行下列管理工作:
- 開始或停止憑證授權單位服務。
- 設定安全性權限,並委派憑證授權單位的控制權限。
- 檢視憑證授權單位的憑證。
- 設定存取憑證授權單位網頁的安全性。
- 設定憑證管理員限制。
- 在外部 Active Directory 樹系中發佈憑證。
- 於發生憑證事件時發送電子郵件。
- 使用「憑證授權單位」嵌入式管理單元。
- 管理憑證的撤銷。
- 在獨立式憑證授權單位上管理憑證要求。
- 管理企業憑證授權單位的憑證範本。
- 管理金鑰保存和修復。
- 變更憑證授權單位的原則設定。
- 變更憑證授權單位的<原則>或<結束>單元。
- 管理角色型管理。
[](#mainsection)[回到頁首](#mainsection)
### 支援象限工作
支援象限內的 SMF 包括被動式與主動式工作,以維護需要的服務等級。反應功能取決於組織對事件和問題快速作出反應並加以解決的能力。更多的可行主動式功能嘗試避免服務中斷。這些功能依據預先定義的閾值而密切監視解決方案服務,在服務等級遭受影響之前就能識別問題。如此一來,作業人員便有充裕時間反應並解決可能的問題。
「支援象限」和「作業象限」內描述的「服務控制」與「監視 SMF」密切有關。服務控制和監視提供必要資訊,而作業與支援人員藉由這些資訊來偵測問題。本節內說明的程序,目的是處理您會遭遇的最常見事件,並讓您能從中復原。
本節包含與下列「服務管理功能」相關的資訊:
- 事件管理
沒有工作屬於其餘 SMF:
- 問題管理 (問題診斷將在本章內稍後的<疑難排解>一節中說明)
- 服務中心
**附註:** 每一工作說明包括下列摘要資訊:安全性需求、頻率、與技術需求。
#### 事件管理
事件管理是管理及控制客戶或 IT 夥伴報告之錯誤與干擾 (發生於 IT 服務的使用或實作中) 的程序。事件管理的主要目標是儘快還原正常服務作業並減少公司營運中的不良影響,確保服務具有最佳品質和可用性。「正常的服務作業」在此處定義為 SLA 限制內的服務作業。
本節與<疑難排解>一節密切相關。但<疑難排解>一節介紹問題的識別和診斷,而本節則說明用來解決這些問題的最常見工作。
<疑難排解>一節中所涵蓋的事件包括:
- 伺服器沒有回應
- CRL 發佈失敗
- CRL 未發行
- 用戶端無法註冊
- 安裝了需要重新啟動的安全性更新
- 永久的伺服器失敗
- 已遺棄的憑證需要撤銷
- 無法及時還原伺服器來進行 CRL 或憑證發行
- 終端實體憑證已洩漏
- 發行 CA 的憑證已洩漏
- 根 CA 的憑證已洩漏
這些事件大都與以下章節中詳述的一或多個程序有直接關係。在其他情況下 (例如用戶端註冊失敗),需要執行的事件回應程序會較為複雜,並在<疑難排解>一節中進一步討論。
##### 重新啟動「憑證服務」服務
基於一些操作上的理由,您必須重新啟動「憑證服務」。(例如,在重新設定許多 CA 屬性後,您必須重新啟動「憑證服務」,變更才會生效。) 在某些情況下,如果服務已停止回應或運作不正常,也需要重新啟動「憑證服務」。
###### 摘要資訊
- **安全性需求**:CA 上的本機系統管理員
- **頻率**:需要時
- **技術需求**:
- 憑證授權單位 MMC 嵌入式管理單元
- Net.exe
###### 工作詳細資訊
重新啟動服務的方法有很多種,其中任何一種都可適用於本工作。
**重新啟動 CA 服務**
1. 確定目前沒有個體正在與 CA 交易。如果時間允許,請向可能受到影響的使用者發出通知。
2. 在「憑證授權單位 MMC」中,選取 \[CA\] 物件。
3. 在 \[工作\] 功能表中,按一下 \[停止服務\],或在命令提示中鍵入:
net stop "Certificate Services"
4. 在 \[工作\] 功能表中,按一下 \[開始服務\],或在命令提示中鍵入:
net start "Certificate Services"
**附註:** 在已啟用稽核功能的情況下,「憑證服務」可能需要很長時間才能關閉並重新啟動 - 非常大的資料庫可能需要 10 分鐘以上。使用稽核功能會延長整個伺服器的關機與啟動程序,因為「憑證服務」必須計算整個資料庫的雜湊,來建立啟動和關閉稽核項目。如果不對啟動和關閉執行稽核,便不會發生這個延遲。
##### 重新啟動 CA 伺服器
基於許多操作上的原因,您可能需要重新啟動 CA 伺服器,其中包括套用作業系統更新時。如果服務已停止回應或運作不正常,且無法透過重新啟動服務程序來徹底重新啟動服務,則您也需要重新啟動伺服器。
###### 摘要資訊
- **安全性需求**:CA 上的本機系統管理員
- **頻率**:需要時
- **技術需求**:Net.exe
###### 工作詳細資訊
**重新啟動 CA 服務**
1. 確定目前沒有個體正在與 CA 交易。如果時間允許,請向可能受到影響的使用者發出通知。
2. 如果可能,請執行下列命令,停止「憑證服務」以避免使用者在關機期間與 CA 連線:
net stop "Certificate Services"
3. 依正常的作業系統程序重新啟動電腦。除非確定「憑證服務」程序已經停止回應,否則請勿嘗試取消「憑證服務」程序或關閉伺服器電源。終止「憑證服務」程序可能會損壞「憑證服務」資料庫,導致您必須從備份進行還原。
**附註:** 正如先前工作中所述,稽核啟動與關閉程序可能會造成「憑證服務」花費長時間才能關機以及再次啟動。如果不對啟動和關閉執行稽核,便不會發生這個延遲。
##### 從備份還原 CA
如果軟體或硬體嚴重損壞,造成無法啟動 CA,您必須從備份來還原伺服器和金鑰資料。
###### 摘要資訊
- **安全性需求**:
- CA 的本機系統管理員
- CA 備份操作員 (僅於執行還原時)
- **頻率**:需要時
- **技術需求**:
- Windows 備份
- 組織備份系統
###### 工作詳細資訊
請執行下列步驟,從備份來還原 CA:
**注意:**如果您使用的是 HSM,則此程序將不會如此運作。按照 HSM 廠商的指示來進行備份與還原,或是保護機碼資料和存取機碼。
**從備份還原 CA**
1. 您必須將作業系統還原至能夠再次執行「憑證服務」的狀態,如此可能需要重新安裝 Windows。如果真是這樣,請遵循《建置指南》中的指示,安裝基本作業系統和系統元件。在此過程中,不必採取任何安全性或其他設定措施。
**警告:**如果您需要在發行 CA 上重新安裝 Windows,請勿對第二個磁碟機進行重新分割和格式化。因為該磁碟機所包含的 CA 資料庫可能仍然完整。
2. 如果可能,請保留「CA 資料庫」(位於「根 CA」的 %systemroot%\\System32\\CertLog中,或「發行 CA」的 D:\\CertLog 中) 和 CA 記錄 (位於 %systemroot%\\System32\\CertLog )。還原 CA 之前,請先備份這些資料夾中的檔案。資料庫和記錄可能並未受到系統失敗的影響。記錄中包含所需的資訊,可以重新執行在 CA 上最後一次備份和伺服器失敗這段期間內發生的所有交易。但是,還原「系統狀態」備份可能會覆寫記錄及現有的資料庫,因此在開始系統還原之前,請先保留這些資訊。
3. 插入含有 CA 最近一次備份的備份媒體,將「系統狀態」備份檔案還原到適當的磁碟區 (如果有第二磁碟機可以使用,建議您使用此磁碟機)。
4. 啟動「Windows 備份」程式。於 \[還原\] 索引標籤中,在左邊窗格上的 \[檔案\] 物件上按一下滑鼠右鍵,然後按一下 \[目錄檔案\]。
5. 確定已選取 \[原始位置\] 作為還原檔案的目的位置,然後按一下 \[開始還原\],以還原「系統狀態」。完成之後,重新啟動伺服器,並在系統重新啟動時停止「憑證服務」。
6. 若在步驟 2 中保留 CA 記錄,請將它們複製回「憑證服務」記錄資料夾 (%systemroot%\\System32\\CertLog)。現在準備好對已還原的資料庫重新執行記錄,以插入自上次備份以來所發生的任何交易。
**附註:** 如果您在步驟 2 中能儲存完整的 CA 資料庫與記錄,您可以將這些復原到伺服器中,而不用按照本步驟 (步驟 6) 內的程序。「憑證服務」服務必須先停止,才能將 CA 資料庫與記錄複製回伺服器中。
7. 啟動 \[憑證服務\]。
##### 將 CA 憑證和金鑰組還原到暫時電腦中
如果發生失敗的 CA,而無法及時還原以發行新 CRL (或更新重要憑證) 時,您必須在暫時電腦上安裝 CA 憑證和金鑰,以便您可以用它們來重新簽署及延長現有 CRL 或憑證的有效期。
###### 摘要資訊
- **安全性需求**:暫時電腦上的本機系統管理員
- **頻率**:需要時
- **技術需求**:
- Certutil.exe
- Cipher.exe
###### 工作詳細資訊
本工作說明如何將 CA 憑證和私密金鑰還原到暫時電腦中。如果 CA 已經更新,您將擁有一份以上的憑證與金鑰組的備份。您應復原這個程序的最近金鑰與憑證檔案。
**重要事項:**雖然電腦安裝了 CA 金鑰,您仍應以與 CA 相同等級的安全性預防措施來保護它。如果您還原的是離線 CA 的金鑰,請確定電腦是處於離線狀態。完成金鑰還原後,建議您重新格式化電腦的磁碟。
**注意:**如果您使用的是 HSM,則此程序將不會如此運作。按照 HSM 廠商的指示來進行備份與還原,或是保護機碼資料和存取機碼。
**將 CA 金鑰和憑證還原到暫時電腦中**
1. 請確定電腦已中斷網絡連線。以本機「系統管理員」的身分登入,並將 CAKeySigner 建立為本機使用者帳戶。
