第 11 章:管理公開金鑰基礎結構

發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日


本頁內容

簡介
基本維護任務
憑證服務管理角色
作業象限工作
支援象限工作
最佳化象限工作
變更象限工作
疑難排解
設定表格
其他資訊

簡介

本章涵蓋管理 PKI (公開金鑰基礎結構,為《保護無線區域網路安全》的解決方案之一部份) 所需的操作程序。其結構是以《作業指南》(第 10 章) 第一章所討論的 Microsoft Operations Framework (MOF) 類別和概念為基礎。

本章的目標是讓您能夠實作完整的 PKI 管理系統。主題包括開始監視和維護系統所需的所有安裝工作、使系統正常運作所需的定期操作工作。也討論用於協助您處理支援事件、管理環境變更以及最佳化系統效能的程序。

本章有兩個主要部分。第一個部分包括兩節:<必要維護工作>,以及<指定管理角色>,內容簡要,請全部閱讀。這些章節提供為系統設定妥善管理環境的相關重要資訊。本章的其他部分主要是參考資料。參考單元內有些工作必須在部署系統時實作,但是它們在<必要維護工作>一節內有清楚說明。

雖然您不需要吸收參考單元內的所有詳細資料,請閱讀以熟悉內容,以便未來能迅速找到需要的項目。

本章先決條件

您應熟悉第 10 章<作業指南入門>內 MOF 所使用的概念,而不需要詳細瞭解 MOF。

您尤其應熟悉 PKI 與 Microsoft® 憑證服務的概念。在下列範圍內,也需要熟悉 Microsoft Windows® 2000 Server (或更新版本):

  • Microsoft Windows Server™ 2003 的基本操作與維護,包括事件檢視器、電腦管理、與 NTBackup 等工具的使用。

  • Active Directory® 目錄服務,包括 Active Directory 的結構與工具,操作使用者、群組、與其他 Active Directory 物件;群組原則的使用。

  • Windows 系統安全:安全概念,如使用者、群組及稽核;存取控制清單;使用安全範本;使用群組原則或命令列工具的安全範本。

  • 網際網路資訊服務 (IIS) 的管理。

  • 瞭解 Windows Scripting Host 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言有助您對提供的指令碼有最大程度的瞭解,但並非必需。

您在閱讀本章之前,應閱讀《規劃指南》與《建置指南》的相關章節 (第 4 與第 6 章),並徹底瞭解解決方案的結構與設計。

本章概觀

下列清單說明本章的每一主要小節。

  • 必要維護工作。包含列出您需要設定管理系統的工作的兩個表格,以及需要執行以維護系統的例行工作清單。

  • 系統管理角色。說明解決方案內所用的系統管理角色、每一角色的功能為何、這些角色如何對應 MOF 角色叢集,以及為解決方案而定義的系統管理安全性群組。

  • 作業象限工作。包括關於 PKI 正常維護的所有工作。這些工作包括監視、備份、目錄與安全性作業。

  • 支援象限工作。包括從系統問題中復原的所有相關程序。這些程序包括憑證與憑證授權單位 (CA) 撤銷、從備份中復原、以及用於處理失敗 CA 的作業。

  • 最佳化象限工作。包括某些容量管理規劃程序。

  • 變更象限工作。包括關於變更 CA 設定,並以受控制的方式將這些變更發佈到生產的一般工作。此外也包括協助您收集與維護有關 PKI 必要設定資訊的程序。

  • 疑難排解。包含程序以協助您疑難排解使用 PKI 可能遭遇的一般問題。此外也包括對於有用的疑難排解工具的說明,還有用於啟用不同元件記錄的程序。

  • 設定表格。包括《建置指南》內所用設定參數的子集。這些數值在程序的文字中做為範例使用。

  • 其他資訊。列出文字內所參照的許多額外資訊來源。


基本維護任務

本節列出使 PKI 正確運作所需執行的重要工作。一次設定工作和進行中操作工作列於兩個表格中。表格中所列的工作,將在本文稍後的部分進行詳細說明。工作按 MOF 象限分類,並在其旁邊列出了所屬的 MOF 服務管理函式 (SMF),以協助您便利地找到所需的工作。

本章還包括此單元之程序中要使用的工具和技術清單。

初始設定工作

這個表格列出將 PKI 作業投入生產環境運作所必須執行的工作。您也許不必執行所有工作,這取決於您的作業標準和實施方法,但您應檢閱每一工作的詳細資訊後再決定是否需要執行。某些工作可能需要再次執行;例如,如果安裝了新的 CA,就需要您為其設定備份與監視工作。

表 11.1:初始設定工作

工作名稱

角色叢集

SMF

作業象限

   

為憑證服務管理準備網域組織單位 (OU)

基礎結構

目錄服務管理

將發行 CA CRL 發佈至網頁伺服器

Security

安全性管理

設定發行 CA 資料庫備份

基礎結構

儲存管理

設定根 CA 資料庫備份

基礎結構

儲存管理

測試 CA 資料庫備份

作業

儲存管理

測試 CA 金鑰備份

作業

儲存管理

分類監視警告

基礎結構

服務監視和控制

監視憑證服務容量限制

基礎結構

服務監視和控制

監視憑證服務的狀態和可用性

基礎結構

服務監視和控制

為擱置的憑證要求設定 SMTP 警告

基礎結構

服務監視和控制

排程發行 CA 的工作

基礎結構

工作排程

最佳化象限

   

決定發行 CA 的最大負載

基礎結構

容量管理

決定發行 CA 的儲存和備份需求

基礎結構

容量管理

變更象限

   

管理作業系統更新程式

基礎結構

變更管理
版本管理


雖然沒有文件範本說明如何設定 PKI 設定管理系統的記錄工作,您仍應檢閱<設定管理>一節中的程序。這些程序說明了在設定管理系統中所應該收集並維護的資訊類型。

維護工作

這個表列出為確保 PKI 正確運作而必須定期執行的工作。您可以使用此表來協助您規劃所需資源,並計劃管理系統的工作排程。

您也許不必執行某些工作,但仍應先檢閱工作詳細資訊,再決定是否需要執行。而某些工作除了要定期執行外,還必須特定執行。例如,更新根 CA 憑證後,即使沒有排程,您也必須備份根 CA。出現這種情況時,頻率欄中會顯示說明。類似的相依性也會在工作詳細資訊中指明。