2. 使用此新帳戶登入。
3. 插入含有待測試 CA 金鑰備份的磁碟。
4. 使用 \[Windows 檔案總管\],瀏覽至 P12 金鑰檔案,選取最近的檔案,然後連按兩下以啟動 \[憑證匯入精靈\]。
5. 系統提示時輸入密碼。不要選取能使金鑰獲得最高保護層級的核取方塊,或能使金鑰匯出的核取方塊。
6. 選取 \[個人 儲存區\] 作為還原 CA 金鑰的位置。
7. 開啟「憑證 MMC 嵌入式管理單元」後瀏覽至個人存放區。尋找已還原 CA 的「CA 憑證」,然後開啟該憑證,驗證您是否已取得對應的私密金鑰。
現在,您可以使用已還原的 CA 金鑰,執行任何所需的重新簽署工作。請參閱<重新簽署 CRL 或憑證以延伸其有效期>程序。完成後,請使用下列程序從電腦上清除金鑰。
**從系統上清除金鑰**
1. 以本機「系統管理員」的身分登入,然後刪除 TestCAKeys 帳戶的使用者設定檔 (使用 \[我的電腦\] 中的 \[進階內容\])。
2. 刪除 CAKeySigner 帳戶。
3. 執行以下命令,安全地清除磁碟未配置的區域以永久性移除金鑰的追蹤:
Cipher /W:%AllUsersProfile%
**附註:** 指定 %allusersprofile% 作為路徑,可以確保 Cipher.exe 會在保存使用者設定檔的磁碟機上執行。它會清理整個磁碟機而並不僅僅是指示的路徑。
##### 重新簽署 CRL 或憑證以延長其有效期
如果由於某種伺服器失敗而導致 CA 無法使用,您可以重新簽署 CRL 或憑證檔案,來延長其有效期限。這個動作對於維護服務可能是必須的。
###### 摘要資訊
- **安全性需求**:還原 CA 金鑰的過程中所建立的暫時帳戶
- **頻率**:需要時
- **技術需求**:Certutil.exe
###### 工作詳細資訊
重新簽署憑證或 CRL,可以延長其有效期。依預設,會使用現有的有效期,並自簽署日起重新計算。例如,如果 CRL 的原本有效期為一個月,則新的有效期將為重新簽署日起一個月。如果有必要,可在 Certutil 命令列中指定不同的有效期。
**重新簽署 CRL 或憑證**
1. 取得要重新簽署的 CRL 或憑證複本。
2. 登入已還原 CA 金鑰或憑證 (原本用來簽署 CRL 或憑證者) 的電腦。(請參閱之前的程序<將 CA 金鑰和憑證還原到暫時電腦中>。)請使用該程序中所建立的帳戶來登入。
3. 執行下列命令,以 CRL 或憑證檔案的名稱來取代其中的 *OldFile.ext*,並以所需的輸出名稱來替代其中的 *NewFile.ext*。
Certutil -sign *OldFile.ext NewFile.ext*
4. 在系統提示您選取要使用的憑證時,請選取 CA 憑證。
5. 如果您重新簽署 CRL,則現在應該會依需要發佈到 CDP (請參閱<作業象限工作>一節內用於發佈 CRL 的程序)。
##### 撤銷終端實體憑證
遇到下列情況時,可能必須撤銷憑證:
- 已從憑證資料夾中撤銷與憑證有關的功能或權限。
- 憑證金鑰已洩漏。
- 發行憑證的 CA 已洩漏。
###### 摘要資訊
- **安全性需求**:憑證管理員
- **頻率**:需要時
- **技術需求**:憑證授權單位 MMC 嵌入式管理單元
###### 工作詳細資訊
本程序描述了撤銷終端實體憑證 (亦即發給 CA 以外之任何個體的憑證) 的步驟。如欲撤銷 CA 憑證,請遵循其他概述說明中的步驟。
**撤銷憑證**
1. 以「憑證管理員」成員的身份登入,在「憑證授權單位」資料庫 (位於 \[憑證授權單位 MMC\]) 中找到欲撤銷的憑證。(在 CA 的 \[發出的憑證\] 資料夾之 \[檢視\] 功能表中) 使用 \[篩選器\] 選項尋找憑證。
2. 選取憑證,然後在 \[工作\] 功能表中,按一下 \[撤銷\]。
3. 選取適當的撤銷原因碼。除非撤銷的原因屬於預先定義的原因碼,否則請選取 \[未指定\]。
**重要事項:**只有 \[憑證保留\] 原因碼會允許日後復原該憑證。其他原因碼都將導致憑證永久停用。但是,請不要單單因為將來有可能會復原該憑證而使用 \[憑證保留\] 原因碼。您應該只有在真正需要暫時停用憑證時才使用此原因碼。
##### 撤銷被遺棄的憑證
在某種伺服器失敗後從備份還原 CA 時,於上次備份至伺服器失敗這段期間之內所發行的憑證可能不會在「憑證」資料庫中。這些憑證稱為「被遺棄」的憑證。如果 CA 記錄被破壞,而從備份還原後仍無法對 CA 資料庫重新執行,則會出現這種狀況。若發生這種狀況,便無法透過正常程序撤銷任何這些「被遺棄」的憑證。
###### 摘要資訊
- **安全性需求**:憑證管理員
- **頻率**:需要時
- **技術需求**:Certutil.exe
###### 工作詳細資訊
若要撤銷被遺棄的憑證,必須取得欲撤銷憑證的複本或該憑證的序號。
**撤銷被遺棄的憑證**
1. 以「憑證管理員」成員的身份登入欲撤銷發行憑證的 CA。
2. 如果無法取得憑證複本,請執行下列命令,建立一個虛擬憑證並將其儲存為 CertToRevoke.cer。請以欲撤銷憑證的序號替代其中的 *SerialNumber*。
Certutil -sign *SerialNumber* CertToRevoke.cer
3. 出現系統提示時,請選取目前的 CA 憑證來簽署虛擬憑證。
4. 建立一個虛擬憑證 (或取得欲撤銷憑證的真實複本) 之後,您需要將它匯入 CA 資料庫。執行下列命令,將憑證匯入憑證資料庫。CertToRevoke 可以是實際欲撤銷憑證的複本,或是上述步驟中所建立的虛擬憑證。
Certutil -importcert CertToRevoke.cer
5. 按照標準程序來撤銷憑證 (詳細說明請參閱先前的<撤銷終端實體憑證>程序)。
**重要事項:**Windows Server 2003 SP1 之前的 Certutil 版本存在一個問題,在執行 Windows Server 2003 的電腦上建立虛擬憑證的作業會失敗。如果您使用比這個舊的版本,而且無法找到原始憑證的複本,您可以先採取另一種方法,即選取一個現有的憑證,然後使用二位元編輯器,將其序號替換為欲撤銷憑證的序號。這個經過修改的憑證可以使用下列命令重新簽署:
Certutil -sign ModifiedCert.cer CertToRevoke.cer
可以使用本程序的步驟 4,將新建立的憑證匯入資料庫。
##### 撤銷及取代發行的 CA 憑證
如果 CA 的私人金鑰因某種原因而洩漏 (或懷疑可能洩漏時),則您應撤銷該 CA 憑證,並使用新的金鑰組來發行新的 CA 憑證。
###### 摘要資訊
- **安全性需求**:憑證管理員
- **頻率**:需要時
- **技術需求**:憑證授權單位 MMC 嵌入式管理單元
###### 工作詳細資訊
因為「根 CA」的 CRL 發行週期非常長,所以若只是撤銷 CA 憑證並發行新的 CRL,則撤銷後必須經過很長一段時間,使用者才會收到撤銷通知。為保證先前由受損 CA 發行的所有憑證儘快被拒絕,此 CA 發行的所有憑證也被分別撤銷。
**重要事項:**所有憑證使用者必須重新註冊新的憑證。
**撤銷發行 CA 憑證**
1. 以「憑證管理員」成員的身份登入「發行 CA」,然後開啟 \[憑證授權單位 MMC 嵌入式管理單元\]。
2. 選擇 \[發行憑證\] 資料夾中的所有憑證,然後在 \[所有工作\] 功能表中,按一下 \[撤銷憑證\]。選取 \[CA 洩漏\] 作為原因碼。
3. 增加 \[CRL 發佈間隔\],以配合 CA 憑證的使用期限。增加這個間隔會確保它絕對高於 CA 已發行的所有憑證的剩餘有效期限。
4. 清除 \[發佈 Delta CRL\] 核取方塊 (若已選取)。
5. 在 \[撤銷憑證\] 資料夾的 \[所有工作\] 功能表中,按一下 \[發佈\],再按 \[新增 CRL\]。
6. 以「憑證管理員」成員的身份登入「根 CA」,然後開啟 \[憑證授權單位 MMC\]。
7. 在 \[發行憑證\] 資料夾中,找到要撤銷的 CA 憑證,然後在 \[所有工作\] 功能表上,按一下 \[撤銷憑證\]。選取 \[金鑰洩漏\] 作為原因碼。
8. 請遵循<作業象限工作>一節內的<發佈離線 CRL 和 CA 憑證>程序 (可以忽略程序中關於 CA 憑證發佈的部份)。
9. 返回「發行 CA」並遵循<作業象限工作>一節內的<更新發行 CA 憑證 >程序。
憑證使用者現在可以使用新的 CA 重新註冊。已自動註冊憑證將被自動註冊。
##### 撤銷及取代根 CA 憑證
如果根 CA 的私密金鑰因某種原因而洩漏 (或懷疑可能洩漏時),則您必須將該 CA 憑證從信任點移除,並撤銷該 CA 及其所有次級 CA 所發行的所有憑證。您必須使用新金鑰來更新「根 CA」憑證及其所有次級 CA 的憑證,然後將其重新發佈到 Active Directory。通常不可能撤銷「根 CA」憑證。通常 CA 憑證不包括可從中檢查撤銷狀態的 CDP。不論如何,若 CA 使用自己的憑證簽署 CRL 來證明自身的撤銷,嚴格說來並不合法。(因為這樣需要使用已洩漏的憑證來簽署含有本身遭撤銷憑證的 CRL!)