表 11.2:維護工作

工作名稱

頻率

SMF

作業象限

   

檢查擱置的要求

每日

安全性管理

更新根 CA 憑證

每隔八年一次

安全性管理

更新發行 CA 憑證

每隔四年一次

安全性管理

發佈離線 CRL 和 CA 憑證

每隔六個月一次

安全性管理

備份 CA 金鑰和憑證

每年一次;或每次更新 CA 憑證時 (以其中較先發生者為準)

儲存管理

測試 CA 資料庫備份

每月

儲存管理

測試 CA 金鑰備份

每隔六個月一次

儲存管理

保存來自 CA 的安全性稽核資料

每月一次 (發行 CA)

儲存管理

保存來自 CA 的安全性稽核資料

每隔六個月一次 (根 CA)

儲存管理

作業指南中所要求的技術

下列表格列出了此章中說明之程序所使用的工具或技術。

表 11.3:所需的技術

項目名稱

來源

Active Directory 使用者及電腦管理主控台 (MMC 嵌入式管理單元)。

Microsoft Windows Server 2003

憑證授權單位 MMC 嵌入式管理單元

Windows Server 2003

憑證範本 MMC 嵌入式管理單元

Windows Server 2003

Certutil.exe

Windows Server 2003

Certreq.exe

Windows Server 2003

MSS 指令碼

此解決方案

文字編輯器

記事本 — Windows Server 2003

Windows 工作排程器服務

Windows Server 2003

SchTasks.exe

Windows Server 2003

Windows 備份

Windows Server 2003

Cipher.exe

Windows Server 2003

事件檢視器

Windows Server 2003

效能監視器

Windows Server 2003

Net.exe

Windows Server 2003

DSquery.exe

Windows Server 2003

Ldifde.exe

Windows Server 2003

DCDiag.exe

Windows Server 2003

工作警告主控台

Microsoft Operations Manager (MOM)

用於備份根 CA 的卸除式媒體

CD–RW 或磁帶

發行 CA 伺服器備份

企業備份服務或
本機備份裝置

群組原則 MMC 嵌入式管理單元

從 Microsoft.com 下載的網頁

PKI 狀態

Windows Server 2003 Resource Kit


表 11.4:建議的技術

項目名稱

來源

工作警告主控台

Microsoft Operations Manager 或其他服務監視系統

電子郵件基礎結構 – 用於操作警告 (MOM 的替代方式)

SMTP/POP3/IMAP 伺服器和用戶端,例如 Microsoft Exchange Server 和 Microsoft Outlook®

Eventquery.vbs

Windows Server 2003

容量計劃工具

Microsoft Operations Manager 或其他容量計劃工具

安全性更新發佈系統

Microsoft Systems Management Server 或 Microsoft Software Update Services


憑證服務管理角色

PKI 的管理涉及許多不同的角色。下面兩節中,將這些角色分為核心角色和支援角色。

核心憑證服務角色

核心憑證服務角色對於管理公開金鑰基礎結構而言十分重要。其中許多角色都對應到為「憑證服務」而定義的「共通準則」(CC) 安全性角色。在這種情況下,「角色」名稱後會以括號  說明。

表 11.5:核心憑證服務角色

角色名稱

範圍

說明

企業 PKI 系統管理員

企業

負責整體 PKI — 定義企業的憑證類型、應用程式原則、信任路徑等

企業 PKI 發行者

企業

負責將信任的根憑證、次級 CA 憑證和 CRL 發行到目錄。

CA 系統管理員
(CC 「系統管理員」(Administrator) 角色)

CA

CA 系統管理員 – 負責 CA 設定以及在 CA 上的角色配置。此角色經常由企業 PKI 系統管理員兼任。
當憑證使用上有需要時,則可以由不同的 CA 系統管理員負責各個 CA。

Administrator
(CC 「系統管理員」(Administrator) 角色)

CA

CA 伺服器作業系統的管理員 — 負責整台伺服器的設定 (例如 CA 安裝)。此角色經常由 CA 系統管理員兼任。
當憑證使用上有需要時,則可以由不同的系統管理員負責各個 CA。

CA 稽核員
(CC 「稽核員」(Auditor) 角色)

CA

管理來自 CA 的可稽核事件的稽核事件、原則、與相似類型。

憑證管理員
(CC「長官」(Officer) 角色)

CA

核准需要手動核准及撤銷憑證的憑證要求。
當憑證使用上有需要時,則可以由許多的憑證管理員負責核准不同的 CA。

註冊管理中心

憑證設定檔

「憑證管理員」角色的延伸。負責在憑證主體的 ID 驗證之後,核准及簽署憑證要求。
可以是個人、IT 程序、或裝置 (例如指紋掃描器與資料庫)。
可為不同的憑證設定檔 (範本) 而指定不同的註冊管理中心,並能跨越多個 CA。

金鑰復原代理

CA

保留用於解密 CA 資料庫中已保存的私密金鑰之金鑰。

CA 備份操作員
(CC「操作員」(Operator) 角色)

CA

負責 CA 伺服器的備份和修復以及備份媒體的安全儲存。

支援憑證服務角色

下表內的操作角色對於公開金鑰基礎結構的管理而言並非至要,但它們會對核心角色提供支援功能。

表 11.6:支援憑證服務角色

角色名稱

範圍

說明

監視器操作員

企業

負責監視事件。

容量計劃員

企業

負責分析效能及負載,以預測未來的容量需求。

Active Directory 系統管理員

企業

負責 Active Directory 基礎結構的設定和支援。

Active Directory 作業

企業

負責日常目錄維護,例如安全性群組維護和帳戶建立等。

變更核准委員

企業

核准基礎結構變更所需的業務和技術代表。

憑證服務角色與安全性群組的對應

下表列出了為此解決方案定義的安全性群組,並簡略說明每個群組的容量或權限。

離線 CA 僅有本機安全性群組。在這種情況下,您必須在 CA 本身上建立個別的本機帳戶,並用來填入本機群組。您可以建立多個甚至所有本機角色群組的個別帳戶成員,只要此設定支援您組織的安全性和 IT 原則即可。

若為線上 CA,則網域安全性群組是用來將適用的權限套用至各個角色。網域帳戶用於填入角色群組。您可以再次建立多個角色群組的單一帳戶成員,只要此設定支援您組織的安全性和 IT 原則即可。

表 11.7:憑證服務角色與安全性群組的對應

角色名稱

網域安全性群組 (線上 CA)

本機安全性群組 (離線 CA)

能力

企業 PKI 系統管理員

企業 PKI 系統管理員

控制 Active Directory 公開金鑰服務容器。從而控制範本、信任發佈,及其他整個企業 (樹系) 的設定元素。

企業 PKI 發行者

企業 PKI 發行者

能將企業信任的根憑證、次級 CA 憑證和 CRL 發佈到目錄。

CA 系統管理員

CA 系統管理員

CA 系統管理員 (僅限根 CA)

具有在 CA 上「管理 CA」(Manage CA) 的權限。控制 CA 上的角色指派。並具有變更 CA 屬性的權限。
除非強制實施角色分離,否則此角色經常會結合 CA 伺服器的本機系統管理員。

Administrator

 

系統管理員」

CA 伺服器的本機系統管理員。

CA 稽核員

CA 稽核員

CA 稽核員 (僅限根 CA) 的系統管理員

具有在 CA 上「管理安全性和稽核記錄」(Manage Security and Audit logs) 的使用者權限。
同時也是 CA 本機系統管理員群組的成員 (必須具備此身份才可存取稽核記錄)。

憑證管理員

憑證管理員

憑證管理員
(僅限根 CA)

擁有 CA 上「發行和管理憑證」(Issue and Manage Certificates) 的權限。
每個 CA 上可以設定多個憑證管理員,能分別為不同的部份使用者或其他終端實體管理憑證。

註冊管理中心

具有在核准前對憑證要求進行簽章所需的憑證和金鑰。

金鑰復原代理

具有對私密金鑰 (保存在憑證資料庫中) 進行解密所需的憑證和金鑰。

CA 備份操作員

CA 備份操作員

CA 備份操作員 (僅限根 CA)

在 CA 伺服器上具有「備份和還原」(Backup and Restore) 的權限。


作業象限工作

本節提供屬於「MOF 作業象限」維護任務的更多詳細資訊。

MOF 作業象限涵蓋 IT 作業標準及程序,以套用於服務解決方案,使服務達到並維持預設的服務等級。此象限的目標是,無論手動或自動的日常作業,其執行都能具備高度的可預測性。

作業象限涵蓋下列 SMF:

  • 目錄服務管理

  • 安全性管理

  • 儲存管理

  • 服務監視和控制

  • 工作排程

沒有工作屬於其餘 SMF:

  • 系統管理

  • 網路管理

  • 列印和輸出管理

    附註:每一工作說明包括下列摘要資訊:安全性需求、頻率、與技術需求。

目錄服務管理

目錄服務讓使用者和應用程式可以透過網路尋找網路資源,例如使用者、伺服器、應用程式、工具、服務以及其他資訊。目錄服務管理涉及企業目錄的日常操作、維護及支援。目錄服務管理的目標是,確保任何授權要求者均可透過簡單且有組織的程序,經由網路存取資訊。

為憑證服務管理準備網域 OU 結構

此工作的目的是建立適當的 OU 結構,來管理「憑證服務」安全性群組和使用者帳戶。

摘要資訊
  • 安全性需求:有權在 Active Directory 的指定部份建立 OU 的帳戶

  • 頻率:設定工作

  • 技術需求:Active Directory 使用者及電腦 MMC 嵌入式管理單元

工作詳細資訊

此工作主要取決於您現有的 OU 結構以及目前的管理原則和程序,因此並沒有既定的作法。下表提供一個簡單的 OU 樹狀子目錄範例,可協助您組織本指南中所建立和參照的安全性群組。

表 11.8:OU 結構中安全性群組的位置

OU

群組

用途

憑證服務

   

憑證服務管理

企業 PKI 系統管理員
企業 PKI 發行者
CA 系統管理員
CA 稽核員
憑證管理員
CA 備份操作員

包含管理 CA 和企業 PKI 設定的系統管理員群組。

憑證範本管理

範例:
管理使用者範本
管理智慧卡登入範本

包含具有同名範本之「完整控制」權限的群組。允許按範本類型委派控制權限。

憑證範本註冊

範例:
註冊使用者憑證
自動註冊使用者憑證
註冊電子郵件簽章憑證

包含具有同名範本之註冊或自動註冊權限的群組。對群組的控制權限可以委派給適當的人員,在無需觸及實際範本的情況下,採用彈性註冊體制。

建立憑證範本管理群組

將範本和範本設定的控制權限委派給不同的系統管理員時,使用「範本管理」群組十分有用。只有「企業系統管理員」和「企業 PKI 系統管理員」有權修改範本。如果您的 IT 組織並不大,則可能不需要進行如此詳細的委派。在這種情況下,只有「企業管理員」(為內建群組) 和「企業 PKI 系統管理員」(與本解決方案一起建立) 能夠管理憑證範本。

摘要資訊
  • 安全性需求:企業 PKI 系統管理員

  • 頻率:需要時

  • 技術需求

    • Active Directory 使用者及電腦 MMC 嵌入式管理單元

    • 憑證範本 MMC 嵌入式管理單元

      注意:使用此功能時,必須格外謹慎。委派對範本類型的控制權限,即表示您絕對信任此委派對象。擁有寫入權限的使用者可以變更範本中的所有參數,隨意建立任何類型的範本。您最好是以使用者自己的名義來建立範本,這樣可將對憑證類型的控制權限完全限制在「企業 PKI 系統管理員」群組之內。

工作詳細資訊

請針對您在環境中所建立或欲啟用的各個憑證範本,執行下列程序。

建立憑證範本管理群組

  1. 以「企業 PKI 系統管理員」的成員身份登入。

  2. 在「憑證範本管理」OU 中,建立名為「管理 CertTemplateName 範本」的網域通用安全性群組,其中 CertTemplateName 即為要管理之「憑證」範本的名稱。