###### 摘要資訊
- **安全性需求**:
- 憑證管理員
- CA 的本機系統管理員 (以執行 CA 更新子工作)
- **頻率**:需要時
- **技術需求**:憑證授權單位 MMC 嵌入式管理單元
###### 工作詳細資訊
**附註:** 完成此程序後,所有憑證使用者必須重新註冊新憑證。
**撤銷根 CA 憑證**
1. 以「憑證管理員」成員的身份登入「發行 CA」,然後開啟 \[憑證授權單位 MMC 嵌入式管理單元\]。
2. 選擇 \[發行憑證\] 資料夾中的所有憑證,然後在 \[所有工作\] 功能表中,按一下 \[撤銷憑證\]。選取 \[CA 洩漏\] 作為原因碼。
3. 增加 \[CRL 發佈間隔\],以配合 CA 憑證的使用期限。增加這個間隔會確保它絕對高於 CA 已發行的所有憑證的剩餘有效期限。
4. 清除 \[發佈 Delta CRL\] 核取方塊 (若已選取)。
5. 在 \[撤銷憑證\] 資料夾的 \[所有工作\] 功能表中,按一下 \[發佈\],然後再按一下 \[新增 CRL\]。重覆步驟 1 至 5,找回所有次級 CA。
6. 以「憑證管理員」成員的身份登入「根 CA」,然後開啟 \[憑證授權單位 MMC 嵌入式管理單元\]。
7. 選擇 \[發行憑證\] 資料夾中的所有憑證,然後在 \[所有工作\] 功能表中,按一下 \[撤銷憑證\]。選取 \[CA 洩漏\] 作為原因碼。
8. 增加 \[CRL 發佈間隔\],以配合 CA 憑證的使用期限。增加這個間隔會確保它絕對高於 CA 已發行的所有憑證的剩餘有效期限。
9. 清除 \[發佈 Delta CRL\] 核取方塊 (若已選取)。
10. 請遵循<更新根 CA 憑證>的作業程序。
11. 返回「發行 CA」並遵循<更新發行 CA 憑證 >的作業程序。
憑證使用者現在可以使用新的 CA 重新註冊。已自動註冊憑證將被自動註冊。
**重要事項:**更新「根 CA」憑證是非常重要的事件,在這種涉及撤銷子系 CA 和已發行憑證的情況中尤其如此。請務必通知任何受到影響的新根憑證之應用程式擁有者,因為他們可能需要將這個新的根憑證設定到自己的應用程式。
[](#mainsection)[回到頁首](#mainsection)
### 最佳化象限工作
最佳化象限包括在維護或改進服務層級時用於管理成本的 SMF。工作包括中斷/事件的查閱、成本結構的檢驗、人員評估、可用性、效能分析及容量預測。
本節包含與下列 SMF 相關的資訊:
- 容量管理
沒有工作屬於其餘 SMF:
- 服務層級管理
- 財務管理
- 可用性管理
- IT 服務連續性管理
- 人力管理
**附註:** 每一工作說明包括下列摘要資訊:安全性需求、頻率、與技術需求。
#### 容量管理
容量管理這一程序可以規劃、調整及控制服務解決方案容量,以滿足在 SLA 中提出之效能層級內的使用者需求。若要滿足這個需求,需要服務解決方案的使用狀況、模式與尖峰負載特性,以及所述之效能需求方面的資訊。
##### 決定發行 CA 的最大負載
本節提供有關「發行 CA」之最大可能負載的資訊。
雖然通常 CA 不會承受很大的負載,但有時也會發生負載急劇升高的狀況。CA 上出現最大負載的時刻通常是尖峰登入時段,或是新憑證類型剛發佈階段的啟動時間。同樣地 (但較不常見),大量憑證或 CA 憑證被撤銷,則重新註冊的使用者和電腦也會造成異常的活動尖峰。
###### 摘要資訊
- **安全性需求**:無
- **頻率**:設定工作
- **安全性需求**:無
###### 工作詳細資訊
Microsoft 的內部測試結果顯示,對於一般「企業 CA」,高負載時的效能瓶頸是來自與 Active Directory 的互動。比起查詢目錄以擷取憑證主體資訊並將憑證發佈回 Active Directory,簽署和發行憑證工作所造成的負荷則顯得相當輕。
以尖峰負載情況下產生的數量為例,假定已啟用新憑證類型且要求所有使用者和電腦均註冊此種類型的憑證:
- 使用者數量:3,000
- 電腦數量:3,000
- 「企業 CA」的最大發行速度約為每秒鐘 30 個憑證 (或每分鐘 1,800 個憑證)。
這些數字代表最短的總註冊時間是 3.3 分鐘。如果有 15,000 位使用者和相同數量的電腦同時註冊,註冊時間將會延長為 16.6 分鐘。
您必須決定組織可能的最大尖峰註冊負載,並計算總共的註冊時間。如果時間長到無法接受,而且您無法以任何方式擴散註冊,就必須考慮部署多個「發行 CA」。應部署這些「發行 CA」以區隔 Active Directory 站台,以便它們使用個別的網域控制站。
##### 決定發行 CA 的儲存和備份需求
本節提供 CA 儲存參數的容量詳細資訊。這些詳細資料有助於容量規劃員計算線上磁碟與離線備份儲存的未來儲存需求。
###### 摘要資訊
- **安全性需求**:無
- **頻率**:需要時
- **安全性需求**:無
###### 工作詳細資訊
以下內容列出對「CA 資料庫」大小、「CA 資料庫」記錄檔大小、CRL 大小及「備份視窗」(例如:備份 CA 資料庫的時間) 的假設和大小計算結果。
以下計算均以這些假設為基礎:
- 3,000 名使用者、3,000 台電腦和 100-300 台伺服器。
- 每年發給每個終端實體五個憑證,每個憑證的有效期均為一年。
- 憑證會在資料庫中保留五年。
- 資料庫每天備份 (截斷資料庫記錄)。
**憑證資料庫大小**
每個憑證項目在資料庫中約佔 20 KB (將私密金鑰與憑證一同儲存的憑證裡,每份憑證應允許額外的 10 KB)。快速計算的結果如下:
- 不論何時,都有 150,000 個憑證儲存在資料庫中。
- 憑證資料庫的總大小為 3 GB。
擁有 15,000 名使用者的組織,憑證資料庫的大小是 15 GB。
**憑證資料庫記錄檔的平均大小**
- 每天有 750 個憑證。
- 記錄檔的平均大小為 5 MB。
擁有 15,000 位使用者的組織,每天發行 3,750 份憑證,建立的最大紀錄大小是 25 MB。
**CRL 大小**
CRL 項目約為 30 位元組。一般而言,約 10% 的已發行憑證會遭撤銷。已超出有效期的已撤銷憑證不包括在 CRL 之內。
- 不論何時,都有 30,000 個憑證正處於有效期內。
- CRL 中會有 3,000 個憑證。
- CRL 大小為 90 KB。
對於擁有 15,000 名使用者的組織,CRL 內將有 15,000 份憑證,其 CRL 大小為 440 KB。
**憑證資料庫的備份窗口**
假設在理想條件下執行的網路備份使用 100 Mbps (每秒百萬位元) 專用交換器與備份伺服器進行通訊,則 3 GB 的資料庫加上額外 500 MB 的系統狀態資料可在 15-20 分鐘左右完成備份。擁有 15,000 位使用者以及 15 GB 憑證資料庫的組織,可在 2 小時內完成備份。
[](#mainsection)[回到頁首](#mainsection)
### 變更象限工作
變更象限包括識別、檢閱及核准變更,並將變更併入管理 IT 環境所需的程序。變更包括硬資產和軟資產,以及特定程序的變更。
變更程序的目的是將新的技術、系統、應用程式、硬體、工具、程序,以及角色和責任的變更快速地引入 IT 環境,同時儘可能降低其對服務的干擾。
本節包含與下列 SMF 相關的資訊:
- 變更管理
- 設定管理
- 版本管理
**附註:** 每一工作說明包括下列摘要資訊:安全性需求、頻率、與技術需求。
#### 變更管理
變更管理 SMF 負責管理 IT 環境中的變更。變更管理程序的關鍵目標,是確保受特定變更影響的所有廠商都認識並瞭解變更即將產生的影響。由於大多數系統都是緊密相關的,因此對系統某一個部份所作的任何變更都可能嚴重影響到系統的其他部分。變更管理會嘗試在部署變更之前,先對所有受影響的系統和程序進行識別,以降低或消除任何負面影響。一般而言,其「目標」或受管理的環境是生產環境,但也應同時包含關鍵整合、測試及臨時環境。
針對 PKI 所作的所有變更,都應遵循下列的標準 MOF 變更管理程序:
1. **變更要求**。透過提交變更要求 (RFC),正式開始執行變更。
2. **變更分類**。以變更的急迫性及其對基礎結構或使用者的影響為標準,指定變更的優先順序和類別。此指派會影響實作速度和路由。
3. **變更授權**。變更管理員和變更核准委員 (CAB) (一個由 IT 和業務代表所組成的委員會) 針對變更所作的考量以及核准或拒絕。
4. **變更開發**。變更的規劃和開發 (一個範圍變化相當大的程序,包括對重要暫時里程碑的檢閱)。
5. **變更發佈**。發佈變更並將其部署到生產環境中。