  3. 將憑證範本嵌入式管理單元載入 MMC。

  4. 開啟所需範本的屬性,按一下 [安全性] 索引標籤。

  5. 新增具有 [寫入] 權限的「管理 CertTemplateName 範本」群組。

建立憑證範本註冊群組

透過「範本註冊」群組,即可輕易進行管理,針對特定憑證類型決定誰可以註冊或是自動註冊;可在安全性群組中輕易新增或移除使用者或電腦。您也可以將這些群組成員資格的控制權限授予管理人員 (但他們無權對憑證範本的屬性進行編輯)。

摘要資訊
  • 安全性需求:企業 PKI 系統管理員

  • 頻率:需要時

  • 技術需求

    • Active Directory 使用者及電腦 MMC 嵌入式管理單元

    • 憑證範本 MMC 嵌入式管理單元

工作詳細資訊

針對每個憑證範本類型,或至少針對所有自動核准憑證的憑證範本類型,建立一個註冊群組。(如果您為特定的憑證類型而使用較複雜或手動的註冊程序,使用範本註冊群組可能不太有用。) 如果憑證類型適合自動註冊,您可以建立一個獨立群組,控制哪些使用者及裝置會自動註冊憑證。

建立憑證範本註冊群組

  1. 以「企業 PKI 系統管理員」的成員身份登入,然後開啟「Active Directory 使用者和電腦 MMC 嵌入式管理單元」。

  2. 在 [憑證範本註冊] OU 中,建立網域通用安全性群組,並命名為:

    • 註冊 CertTemplateName 憑證

    • 自動註冊 CertTemplateName 憑證 (如有需要)

  3. 將憑證範本嵌入式管理單元載入 MMC。

  4. 開啟範本屬性來編輯安全性。

  5. 新增「註冊 CertTemplateName 憑證」群組,並授予其讀取註冊的權限。

  6. 新增「自動註冊 CertTemplateName 憑證」群組,並授予其讀取註冊,和自動註冊的權限。

    附註:您可以選擇委派這些安全性群組的控制權,允許憑證應用程式擁有者指定哪些人員可以或無法註冊此憑證類型。

為使用者或電腦啟用憑證類型的註冊 (或自動註冊)

此工作會使用註冊群組來允許手動註冊,或者為使用者、電腦,或包含使用者和 (或) 電腦的安全性群組啟動憑證類型的自動註冊。

摘要資訊
  • 安全性需求:憑證註冊群組的修改成員資格權限

  • 頻率:需要時

  • 技術需求:Active Directory 使用者及電腦 MMC 嵌入式管理單元

    附註:必須在網域原則中為目標使用者或電腦而啟用自動註冊。如需詳細資料,請參閱第 6 章<實作公開金鑰基礎結構>在群組原則內設定自動註冊一節。

工作詳細資訊

為使用者或電腦啟用註冊或自動註冊

  1. 在 Active Directory 使用者和電腦中,找出與要註冊的憑證類型相對應的「憑證範本註冊」安全性群組 (或自動註冊憑證的「自動註冊」群組)。您必須以具有此群組修改成員資格權限的使用者身分登入。

  2. 將使用者、電腦,或安全性群組新增到選取的範本安全性群組中。

停用使用者或電腦對憑證類型的註冊 (或自動註冊)

將憑證發給使用者或電腦,通常會使該憑證擁有者可以執行一些功能;稍後您可能需要撤銷這項功能。

摘要資訊
  • 安全性需求:憑證註冊群組的修改成員資格權限

  • 頻率:需要時

  • 技術需求

    • Active Directory 使用者及電腦 MMC 嵌入式管理單元

    • 憑證授權單位 MMC 嵌入式管理單元

工作詳細資訊

為使用者或電腦停用註冊或自動註冊

  1. 在 Active Directory 使用者和電腦中,找出與要停用的憑證類型相對應的「憑證範本註冊」(或「憑證範本自動註冊」) 安全性群組。您必須以具有此群組「修改 成員資格」權限的使用者身分登入。

  2. 從範本安全性群組中移除使用者、電腦或安全性群組。

    附註:針對每一個您想要停用的憑證使用者,您還需要撤銷該使用者的憑證。

  3. 以「憑證管理員」的成員身份登入,在「憑證授權單位 MMC」的 CA 資料庫中,尋找使用者的現有憑證 。若要尋找憑證,請在 CA 的 [發出的憑證] 資料夾中,按一下 [檢視] 功能表,再按 [篩選器] 選項。

  4. 按一下憑證加以選取,然後在 [工作] 功能表中按一下 [撤銷]。

  5. 選取適當的撤銷原因碼。如果撤銷的原因不屬於任何預先定義之原因碼,請選取 [未指定]。

    重要事項:只有 [憑證保留] 原因碼會允許您在日後復原該憑證。其他原因碼都將導致憑證永久停用。但是,請不要單單因為將來有可能會復原該憑證而使用 [憑證保留] 原因碼。您應該只有在真正需要暫時停用憑證時才使用此原因碼。

安全性管理

安全性管理負責維護安全的計算環境。安全性是組織基礎結構的重要部份;安全性基礎較弱的資訊系統最終將遭到安全性破壞。

檢查擱置的要求

憑證要求隨時可以公佈到發行的 CA。大多數的憑證會使用 Active Directory 作為註冊管理中心 (RA),或使用來自指定 RA 的一套預先定義簽名,來自動發行。如果您有設定任何憑證類型需要「憑證管理員」手動核准,則這些要求會排入佇列,直到獲得核准或遭拒絕。

摘要資訊
  • 安全性需求:憑證管理員

  • 頻率:每天

  • 技術需求:憑證授權單位 MMC 嵌入式管理單元

工作詳細資訊

每日檢查 [要求] 資料夾檢視是否有任何要求排入佇列。在發行憑證之前,請先仔細檢查要求,針對要求者和所要求的內容進行確認。請確認其是否包含應有的主體名稱、次要主體名稱、金鑰使用、原則以及延伸標準。如果您對其中任何一項有疑問,請勿核准該要求。

您也可以設定 CA,使其針對不同事件傳送電子郵件警告,包括收到擱置要求的警告。請參閱<為擱置的憑證要求設定 SMTP 警告>程序。

檢查擱置的要求

  1. 以「憑證管理員」成員的身份登入發行的 CA。(您可以重新導向 CA 上的「憑證授權單位 MMC」,從遠端電腦執行此工作。)

  2. 開啟 [憑證授權單位 MMC],然後開啟 [要求] 資料夾。

  3. 若要檢視資料夾中任何要求的詳細資訊,請於該要求上按一下滑鼠右鍵,然後在 [檢視] 子功能表中,按一下 [檢視屬性/延伸]。

    附註:[屬性] 索引標籤會顯示與要求一起收到的要求屬性,[延伸] 索引標籤則會顯示憑證中將使用的憑證延伸。每個延伸項目都會說明其存在的原因,包括:要求中包含該項目、該項目是伺服器所提供的值,或該項目是由<CA 原則>單元所定義的 (最後這項原因通常表示該項目是在「憑證範本」中所定義的延伸)。

    根據組織的原則,您可能還會希望能夠取得關於要求的一些其他資訊。這些資訊可以親自或是透過電話、電子郵件或其他方法來提供。

  4. 確定要求的有效性之後,您可以於該要求上按一下滑鼠右鍵,然後在 [工作] 子功能表中按一下 [發行],以核准此要求。如果您對上述要求的有效性仍不滿意,則可在同一功能表中按一下 [拒絕],以拒絕此要求。

更新根 CA 憑證

您必須定期更新 CA 憑證,讓次級 CA 和終端個體可以使用此 CA 來註冊憑證。此 CA 與其次級 CA 所發行的憑證,其到期日不能晚於此 CA 憑證的到期日。更新 CA 憑證的其他原因包括:

  • 變更 CA 使用的金鑰 (以防 CA 洩漏,或減少洩漏之虞)

  • 將憑證原則新增至 CA (合格的次級關係)。

  • 變更 CDP 或「授權資訊存取 (AIA)」路徑。

  • 分割憑證撤銷清單 (CRL)

一般而言,您永遠都應在每次更新後變更 CA 金鑰。如果您想使用同一金鑰進行更新,請參閱以下程序<使用同一金鑰更新根 CA 憑證>。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:每 8 年

  • 技術需求

    • Certutil.exe

    • MSS 指令碼

    • 憑證授權單位 MMC 嵌入式管理單元

    • 文字編輯器

      注意:更新「根 CA」憑證是非常重要的事件。請務必通知任何受到影響的新根憑證之應用程式擁有者,因為他們可能需要將這個新的根憑證設定到自己的應用程式。

工作詳細資訊

更新根 CA 憑證

  1. 以本機的「系統管理員」群組成員身份登入「根 CA」。

  2. 如果需要變更金鑰大小,您必須編輯儲存於 %systemroot% 目錄中的 CAPolicy.inf 檔案。將 RenewalKeyLength的值變更為所需的位元大小。金鑰大小必須獲得 CA 所用 Crypto Service Provider (CSP) 的支援。在以下範例中,此值為 2048。

    [Certsrv_Server]
    RenewalKeyLength=2048
    

    附註:如果需要變更 CA 憑證的有效期或憑證原則,您必須在開始執行此程序之前,先在 CAPolicy.inf (位於 %systemroot%) 中加以指定。

  3. 開啟 [憑證授權單位 MMC 嵌入式管理單元]。在 CA 物件的 [工作] 功能表中,按一下 [更新 CA 憑證]。將出現憑證服務警告,告訴您必須停止 CA 以更新憑證。

  4. 選取 [新的金鑰] 選項。「憑證服務」將重新啟動。

  5. 從 CA 屬性檢視憑證,驗證最新 CA 憑證的 [有效期自]是否為目前的日期。

  6. 發行 CRL,並使用下列命令將該 CRL 和新的 CA 憑證複製到磁碟:

    Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf

    Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf

  7. 將磁碟置於發行 CA。(您可以使用安裝了 certutil.exe 與此解決方案提供之指令碼的任何網域成員即可 - 不必是發行 CA。)

  8. 以「企業 PKI 系統管理員」群組成員的身份登入,然後執行下列指令碼:

    Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf

    附註:建議您同時更新所有次級 CA。但是您並非一定要如此。(請參閱<更新發行 CA 憑證>。)

  9. 備份「根 CA」的憑證和金鑰 (請參閱<備份 CA 金鑰和憑證>。)

  10. 備份「根 CA」的憑證資料庫和系統狀態 (請參閱<備份根 CA 資料庫>。)

更新發行 CA 憑證

您必須定期更新 CA 憑證,讓終端個體 (以及次級 CA;若有的話) 可以繼續使用此 CA 來註冊憑證。此 CA 所發行的憑證,其到期日不能晚於此 CA 憑證的到期日。更新 CA 憑證的其他原因包括:

  • 變更 CA 使用的金鑰 (已洩漏或可能會洩漏時)

  • 將憑證原則新增至 CA (合格的次級關係)。

  • 變更 CDP 或 AIA 路徑

  • 分割 CRL

一般而言,您永遠都應在每次更新後變更 CA 金鑰。如果您想使用同一金鑰進行更新,請參閱以下程序<使用同一金鑰更新根 CA 憑證>。

摘要資訊
  • 安全性需求

    • 發行 CA 的本機系統管理員

    • 根 CA 的憑證管理員

    • 企業 PKI 系統管理員

  • 頻率:每 4 年

  • 技術需求

    • Certutil.exe

    • MSS 指令碼

    • 憑證授權單位 MMC 嵌入式管理單元

    • 文字編輯器

      重要事項:為了成功更新 CA 憑證並將其發佈到 Active Directory NTAuth 儲存區 (其會將 CA 視為「企業型 CA」),您必須使用同時為「企業 PKI 系統管理員」和「本機系統管理員」群組成員的帳戶來安裝 CA 憑證。前一群組擁有將憑證發佈至目錄的權限,而後者則擁有將 CA 憑證安裝在 CA 上的權限。