6. **變更檢閱**。是一個實作後程序,可以檢閱變更是否已達成之前為其建立的目標,並決定要讓變更生效還是將其還原。
這一節說明了一些關鍵變更的變更開發程序,您的環境可能定期需要這些程序。每一個變更開發程序都將擁有同系列的變更發佈程序,說明如何在生產中部署變更。
##### 管理作業系統更新
「憑證服務」的安全性更新管理,是一般 Windows 補充程式管理的一部份。這是由兩份 Microsoft 的解決方案指南所涵蓋:使用 Microsoft Systems Management Server (SMS) 或 Microsoft Software Update Services (SUS) 來處理 Windows 作業系統更新的遞送。如需關於如何取得的詳細資料,請參閱本章末尾的<其他資訊>一節。
補充程式管理包含版本管理元件、設定管理元件以及變更管理元件。而這三種 SMF 都已包括在先前段落的說明文件中。
###### 摘要資訊
- **安全性需求**:CA 上的本機系統管理員
- **頻率**:設定工作
- **技術需求**:安全性更新散發基礎結構 (如 SMS 或 SUS)
##### 新增憑證範本
您新增新憑證範本,以允許發行新的憑證類型;您可能需要如此,因為系統中部署了新的應用程式,或是因為現有的應用程式要求新的功能。此外,更新現有憑證類型的程序中也需要執行這件工作。
###### 摘要資訊
- **安全性需求**:企業 PKI 系統管理員
- **頻率**:需要時
- **技術需求**:憑證範本 MMC 嵌入式管理單元
提交新憑證類型要求之前,請先在足以代表生產環境的測試環境中對其執行測試。
請記錄新憑證類型的要求,並包含下列內容:
- 要求新增範本的原因
- 評估對使用者和基礎結構的影響
- 評估不執行變更的所有影響
- 測試變更的結果
此文件應包含關於憑證原則和憑證實施準則 (CPS) 的更新。然後,必須就其優先順序和影響進行評估。變更一經核准後,即可實施 (雖然尚未發佈)。
###### 工作詳細資訊
下列程序僅能在測試環境中執行。在生產環境中執行此變更的程序已記錄在<發佈新憑證範本>程序中。
**實作新憑證範本**
1. 以「企業 PKI 系統管理員」成員的身份登入,然後開啟 \[憑證範本 MMC 嵌入式管理單元\]。
2. 新範本是由複製現有範本而建立。選取適當的範本作為新範本的基礎 – 範本應儘量類似您要建立的範本。
**重要事項:**請確定來源範本的基本範本類型 (使用者或電腦) 與新範本的主體類型相符,因為無法在範本編輯器中變更類型。
3. 請根據您的需要,編輯範本的詳細資訊。如需此步驟的詳細資訊,請參閱本機說明系統中的產品文件,或線上<其他資訊>一節內的參考資料。
4. 如果您是以此範本來取代現有範本,則必須將被取代範本新增到新範本內容裡**被取代範本**的清單中。請務必確定,取代範本可以提供與被取代範本相同或者更多的功能。除非您確定沒有應用程式會使用遭移除的功能時,才能減少範本的功能。
5. 請測試變更,以確定其運作情況與預期相符,且不會對現有的應用程式造成不良影響。
6. 將適用的變更新增至憑證原則文件和 CPS。
7. 請遵循<發佈新憑證範本>和<發行新 CPS>程序內的步驟 (如要發佈 CPS 時)。
##### 更新憑證範本
本工作說明如何對憑證範本進行微幅的變更。重大變更應透過範本複製來執行,並強制以新範本取代現有範本 (如先前工作<新增憑證範本>中所述)。
###### 摘要資訊
- **安全性需求**:企業 PKI 系統管理員
- **頻率**:需要時
- **技術需求**:憑證範本 MMC 嵌入式管理單元
###### 工作詳細資訊
您僅應對憑證範本進行微幅變更 - 這種變更對於憑證使用者不會有重大影響。範本修改所造成的影響很難控制,且欲回復範本變更也較為複雜。
所謂微幅的變更包括:
- 變更有效期或更新期
- 新增 (但不移除) 允許的 CSP 類型
您可以建立新的範本類型並取代舊範本,以實作任何會影響憑證功能的變更 (例如變更憑證原則、移除 CSP 類型及變更發行準則等)。
請依<新增憑證範本>程序中的說明,評估並核准變更要求。
接著,便可實作並測試所提出的範本變更,再將該變更發佈到生產環境中。請參閱<發佈範本更新>程序。
**更新憑證範本**
1. 以「企業 PKI 系統管理員」成員的身份登入,然後將「憑證範本」嵌入式管理單元載入 MMC。
2. 開啟欲修改的範本,並執行所需的變更。如需此步驟的詳細資訊,請參閱本機說明系統中的產品文件,或線上<其他資訊>一節內的參考資料。
3. 測試更新是否能提供所需的功能。
4. 請遵循<發佈新憑證範本>和<發行新 CPS>程序內的步驟 (如果您發佈您的 CPS)。
##### 移除憑證範本
不再需要某一憑證範本時,可以將其從作用狀態移除,或從目錄中完全移除。
###### 摘要資訊
- **安全性需求**:CA 系統管理員
- **頻率**:需要時
- **技術需求**:
- 憑證範本 MMC 嵌入式管理單元
- 憑證授權單位 MMC 嵌入式管理單元
###### 工作詳細資訊
只有在確定沒有應用程式需要依賴某範本類型的憑證時,才可移除該範本。請依<新增憑證範本>程序中的說明,評估及核准移除範本的要求。請遵循第一個程序,先移除範本的作用狀態並測試其影響,再將其從目錄中完全刪除。
接著,便可實作並測試移除範本變更,再將該變更發佈到生產環境中。請參閱<發佈範本移除>程序。
**將憑證範本自作用狀態移除**
1. 以「CA 系統管理員」成員的身份登入,然後將「憑證授權單位」嵌入式管理單元載入 MMC。
2. 在 \[憑證範本\] 資料夾中,以滑鼠右鍵按一下欲移除的範本,並選取 \[刪除\]。
3. 針對目前發行此類憑證的所有發行 CA,重複步驟 1 和步驟 2。
4. 測試所有先前曾使用此範本的應用程式,以確定其已不再依賴此憑證類型。
5. 請遵循<發佈憑證移除>和<發佈新 CPS>程序內的步驟 (如果適用)。
**從目錄中完全移除憑證範本**
1. 以「企業 PKI 系統管理員」成員的身份登入,然後將「憑證範本」嵌入式管理單元載入 MMC。
2. 在欲移除的範本上按一下滑鼠右鍵,並選取 \[刪除\]。
#### 設定管理
設定管理 SMF 負責識別、記錄、追蹤和報告關鍵 IT 元件或名為設定項目 (CI) 的資產。其所擷取及追蹤的資訊取決於特定的 CI,但通常會包括關於 CI 的說明、版本、其組成元件、與其他 CI 的關係、位置/指派及目前狀態。
對 PKI 的設定管理可以分成幾個主要方面:
- **企業 PKI 設定**。儲存在 Active Directory 中的一般資訊。
- **憑證範本設定**。所有作用中範本的詳細設定資訊。
- **CA 設定**。特定 CA 詳細設定資訊。
- **CA 和 PKI 管理群組**。關於 PKI 管理群組和使用者及其所擁有之權限的詳細資訊。
- **用戶端設定**。透過群組原則 (或其他方法) 設定使用者及電腦設定。
以下各節會詳細說明這些項目,並介紹自動收集這些資訊的方法 (如果可能)。
如需<設定管理>的額外資訊,請參閱本章最後的<其他資訊>一節。
##### 收集企業 PKI 設定資訊
整個企業的設定資訊儲存在 Active Directory 中,包括受信任的根 CA 發佈、企業 CA 設定、以及通知資訊。它也包括憑證範本,這些在稍候的程序中將會個別討論。
###### 摘要資訊
- **安全性需求**:網域使用者
- **頻率**:需要時
- **技術需求**:
- Certutil.exe
- DSQuery.exe
###### 工作詳細資訊
維護儲存在 Active Directory 中下列資訊的記錄:
- 受信任的根憑證授權單位
- NTAuth 儲存區
- 註冊服務 (企業 CA)
- 交互憑證
- 已發佈的 CRL
下列程序說明用於收集這些資訊的命令。
**重要事項:** 在下列命令中,必須以*您的*樹系根 DN 來替代其中的根網域辨別名稱 (DN) - *DC=woodgrovebank,DC=com*。
**附註:** 下列某些命令顯示為多行;實際輸入時請勿分行。
**顯示受信任的根憑證授權單位**
certutil -store -enterprise Root
**顯示 NT Auth 儲存區**
certutil -store -enterprise NTAuth
**顯示目前企業 CA 的憑證**
certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,
*DC=woodgrovebank,DC=com*?cACertificate?one?
objectClass=pkiEnrollmentService"
**顯示中間憑證和交互憑證**
certutil -store -enterprise CA
**僅顯示中間 CA 憑證**
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cACertificate?one?
objectClass=certificationAuthority"
**僅顯示交互憑證**
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cRossCertificatePair?one?
objectClass=certificationAuthority"
**顯示目前已發佈的 CRL**
1. 執行下列命令,可顯示已在 Active Directory CDP 容器中發佈 CDP 的所有 CA 之**伺服器名稱**:
dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,*DC=woodgrovebank,DC=com*" -attr cn -scope onelevel
2. 這個命令將顯示已在 Active Directory CDP 容器中發佈 CRL 的每一 CA 之 CDP。CDP 是先前清單內顯示的伺服器物件的子物件。CA 使用其一般名稱為每一 CDP 物件命名。請注意,CA 會為每個新 CA 版本 (隨每次更新 CA 而遞增) 建立一個新 CDP;這些名稱會儲存為 "CACommonName (X)",其中 X 為 CA 版本號碼:
dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, *DC=woodgrovebank,DC=com*" -attr cn -filter (objectclass=crlDistributionPoint)
3. 3. 您可以使用先前步驟內的資訊,以顯示特定 CDP 的 CRL (使用步驟 2 的 CA 一般名稱,以及步驟 1 取得的 CA 伺服器名稱):
certutil -store -enterprise "ldap:///cn=*Woodgrove Bank Root CA*,cn=*HQ-CA-01*,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?certificateRevocationList?base?objectClass=cRlDistributionPoint"
**重要事項:** 請以 CA 的一般名稱來替代其中的 "Woodgrove Bank Root CA",以 CA 的主機名稱來替代其中的 "HQ-CA-01",並以您樹系根網域的 DN 來替代其中的 "DC=woodgrovebank,DC=com"。
**附註:** 如果需要定期執行以上命令,您可以編寫一個簡單的指令檔 (批次檔) 指令碼,以自動執行這個命令。
##### 收集憑證範本設定資訊
憑證範本儲存在 Active Directory 中。請保留每個範本設定的記錄,以及每個範本所使用的憑證範本註冊權限。
###### 摘要資訊
- **安全性需求**:網域使用者
- **頻率**:需要時
- **技術需求**:Certutil.exe
###### 工作詳細資訊
使用下列命令來收集這項設定資訊:
**產生在 Active Directory 中設定之範本的清單**
Certutil -template
**傾出這些範本的設定**
Certutil -dsTemplate
**傾出範本的權限**
Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,*DC=woodgrovebank,DC=com*"
沒有任何工具能以可讀取的形式來匯出完整的範本權限。Dsacls.exe 會顯示範本上的權限。但是目前版本並不顯示延伸權利的 "Autoenroll" 權限 (雖然它會顯示 "Enroll" 以及其他延伸的權利權限)。這表示您必須手動記錄 "Autoenroll" 權限。另外的替代作法是,可以使用 Active Directory 服務介面 (ADSI) 來編寫指令碼或工具,以便正確讀取及顯示所有權限。
##### 收集 CA 設定資訊
本節內容說明如何擷取在每個 CA 本機儲存的設定資訊,以及企業 CA 儲存在 Active Directory 中的一些資訊。
###### 摘要資訊
- **安全性需求**:CA 的本機系統管理員
- **頻率**:需要時
- **技術需求**:Certutil.exe
###### 工作詳細資訊
維護下列資訊的記錄:
- CA 登錄資訊
- CA 憑證資訊
- CA 權限
- CA 指派的範本
- CA CPS
- 使用下列命令來收集這項設定資訊:
**顯示 CA 登錄設定**
Certutil -getreg
Certutil -getreg CA
**顯示目前的 CA 憑證**
certutil -f -ca.cert %temp%\\CAcert.cer > nul && certutil -dump %temp%\\CACert.cer
**附註:** 某些命令顯示為多行;實際輸入時請勿分行。
沒有任何工具能夠以可用的形式匯出完整的 CA 權限資訊。但是您可以編寫 ADSI 指令碼,以便正確讀取及顯示所有權限。另一個作法是手動記錄這項資訊。
**顯示目前指派給此 CA 的範本**
Certutil -CATemplates
維護 CA CPS 檔案時,請注意版本的控制,以便隨時識別並擷取特定時間的有效 CPS。
##### 收集 CA 和 PKI 管理群組資訊
由於 PKI 管理群組負責控制 CA 和企業 PKI 各方面的資訊,因此該群組的成員資格是相當重要的設定資訊。
###### 摘要資訊
- **安全性需求**:網域使用者
- **頻率**:需要時
- **技術需求**:Net.exe
###### 工作詳細資訊
列出並記錄每個 PKI 和 CA 管理群組的目前成員資格。如果其中有任何成員本身同時也是群組 (其名稱前會有星號標示),請依次列出這些群組的成員資格,建立身為 PKI 群組成員的所有使用者的完整清單。
預設的群組包括:
- 企業 PKI 系統管理員
- 企業 PKI 發行者
- CA 系統管理員
- 憑證管理員
- CA 稽核員
- CA 備份操作員
您也應包括可能已經建立的任何其他管理群組。
**列出各群組的成員資格**
Net groups *groupname* /domain
##### 收集憑證用戶端設定資訊
這項工作是指使用「群組原則」所部署的用戶端設定資訊。如果您是使用其他機制 (例如 SMS 或登入指令碼) 來部署與 PKI 相關的用戶端設定,您也應將這些記錄在此。
###### 摘要資訊
- **安全性需求**:具有管理群組原則物件之權限的系統管理員
- **頻率**:需要時
- **安全性需求**:群組原則管理主控台
###### 工作詳細資訊
使用「群組原則管理主控台 (GPMC)」來收集並列示 PKI 用戶端設定資訊。如需如何取得及使用 GPMC 的有關資訊,請參閱<其他資訊>一節內的參考資料。
#### 版本管理
版本管理的主要目的是為了便於將軟體和硬體版本引入管理的 IT 環境。這通常包括生產環境和管理的預先生產環境。版本管理可以作為版本開發/專案小組與負責在生產環境中部署版本的作業群組之間的協調點。
本節涵蓋最常見的變更 - 新增、變更和移除憑證類型 (透過使用憑證範本)。您也應以同樣系統化的方法,發佈下列其他類型的變更:
- **針對 PKI 設定所做的變更**。範例包括範本與 OID。
- **針對 CA 設定所做的變更**。本機登錄及「註冊」物件中的 Active Directory 設定。
- **針對用戶端設定所做的變更**。GPO 變更
所有發佈程序均遵照下列的一般程序:
1. 準備變更版本 - 備份目前的設定。
2. 以受控制的方式測試變更。
3. 以受控制的方式來發佈變更,以限制使用者或電腦的數量。
4. 如果某些事項發生錯誤,請還原變更 – Active Directory 與 CA 設定。
##### 發佈新憑證範本
引入新憑證類型對 IT 環境而言是重大的變更,因此其發佈過程必須採取受控制且可還原的方式來進行。
###### 摘要資訊
- **安全性需求**:
- 企業 PKI 系統管理員
- CA 系統管理員
- **頻率**:需要時
- **技術需求**:
- 憑證授權單位 MMC 嵌入式管理單元
- 憑證範本 MMC 嵌入式管理單元
- 相關工作所需的其他工具
###### 工作詳細資訊
以下說明將新憑證範本發佈到生產環境中的程序。
**發佈新憑證範本**
1. 備份現有的憑證範本設定。這項備份應做為定期 Active Directory 備份的一部份來執行,或使用<從 Active Directory 匯出憑證範本>程序中描述的技術來執行。
2. 依照<新增憑證範本>程序中的說明,建立新範本。
3. 移除群組的所有預設註冊和自動註冊 (尋找已驗證的使用者及網域使用者等物件)。依照<建立憑證範本註冊群組>程序中的說明,建立範本的憑證註冊群組 (和/或自動註冊群組)。
4. 將新憑證範本新增到發行 CA。如果您並非同時是「CA 系統管理員」的成員,則必須以此群組成員的身份登入 (或使用 runas 命令),然後執行 \[憑證授權單位 MMC\]。以滑鼠右鍵按一下 \[憑證範本\] 資料夾,選擇 \[新增\] 及 \[要發行的憑證範本\]。從清單新增範本。
5. 依照<為使用者或電腦啟用憑證類型的註冊 (或自動註冊)>程序中的說明,在憑證註冊群組中新增測試或試驗使用者或是電腦。
6. 測試新憑證類型的註冊,以確保符合預期。
7. 測試憑證的功能,以確保符合預期。
8. 成功完成測試後,請依照<為使用者或電腦啟用憑證類型的註冊 (或自動註冊)>程序中的說明,在憑證註冊群組中新增最終的生產使用者、電腦或安全性群組。