工作詳細資訊

更新發行 CA 憑證

  1. 以「本機系統管理員」群組成員的身分登入「發行 CA」。

  2. 如果需要變更金鑰大小,您必須編輯儲存於 %systemroot% 目錄中的 CAPolicy.inf 檔案。將 RenewalKeyLength 的值變更為所要的位元大小 (金鑰大小必須獲得 CA 所用 CSP 的支援)。

    [Certsrv_Server]
    RenewalKeyLength=2048
    

    重要事項:如果需要變更 CA 憑證的有效期或憑證原則,您必須在開始執行此程序之前,先在 CAPolicy.inf (位於 %systemroot%) 中加以指定。

  3. 請開啟「憑證授權單位 MMC 嵌入式管理單元」,然後在 CA 物件的 [工作] 功能表中,按一下 [更新 CA 憑證]。

  4. 選取 [新的金鑰] 選項。

  5. 當系統提示選取要將更新送往的 CA 時,按一下 [取消] 可將要求檔案儲存到磁碟。然後「憑證服務」將重新啟動。

  6. 將憑證要求檔案複製至磁碟。系統會產生憑證要求,並將其儲存到「共用資料夾」路徑 (C:\CAConfig)。將此檔案 HQ-CA-02.woodgrovebank.com_Woodgrove Bank Issuing CA 1.req 複製到磁碟 (請以 CA 的詳細資訊來置換斜體文字)。

  7. 將磁碟置於「根 CA」,並以本機「憑證管理員」群組成員的身份登入。

  8. 在「憑證授權單位 MMC 嵌入式管理單元」的 CA [工作] 功能表中,按一下 [提交新要求],然後提交來自發行 CA 的要求 (位於次級 CA 要求磁碟上)。

  9. 「根 CA」要求手動核准所有要求。在 [擱置要求] 容器中找到要求,檢驗 [一般名稱] 欄位中是否包含發行 CA 的名稱,然後核准 (發行) 該要求。

  10. 在 [已發行的憑證] 容器中找到最新發行的憑證,然後將其開啟。

  11. 驗證憑證的詳細資訊是否正確,然後按一下 [複製到檔案],將憑證匯出至檔案。將檔案作為 PKCS#7 在磁碟上另存新檔(以便傳回發行 CA)。

  12. 使用「企業 PKI 系統管理員」本機「系統管理員」群組兩者的成員帳戶登入發行 CA。然後插入磁碟。

  13. 在「憑證授權單位 MMC 嵌入式管理單元」的 CA [工作] 功能表中,按一下 [安裝憑證]。從磁碟上安裝「發行 CA」憑證。CA 將重新啟動。

  14. 從 CA 屬性檢視憑證,驗證最新 CA 憑證的 [有效期自] 是否為目前的日期。

  15. 將新 CA 憑證發佈至 CDP 網頁發佈位置。(請參閱<將發行 CA 憑證發佈至網頁伺服器>程序。)

  16. 備份發行 CA 的憑證和金鑰。(請參閱<備份 CA 金鑰和憑證>程序。)

  17. 備份「根 CA」的憑證資料庫和系統狀態 (請參閱<備份根 CA 資料庫>程序。)

  18. 備份發行 CA 的憑證資料庫和系統狀態。(請參閱<設定發行 CA 資料庫備份>程序。) 進行每日例行備份時,肯定會執行此備份。

使用同一金鑰更新根 CA 憑證

一般而言,您永遠都應在每次排定的 CA 憑證更新時,變更「根 CA」的金鑰 (請參閱<更新根 CA 憑證>程序)。如果在保留同一金鑰組的情況下,必須變更 CA 原則或延伸憑證的有效期限,則您可能需要在不更新金鑰的情況下變更 CA 憑證。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:需要時

  • 技術需求

    • Certutil.exe

    • MSS 指令碼

    • 文字編輯器

工作詳細資訊

在不變更 CA 金鑰的情況下更新根 CA 憑證

  • 請遵循<更新根 CA 憑證>程序,但在系統提示您使用新金鑰進行更新時,按一下 [否]。變更 CAPolicy.inf 檔案中 RenewalKeyLength 的數值不會有任何影響。

除了在產生新金鑰的提示中按一下 [否] 之外,此程序與<更新根 CA 憑證>完全相同。

注意:更新「根 CA」憑證是非常重要的事件。請務必通知任何受到影響的新根憑證之應用程式擁有者,因為他們可能需要將這個新的根憑證設定到自己的應用程式。

使用同一金鑰更新發行 CA 憑證

一般而言,您永遠都應在每次排定的 CA 憑證更新時變更 CA 的金鑰 (請參閱「更新發行 CA 憑證」。) 如果在保留同一金鑰組的情況下,必須變更 CA 原則或延伸憑證的有效期限,則您可能需要在不更新金鑰的情況下變更 CA 憑證。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:需要時

  • 技術需求

    • Certutil.exe

    • MSS 指令碼

    • 憑證授權 MMC 嵌入式管理單元

    • 文字編輯器

工作詳細資訊

在不變更 CA 金鑰的情況下更新發行 CA 憑證

  • 請遵循<更新根 CA 憑證>程序,但在系統提示您使用新金鑰進行更新時,按一下 [否]。變更 CAPolicy.inf 檔案中 RenewalKeyLength 的數值不會有任何影響。

除了在產生新金鑰的提示中按一下 [否] 之外,此程序與<更新發行 CA 憑證>程序完全相同。

發佈離線 CRL 和 CA 憑證

您必須將離線 CA 的憑證撤銷清單 (CRL) 發佈到線上,這樣憑證使用者才能檢查整個 CA 鏈結的撤銷狀態。

摘要資訊
  • 安全性需求

    • CA 的本機系統管理員

    • 企業 PKI 發行者

  • 頻率:每隔六個月一次,或視需要而定

  • 技術需求

    • Certutil.exe

    • MSS 指令碼

工作詳細資訊

將離線根 CRL 發佈至 Active Directory 和網址

  1. 以「CA 系統管理員」群組成員的身份登入「根 CA」。

  2. 發行 CRL,並使用下列命令將該 CRL 和新的 CA 憑證複製到磁碟:

    Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf

    Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf

  3. 將磁碟置於發行 CA。(伺服器不必是發行 CA — 只要是安裝了 certutil.exe 與 MSS 指令碼的任何網域成員即可。)

  4. 以「企業 PKI 發行者」成員的身份登入,然後執行下列指令碼:

    Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf

強制發行線上 CRL

線上「企業 CA」的 CRL 是自動發行和發佈的;通常不需要強制發行線上 CRL。但是,如果發生重大的撤銷 (如 CA 發行的所有憑證), 且必須儘快發佈新的 CRL,則可能需要強制發行線上 CRL。

附註:您無法將 CRL 傳送到用戶端 - 它們將保持已有的快取複本直至其過期。但從發佈新 CRL 之時起,申請 CRL 的用戶端均將收到新 CRL (傳播延遲除外)。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:需要時

  • 技術需求:憑證授權單位 MMC 嵌入式管理單元

工作詳細資訊

將離線 CA CRL 發行並發佈到 Active Directory

  1. 以「CA 系統管理員」成員的身份登入 CA,並載入 [憑證授權單位 MMC 嵌入式管理單元]。

  2. 按一下 [發佈],從 [撤銷憑證] 資料夾的 [工作] 功能表中發行新的 CRL。

  3. 選取 [新增 CRL],發行一個基本 CRL 或 Delta CRL (僅限新的 Delta CRL)。

將發行 CA 憑證發佈至網頁伺服器

「發行 CA」憑證必須發佈到 HTTP (超文字傳輸通訊協定) AIA 位置。

摘要資訊
  • 安全性需求:企業 PKI 發行者

  • 頻率:需要時

  • 技術需求

    • MSS 指令碼

    • Certutil.exe

工作詳細資訊

設定 CA 直接發佈到 Web 伺服器資料夾,這在技術上是可能的。不過,基於安全性及網路連線原因,這個方法不一定實際可行。下列方法則是使用簡單的檔案複製技術,但您可以將其延伸,以配合大多數設定。

附註:由於這個方法需要直接網路連線,並使用伺服器訊息區 (SMB) 檔案共用功能 (通常會遭到防火牆封鎖),因此可能不適用於直接發佈至與網際網路連線的網頁伺服器。若要發佈至網際網路伺服器,請使用以下方法發佈至某個中間位置,然後再使用標準方法將內容安全地發佈至網頁伺服器。使用此方法時,請記得所需的時間會增加。

CA 憑證很少更新,因此您可以在更新 CA 憑證時手動發佈到 AIA 上。

發佈發行 CA 的憑證

  1. 以具有已發佈 [網頁伺服器] 資料夾的寫入權限之帳戶登入「發行 CA」。

  2. 如果網頁伺服器位於遠端伺服器上,請確定 [網頁伺服器] 資料夾已共用。記錄共用資料夾的「通用命名慣例 (UNC)」路徑。

  3. 如果網頁伺服器與 CA 位於同一伺服器上,則記錄至資料夾的本機路徑。

  4. 在 C:\MSSScripts\PKIParams.vbs 中更新 WWW_REMOTE_PUB_PATH 參數,以符合 [網頁伺服器] 資料夾的目標路徑 (預設值為本機路徑 C:\CAWWWPub)。

  5. 執行以下指令,將 CA 憑證發佈至網頁伺服器:

    Cscript //job:PublishIssCertsToIIS C:\MSSScripts\CA_Operations.wsf

將發行 CA CRL 發佈至網頁伺服器

您必須將「發行 CA」CRL 發佈至 HTTP「CRL 發佈點 (CDP)」位置。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:設定工作

  • 技術需求

    • MSS 指令碼

    • Certutil.exe

    • Windows 工作排程器服務

    • SchTasks.exe

工作詳細資訊

設定 CA 直接發佈到 Web 伺服器資料夾,這在技術上是可能的。不過,基於安全性及網路連線原因,這個方法不一定實際可行。下列方法則是使用簡單的檔案複製技術,但您可以將其延伸,以配合大多數設定。

附註:由於這個方法使用伺服器訊息區 (SMB) 檔案共用功能,並需要通常會遭到防火牆封鎖的直接網路連線,因此可能不適用於發佈至與網際網路連線的網頁伺服器。若要發佈至網際網路伺服器,請使用以下方法發佈至某個中間位置,然後再使用標準方法將內容安全地發佈至網頁伺服器。使用這種方法必須要考慮到,引入這個方法會增加延遲時間,以及對於 CRL 最新程度的可能影響。

「發行 CA」經常 (以 Delta CRL 為例,每天一次或每小時一次) 發行 CRL。因此,必須以自動的方式,將 CRL 複製到網頁伺服器。

自動發佈 CRL

  1. 使用本機的「系統管理員」成員帳戶登入「發行 CA」。

  2. 確保 [網頁伺服器] 資料夾可以從此伺服器存取 (以遠端共用或使用本機路徑的方式)。

  3. 如果 Web 伺服器在遠端,請根據發佈的 Web 伺服器資料夾,將發行 CA 電腦帳戶的「寫入」存取權,授與檔案系統資料夾 (「修改」存取權),及共用目錄 (「變更」存取權)。如果網頁伺服器是樹系成員,您就可以使用「憑證發佈者群組」來授與存取權;以確保所有企業 CA 都有必要權限,可以將憑證及 CRL 發佈到這個資料夾。您不必變更 Web 伺服器權限。(請參閱第 6 章的<為 AIA 和 CDP 發佈設定 IIS>一節。)

  4. 建立以下列命令複製 CRL 的排定工作:

    schtasks /create /tn "Publish CRLs" /tr "cscript.exe
    //job:PublishIssCRLsToIIS \"C:\MSSScripts\CA_Operations.wsf\""
    /sc Hourly /ru "System"

    這個命令以多行顯示;實際輸入時請勿分行。)