9. 若此範本取代了一或多個現有範本,您可以使用「憑證授權單位 MMC嵌入式管理單元」,將已被取代的範本從發行 CA 移除,以避免任何使用者註冊這些已被取代的憑證類型。請務必先確定所有使用者均已轉換至新範本類型,再從目錄中刪除此範本。
10. 如果適用,請更新 CPS 以反映新憑證功能。
只要尚未刪除被取代的範本,從新範本類型回復成舊範本並不會太困難。如果已刪除被取代的範本,您必須使用 Active Directory 授權性還原,或依稍早<儲存管理>一節中的範本匯出和匯入程序 (<從 Active Directory 匯出憑證範本>以及<向 Active Directory 匯入憑證範本>),從備份來還原複本。
**回復新增的新範本**
1. 如果您尚未使用此範本來取代其他範本,則僅需將其刪除即可。
2. 如果您已移除被此範本所取代的範本,請先還原那些範本。請遵循<向 Active Directory 匯入憑證範本>程序內的步驟。您必須依照該程序的說明,還原範本權限。
##### 發佈新 CPS
如果您有發佈 CPS,則必須將其更新,以反映組織中變更的憑證原則和作法。
###### 摘要資訊
- **安全性需求**:具有修改網頁伺服器上 CPS 檔案之權限的系統管理員
- **頻率**:需要時
- **技術需求**:適用於 CPS 格式的文字或 HTML 編輯器
###### 工作詳細資訊
CPS 通常是以簡單的 HTML 或文字檔格式儲存在網頁或檔案伺服器上。如果有多個 CA 使用相同的 CPS,則標準是會設定所有 CA 參照同一檔案。
**發佈新 CPS**
1. 備份現有的 CPS。
2. 對離線複本進行所需的變更。
3. 取代 CPS。
4. 測試以確保從模擬平台類型的用戶端,以及您通常服務的地點能讀取新的 CPS 檔案。
##### 發佈範本更新
此工作說明如何用可控制且可還原的方式,對現有憑證範本進行版本變更。
###### 摘要資訊
- **安全性需求**:企業 PKI 系統管理員
- **頻率**:需要時
- **技術需求**:
- 憑證範本 MMC 嵌入式管理單元
- 參照程序所需的其他技術
###### 工作詳細資訊
變更憑證範本前,請先確定該變更的幅度相對微幅,且不會對憑證使用者造成重大影響。範本修改所造成的影響很難控制,且欲回復範本變更也較為複雜。
**發佈憑證範本更新**
1. 依照<從 Active Directory 匯出憑證範本>程序,將目前範本匯出至檔案。
2. 以「企業 PKI 系統管理員」成員的身份登入,然後將「憑證範本」嵌入式管理單元載入 MMC。依照<更新憑證範本>的說明,對範本執行變更。
3. 更新 CPS,並遵循<發佈新 CPS>程序中的步驟 (如果適用)
**回復憑證範本更新**
- 請遵循<向 Active Directory 匯入憑證範本>程序內的步驟 (在<儲存管理>一節中。
##### 發佈範本移除
不再需要某一憑證範本時,可以將其從作用狀態移除,或從目錄中移除。
###### 摘要資訊
- **安全性需求**:企業 PKI 系統管理員
- **頻率**:需要時
- **技術需求**:
- 憑證授權單位 MMC 嵌入式管理單元
- 參照工作所需的其他技術
###### 工作詳細資訊
將範本從作用狀態移除的發佈程序較為簡單,因為其還原十分容易。但將範本從目錄移除則較為困難,因為範本必須重新匯入才能回復變更。
**將範本憑證自作用狀態移除**
1. 依照<移除憑證範本>程序,從目前的發行 CA 移除範本。
2. 更新 CPS,並遵循<發佈新 CPS>程序中的步驟 (如果適用)。
**回復將範本自作用狀態移除**
1. 以「CA 系統管理員」成員的身份登入,並使用「憑證授權單位 MMC 嵌入式管理單元」,將範本再次新增至發行 CA。
2. 更新 CPS,並遵循<發佈新 CPS>程序中的步驟 (如果適用)。
**從目錄中完全移除憑證範本**
1. 只有在已成功地將憑證範本從作用狀態移除,並測試相關應用程式以確保沒有負面影響後,才能執行此程序。
2. 依照<從 Active Directory 匯出憑證範本>程序,將目前範本匯出至檔案。
3. 請遵循<移除憑證範本>中的程序,將憑證範本從目錄中完全移除。
**回復將範本自目錄中移除**
- 請遵循<向 Active Directory 匯入憑證範本>中重新匯入已刪除範本的程序。
[](#mainsection)[回到頁首](#mainsection)
### 疑難排解
疑難排解涵蓋<事故管理>和<問題管理 SMF>。<事故管理>著重於如何儘快還原服務。<問題管理>則著重於識別事件的根本原因,以及盡力防止相同事件再次發生。
本節與<支援象限作業>一節密切相關。此處所列出的許多疑難排解程序均會參照該節所定義的工作。
本節列出最常見的支援事件,以及處理這些事件的策略和程序。其重點在於如何儘快恢復服務。某些情況下,疑難排解程序只是簡單地參照支援程序。但有時則會涉及較為複雜的診斷程序。
下表列出一些重大支援事件及其處理方法。**支援程序**欄位列出應遵循的程序。這些程序在<支援象限作業>一節中有詳細說明。如果欄位中沒有列出程序,請參照下節中該問題所適用的診斷程序。
**表 11.15:重大支援事件**
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >事件</th>
<th style="border:1px solid black;" >說明</th>
<th style="border:1px solid black;" >支援程序</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">伺服器沒有回應</td>
<td style="border:1px solid black;">軟體程序對用戶端要求或系統管理工具沒有回應。</td>
<td style="border:1px solid black;">重新啟動「憑證服務」服務<br />
或者<br />
重新啟動 CA 伺服器</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CRL 發佈失敗</td>
<td style="border:1px solid black;">CA 已發行 CRL,但最新 CRL 尚未發佈到 Active Directory 和/或網頁。</td>
<td style="border:1px solid black;">請參閱下面的疑難排解程序。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CRL 未發行</td>
<td style="border:1px solid black;">CA 尚未發行更新的 CRL。</td>
<td style="border:1px solid black;">請參閱下面的延伸疑難排解程序。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">用戶端無法註冊憑證</td>
<td style="border:1px solid black;">用戶端註冊要求失敗。</td>
<td style="border:1px solid black;">請參閱下面的延伸疑難排解程序。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">用戶端無法自動註冊憑證</td>
<td style="border:1px solid black;">用戶端自動註冊要求失敗。</td>
<td style="border:1px solid black;">請參閱下面的延伸疑難排解程序。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">安裝了需要重新啟動的安全性更新</td>
<td style="border:1px solid black;">安裝了需要重新啟動 Windows 的安全性更新。</td>
<td style="border:1px solid black;">重新啟動 CA 伺服器</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">永久的伺服器失敗</td>
<td style="border:1px solid black;">發生了必須進行還原的毀損或硬體失效事件。</td>
<td style="border:1px solid black;">從備份還原 CA</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">已遺棄的憑證需要撤銷</td>
<td style="border:1px solid black;">還原 CA 後,資料庫中將不會有任何前一次備份之後所發行的憑證。這些憑證無法以正常方法撤銷。</td>
<td style="border:1px solid black;">撤銷被遺棄的憑證</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">無法及時還原伺服器以進行 CRL 或憑證的發行</td>
<td style="border:1px solid black;">CRL 或憑證需要使用 CA 金鑰重新簽署,以延長它的有效期。</td>
<td style="border:1px solid black;">工作順序:<br />
1. 將 CA 憑證還原至暫時電腦<br />
2. 重新簽署 CRL 或憑證以延長其有效期</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">終端實體憑證已洩漏</td>
<td style="border:1px solid black;">憑證私密金鑰已遺失、洩漏或遭受其他損害。</td>
<td style="border:1px solid black;">撤銷終端實體憑證</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">發行 CA 的憑證已洩漏</td>
<td style="border:1px solid black;">CA 憑證私密金鑰已遺失、洩漏或遭受其他損害。</td>
<td style="border:1px solid black;">撤銷及取代發行 CA</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">根 CA 的憑證已洩漏</td>
<td style="border:1px solid black;">CA 憑證私密金鑰已遺失、洩漏或遭受其他損害。</td>
<td style="border:1px solid black;">撤銷及取代根 CA</td>
</tr>
</tbody>
</table>
#### 詳細的疑難排解程序
本節所涵蓋的疑難排解程序,對於診斷和解決上表中所列出的一些問題十分有用。這些常見問題的疑難排解程序如下:
- CRL 發佈問題
- CRL 未發行
- 用戶端無法註冊
- 用戶端無法自動註冊憑證
##### CRL 發佈問題
CRL 發佈問題會由 CheckCRLs 指令碼產生警告,該指令碼在<服務監視和控制>一節有說明。CRL 未能及時發佈到 Active Directory 及/或網頁伺服器時,就會觸發這個警告。若不更正錯誤,則要求撤銷檢查的應用程式便會開始發生失敗。
請檢查 CheckCRLs 所產生的應用程式事件日誌項目。這個項目應更準確地找出問題所在,並指出有問題的 CDP 或 CRL 屬於哪一個 CA。其問題可能為下列之一:
- CA 尚未發行最新的 CRL。這項錯誤表示 CA 發生一些問題。
- CRL 已經發行,但是尚未正確發佈到一個或更多個 CDP。這項錯誤表示 CA 發生問題、CA 與 CDP 之間的通訊發生問題、或 CDP 服務發生問題 (Active Directory 或 IIS)。
- 已經產生並發佈 CRL,但無法從一或多個 CDP 位置擷取。這項錯誤表示 CDP 服務出現問題。
**疑難排解 CRL 發佈問題**
1. 登入出現問題的 CA,然後檢查「發行 CA」的 CRL 是否為最新 CRL。輸入下列命令,以檢視 CA 的 CRL (您必須是「CA 系統管理員」的成員才能執行這些命令中的第一項)。
Certutil -getCRL %temp%\\CA.crl
Certutil -dump %temp%\\CA.crl
2. 若 CRL 已過期,請參閱稍後的<未發行 CRL>程序。
3. 開啟 \[PKI 狀態\] 工具,查看可疑 CA 的 CDP 項目。該工具會指出所有無法存取的 CDP 和已過期的 CRL (但該工具並不會針對尚未過期但已超過更新日期(即已超過**「發佈下一個 CRL」**日期) 的 CRL 產生警告)。
**附註:** 您可以從 Windows Server 2003 資源套件中取得 PKI Health 工具 (本章結尾部分有參照)。
4. 若有任何 CDP 顯示為無法存取,請調查該 CDP 的發行服務。
5. 若事件日誌顯示 LDAP CDP 發生了錯誤,請使用「Windows 2003 支援」工具的 DCDiag 工具,檢查從 CA 到 Active Directory 網域控制器的連線。這個工具會顯示網域控制器或 CA 到網域控制器的連線是否有問題。調查任何發現的錯誤。
6. 使用「Active Directory 站台及服務 MMC 嵌入式管理單元」,檢查 CDP 容器上的 CA 權限 (在 "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,*DC=woodgrovebank,DC=com"* 中,請以您的樹系根 DN 來替代斜體項目。)
7. 建立臨時帳戶,並將其新增到「憑證發行者」群組。使用該帳戶登入,嘗試將步驟 1 中所擷取的 CRL 發佈到目錄中。請使用下列命令:
certutil -dspublish CA.crl *CAHostname* *CASubjectName*.
這個命令會顯示 CA 是否擁有足夠權限以發佈到 Active Directory 中。
8. 若事件日誌項目顯示 HTTP CDP 發生了錯誤,請檢查有關的 IIS 伺服器。檢查連線能力和權限。手動執行指令碼,將 CRL 發佈到 IIS 伺服器 (請參閱<作業象限工作>一節的「將發行 CA CRL 發佈至網頁伺服器」),並檢查是否發生錯誤。執行此工作時,請儘量使用與 CA 本身相同的帳戶/群組成員資格。
9. 若 CRL 成功發佈到 CDP 服務,但 \[PKI 狀態\] 顯示有問題存在,則表示 CDP 服務發生了錯誤 (Active Directory 或 IIS 本身)。這些服務的疑難排解已超出本文件的範圍。
##### CRL 未發行
正常工作時,不太可能發生這種情況。除非您已重新設定 CA 以停止其向本機系統資料夾 (%windir%\\system32\\certsrv\\certenroll) 發佈 CRL,否則 CA 通常都能在本機發佈 CRL。如果您並未重新設定本機發佈路徑,則表示 CA 可能發生嚴重問題。執行下列疑難排解程序,以判斷問題的原因。雖然本程序是針對 CRL 問題,但其中大部份的步驟均為一般性步驟,可適用於任何低等級的「憑證服務」問題。
**疑難排解 CRL 發行問題**
1. 檢查事件日誌中是否有任何由「憑證服務」記錄的錯誤。
2. 以下列命令嘗試手動強制執行 CRL 發行 (以「CA 系統管理員」成員的身份登入):
Certutil -CRL
3. 若這個步驟失敗,請再次檢查事件日誌中是否出現新的錯誤。
4. 檢查 CA 憑證以及至根 CA 鏈結中的所有憑證,看憑證是否有任何問題;例如憑證已過期或被撤銷等。
5. 檢查您是否可使用 CA 金鑰重新簽署憑證或 CRL (請參閱<支援象限作業>一節中的「重新簽署憑證或 CRL 以延伸其有效期」程序)。
6. 重新啟動 CA,並重新執行以上檢查。
7. 若仍無法發行 CRL,請啟用偵錯記錄 (請參閱本章稍後的「憑證服務記錄」)。然後嘗試發行 CRL,並檢查日誌中是否出現錯誤。
##### 用戶端無法註冊憑證
請執行這個程序,以診斷憑證註冊中的問題。
**診斷憑證註冊的問題**
1. 檢查是否已將憑證範本指派給 CA。
2. 檢查使用者或電腦是否有權限在已指派範本的 CA 上註冊。
3. 確認範本與主體類型相對應。使用者範本僅供使用者註冊,電腦範本僅供電腦註冊。
4. 檢查 CA 是否能夠存取其自身及其父系 CA 所發佈的 CRL。CA 在發行憑證前,一定會先執行撤銷檢查。
5. 請確認憑證範本並未強制使用註冊主體無法使用的 CSP。例如,要求電腦具有智慧卡 CSP,或 (在使用者沒有智慧卡的情況下) 要求使用者具有 RSA SChannel CSP。
6. 請確認憑證範本不會要求在 \[主體\] 或 \[次要主體\] 欄位輸入資訊 (Active Directory 中沒有這些欄位)。常見的問題是,指定在主體名稱中包含電子郵件位址,但在使用者的 Active Directory 物件中卻未完整填寫電子郵件欄位。
##### 用戶端無法自動註冊憑證
如需瞭解和疑難排解自動註冊問題,請參閱《Windows XP 憑證自動註冊》(請參閱本章結尾的參考資料)。
檢查用戶端是否可以手動註冊您正嘗試自動註冊的憑證。載入「憑證 MMC 嵌入式管理單元」,並發出新的憑證要求。若未出現憑證類型,或出現憑證類型但嘗試註冊時發生錯誤,請遵循先前<用戶端無法註冊憑證>一節中的程序。
如果可以手動註冊,請繼續執行下列步驟。
1. 檢查所使用的平台是否正確。只有 Windows 2000 及更新的版本可以支援電腦憑證自動註冊。只有 Windows XP 和 Windows Server 2003 可以支援使用者憑證自動註冊。
2. 請確認使用者或電腦具有在憑證範本上自動註冊所需憑證類型的權限。
3. 檢查是否已正確指定自動註冊群組原則設定。您必須設定自動註冊的 GPO,使其具有高於其他所有 GPO 的優先權,自動註冊才能正確運作。例如,若此自動註冊 GPO 是在網域層級建立的,則其必須具備高於預設網域原則的優先順序。您可以使用原則 MMC 嵌入式管理單元結果組來檢查 GPO 的優先順序。
4. 請確認憑證範本不會要求手動核准或「註冊管理中心 (RA)」簽章。要求憑證管理員核准的憑證要求會被提交以進行核准,但必須在手動核准後才能將該憑證授予使用者。由於沒有可向自動註冊要求新增其他簽章的機制,因此需要 RA 簽章的要求會被拒絕。
5. 請確定您並未設定讓憑証範本預期要求中會提供主體資訊。自動註冊憑證必須由 CA 來設定其主體 (及次要主體)。
#### 疑難排解工具和技術
本節涵蓋可用於診斷和解決 PKI 問題的一些工具, 並說明「憑証服務」記錄,以及如何啟用更詳細的「憑証服務」和用戶端自動註冊記錄功能。
##### PKI 狀態
「PKI 狀態」主要是作為 CDP 和 AIA 診斷工具,用於建置企業中所有 CA 的概觀。它對於診斷連線能力及 CDP 和 AIA 的發佈問題十分有用,而且允許您下載 CDP 或 AIA 所參照的 CRL 或憑證。該工具可以在 Windows Server 2003 資源套件中找到。
##### Certutil
Certutil 是管理和疑難排解 Windows CA 最重要的工具。有關此工具的主要用途,請參閱《使用 Certutil.exe 以管理及疑難排解憑證服務》白皮書(本章末有參照)。
此外,還有許多其他選項 (白皮書中沒有討論),可用於各種管理和診斷用途。您可以輸入具有 "-?" 參數的命令,就能顯示可用的 Certutil 動作 (或動詞) 的完整清單。插入您需要更多說明的動詞,就會顯示該動作的詳細語法。例如:
Certutil -dsPublish -?
##### 其他診斷工具
其他有用的診斷和管理工具包括:
- **Certreq.exe**。允許您透過命令列來建立、提交和擷取憑證要求。
- **DCDiag.exe**。協助診斷可能影響 CA 的 Active Directory 問題。
##### 憑證服務記錄
「憑證服務」及其相關工具所產生的數種記錄類型,在疑難排解時十分有用。
- 「憑證服務」(CA 程序本身) 會記錄至 %systemroot%\\certsrv.log (啟用偵錯記錄時)
- Certutil.exe 會記錄至 %systemroot%\\certutil.log
- \[憑證授權單位 MMC\] 會記錄至 %windir%\\certmmc.log
**在「憑證服務」上啟用偵錯記錄**
- 執行以下命令:
certutil -setreg CA\\Debug 0xffffffe3
記錄項目會儲存至 %windir%\\certsrv.log
**停用偵錯記錄**
- 執行以下命令:
certutil -delreg CA\\Debug
##### 自動註冊記錄
您必須新增登錄值,才能啟用自動註冊事件的額外記錄。您必須分別啟用使用者以及電腦憑證自動註冊的增強記錄。
**啟用使用者自動註冊記錄**
1. 在登錄機碼 HKEY\_CURRENT\_USER\\Software\\Microsoft\\Cryptography\\Autoenrollment 中,建立名為 **AEEventLogLevel** 的新登錄 DWORD 值。
2. 將其值設定為 **0**。
**啟用電腦自動註冊記錄**
1. 在登錄機碼 HKEY\_CURRENT\_USER\\Software\\Microsoft\\Cryptography\\Autoenrollment 中,建立名為 **AEEventLogLevel** 的新登錄 DWORD 值。
2. 將其值設定為 **0**。
**附註:** 所有的失敗和錯誤事件均會自動記錄。您不需要再啟用登錄機碼以開始記錄失敗事件。
[](#mainsection)[回到頁首](#mainsection)
### 設定表格
下列表格包含網站和解決方案專用的設定值,本章內的程序會使用到這些設定值。這些表格是第 7 章的<實作公開金鑰基礎結構>中之規劃設定表格的子集,在此處顯示僅供參考。
**表 11.16:使用者定義的設定項目**
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >設定項目</th>
<th style="border:1px solid black;" >設定</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Active Directory 樹系根網域的 DNS 名稱</td>
<td style="border:1px solid black;">woodgrovebank.com</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">樹系根網域的 DN</td>
<td style="border:1px solid black;">DC=woodgrovebank,DC=com</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">根 CA 的伺服器名稱</td>
<td style="border:1px solid black;">HQ-CA-01</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">發行 CA 的伺服器名稱</td>
<td style="border:1px solid black;">HQ-CA-02</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">根 CA 的 X.500 CN</td>
<td style="border:1px solid black;">Woodgrove Bank Root CA</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">發行 CA 的 X.500 CN</td>
<td style="border:1px solid black;">Woodgrove Bank Issuing CA 1</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">用於發佈 CA 憑証和撤銷資訊的完整網頁伺服器主機名稱</td>
<td style="border:1px solid black;">www.woodgrovebank.com</td>
</tr>
</tbody>
</table>
**表 11.17:解決方案定義的設定項目**
<p></p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >設定項目</th>
<th style="border:1px solid black;" >設定</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">公開金鑰服務設定容器的系統管理員</td>
<td style="border:1px solid black;">企業 PKI 系統管理員</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">有權將 CRL 和 CA 憑証發佈到企業設定容器</td>
<td style="border:1px solid black;">企業 PKI 發行者</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">設定和維護 CA 的系統管理群組,亦控制指派所有其他 CA 角色並更新 CA 憑證的能力</td>
<td style="border:1px solid black;">CA 系統管理員</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">核准憑証註冊和撤銷要求的系統管理群組,為一種 CA 長官角色</td>
<td style="border:1px solid black;">憑證管理員</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">管理 CA 稽核和安全性日誌的系統管理群組</td>
<td style="border:1px solid black;">CA 稽核員</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">管理 CA 備份的系統管理群組</td>
<td style="border:1px solid black;">CA 備份操作員</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">用於發佈 CA 憑証和 CRL 資訊的 IIS 虛擬目錄名稱</td>
<td style="border:1px solid black;">pki</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">發行 CA 上對應至 IIS 虛擬目錄的實體路徑</td>
<td style="border:1px solid black;">C:\CAWWWPub</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">儲存「憑證服務」要求檔案的磁碟機和路徑</td>
<td style="border:1px solid black;">C:\CAConfig</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">儲存「憑證服務」資料庫的磁碟機和路徑</td>
<td style="border:1px solid black;">%systemroot%\System32\CertLog</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">儲存「憑證服務」資料庫記錄的磁碟機和路徑</td>
<td style="border:1px solid black;">D:\CertLog</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">安裝指令碼的路徑</td>
<td style="border:1px solid black;">C:\MSSScripts</td>
</tr>
</tbody>
</table>
[](#mainsection)[回到頁首](#mainsection)
### 其他資訊
- 您可以下載以本章為基礎的更新文章:《[管理 Windows Server 2003 PKI](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx)》,網址是:www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx。
- 如需 MOF 程序模型與小組模型的其他資訊,請參閱《[Microsoft 作業架構](https://www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx)》網頁,網址是:www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx。
- 如需有關容量限制和相關效能計數器的其他資訊,請參閱 Microsoft 知識庫文章 Q146005:《[Windows NT 效能最佳化](https://support.microsoft.com/default.aspx?kbid=146005)》,網址是:https://support.microsoft.com/default.aspx?kbid=146005。
- 如需 MOM 部署的有關資訊,請下載 《[*Microsoft Operations Manager 2000 (MOM) Service Pack 1 (SP1) 作業指南*](https://www.microsoft.com/download/details.aspx?familyid=556a7746-75df-4acd-8cde-26cb12148161&displaylang=en)》 網址是:www.microsoft.com/downloads/details.aspx?FamilyID=556A7746-75DF-4ACD-8CDE-26CB12148161&displaylang=en。
- 如需有關額外操作工作的其他資訊,請參閱《[管理憑證授權單位](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_procs_admin.mspx)》網頁,網址是:www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag\_CS\_procs\_admin.mspx。
- 如需有關 Microsoft 平台安全性補充程式管理的其他資訊,請參閱《[提升平台可管理性 – 最佳實務:安全性補充程式管理](https://go.microsoft.com/fwlink/?linkid=16284)》,網址是:https://go.microsoft.com/fwlink/?LinkId=16284。
- 如需有關 Microsoft SMS 2003 補充程式管理的資訊,請參閱《[使用 Microsoft Systems Management Server 2003 執行補充程式管理》](https://www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/2003/pmsms031.mspx),網址是:www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/2003/pmsms031.mspx。
- 如需有關 Microsoft SMS 2.0 補充程式管理的資訊,請參閱《[使用 Microsoft Systems Management Server 2.0 執行補充程式管理](https://www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/20/pmsmsin.mspx)》,網址是:www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/20/pmsmsin.mspx。
- 如需有關 Microsoft 軟體更新服務補充程式管理的資訊,請參閱《[使用 Microsoft 軟體更新執行補充程式管理](https://www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsus/pmsus251.mspx)》,網址是:www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsus/pmsus251.mspx。
- 如需有關憑證範本內容的詳細資訊,請參閱線上產品說明中的《[瞭解憑證範本](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon_concepts_under.mspx)》,網址是:www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon\_concepts\_under.mspx。
- 如需有關取得並使用「群組原則管理控制台」的詳細資訊,請參閱《[使用群組原則管理控制台執行企業管理](https://www.microsoft.com/windowsserver2003/gpmc/default.mspx)》,網址是:www.microsoft.com/windowsserver2003/gpmc/default.mspx。
- 如需有關 CRL 發佈問題的其他資訊,請參閱《[疑難排解憑證狀態與撤銷](https://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx)》,網址是:www.microsoft.com/technet/prodtechnol/WinXPPro/support/tshtcrl.mspx。
- 如需取得 PKI Heath 工具 (PKIView.msc),請下載 [Windows Server 2003 資源套件工具](https://www.microsoft.com/download/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en),網址是:www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en。
- 如需 Certutil 疑難排解的指示,請參閱白皮書《[使用 Certutil.exe 以管理及疑難排解憑證服務](https://www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp)》,網址是:www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp。
- 如需明確的指南以瞭解和疑難排解自動註冊問題,請參閱這篇文章:《[Windows XP 憑證自動註冊](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx)》,網址是:www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx。
[](#mainsection)[回到頁首](#mainsection)