    附註:這個程序會建立排定工作,每隔一小時將 CA 的 CRL 發佈到 Web 伺服器。這個間隔足以應付每日或半日 Delta CRL 發佈排程。如果您的 CRL 排程更頻繁,請更經常執行複製工作。原則上,複製工作排程必須大約是 Delta CRL 排程的百分之五到十。

儲存管理

儲存管理處理站上與離站資料儲存,以達到資料還原和歷史歸檔的目的。儲存管理小組必須確保備份及保存的實體安全性。儲存管理的目標是定義、追蹤以及維護生產 IT 環境中的資料和資料資源。

設定發行 CA 資料庫備份

此作業的目的是為了要備份 CA 私密金鑰和憑證、「憑證」資料庫及「憑證服務」設定資訊的複本。憑證服務設定資訊包含 CA 所需的任何作業系統設定及其他狀態資訊。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:設定工作

  • 技術需求

    • Windows 備份

    • 組織備份系統

    • Windows 工作排程器服務

    • SchTasks.exe

工作詳細資訊

此項工作會設定排程工作,在夜間執行 CA 伺服器的系統狀態備份。程序會假設您的組織目前具有伺服器備份系統。這個備份程序會輸出到備份檔案,接著可由您組織的備份系統予以備份。組織備份可能是網路備份,也可能是本機裝置備份。該解決方案還假設您組織的伺服器備份系統會在夜間備份 CA 伺服器的磁碟。

附註:如果您使用的是「硬體安全性模組 (HSM)」,則此程序可以備份已加密的金鑰資料 (視 HSM 的運作方式而定),但在還原的電腦中如果沒有相同的 HSM 和 HSM 存取金鑰,則通常無法使用此備份。請遵循 HSM 廠商指示,備份及安全防護金鑰資料及存取金鑰。

設定 CA 備份

  1. 建立一個用來儲存暫時備份檔案的目錄 (例如 C:\CABackup),並執行下列命令保護該目錄:

    cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C

    (這個命令以多行顯示;實際輸入時請勿分行。)

  2. 如果您選擇使用不同的資料夾來儲存備份,則必須更新 pkiparams.vbs 中的相關設定。根據需要變更下行中的路徑。

    CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'path used by NTBackup
    

    附註:由於備份離線和線上 CA 所使用的是相同的指令碼函式,因此如果您要對不同 CA 使用不同路徑,則必須複製該指令碼。

  3. 使用下列命令,可安排在夜間執行備份工作。此命令會設定該工作在每天凌晨 2:00 執行。

    SCHTASKS /Create /RU system /SC Daily /TN "CA Backup" /TR "cscript.exe //job:BackupCADatabase \"C:\MSSScripts\ca_operations.wsf\"" /ST 02:00

    這個命令以多行顯示;實際輸入時請勿分行。)

    附註:只有在這個指令碼的檔案或路徑名稱中有內嵌空格時,才需要在指令碼名稱 "C:\MSSScripts\ca_operations.wsf" 兩側使用反斜線並加上引號 (\")。反斜線用於「逸出」指令碼名稱旁邊的引號,使指令碼名稱與路徑能做為 schtasks 工作命令列的單一參數來儲存,而非被分割成數個部分。如果路徑名稱中沒有空格,則可以省略這些字元。

  4. 設定組織伺服器備份系統每天夜間將暫時備份資料夾 (C:\CABackup) 中的內容備份到卸除式媒體。如果可能的話,請設定指定條件指令碼,以檢查備份指令碼檔案執行時所建立的鎖定檔案 (儲存在暫時備份資料夾的 BackupRunning.lck 中)。如果此檔案已存在,則表示前一個備份程序失敗或仍在執行。或者讓組織備份系統將 CA 備份指令碼作為前置處理工作來執行。

    附註:每次執行備份指令碼 BackupCADatabase 時,都會檢查鎖定檔案。如果檔案存在,指令碼會將下列錯誤事件寫入應用程式的記錄中:

    來源:CA 作業

    事件 ID:30

    事件類型:錯誤

    CA 備份無法啟動,因為前一工作的鎖定檔案 C:\CABackup\BackupRunning.lck 仍存在。這表示前一個備份作業尚在執行。

    如果組織伺服器備份系統無法檢查指定條件或執行指令碼,則請設定排程,讓伺服器備份在「系統狀態」備份開始後的適當時間開始進行。若要估計允許執行的時間長度,請在關閉「憑證服務」服務的伺服器上執行系統狀態備份 (啟用驗證)。(關閉 CA 可防止 CA 記錄因為此測試備份的執行而遭到截斷。)這樣即可備份約 500 MB 的系統狀態資料。記錄這個程序所耗用的時間,並用下列方程式來估算 CA 資料庫和系統狀態備份所耗用的時間:

    總計時間 = TSysState x (500 + (Nusers x NCerts x 20KB x 2)) ÷ 500

    這個方程式假定每位使用者和電腦每年擁有 5 份憑證,而且在封存之前會保留 5 年。如果允許每份憑證有 20 KB,計算的結果是每位使用者需 1 MB 的儲存空間。如果僅備份「系統狀態」需要的時間為 10 分鐘,則對於有 3,000 名使用者的 CA 應給予 70 分鐘的備份時間。這項計算僅能算出近似值;如果要用其他方法計算,50,000 份憑證每一份則允許 1 GB。

    附註:如果您使用金鑰保存,具有已保存金鑰的憑證將需要較大的儲存空間。對於這些憑證,每份允許額外的 10 KB (如果 CA 上設定了許多金鑰復原代理程式,可能需要額外的儲存空間)。

  5. 適當地儲存備份媒體。

    注意:這個備份資料包含 CA 的私密金鑰資料,因此極為機密。在傳輸與存放資料時,必須與對待 CA 本身一樣的小心謹慎。備份資料與 CA 應分開存放,萬一現場所有電腦裝置損毀或無法存取,便可以復原 CA。

設定根 CA 資料庫備份

這個作業的目的,是準備 CA 私密金鑰及憑證、憑證資料庫,以及憑證服務設定資訊的備份。憑證服務設定資訊包含 CA 所需的任何作業系統設定及其他狀態資訊。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:設定工作

  • 技術需求

    • Windows 備份

    • 卸除式媒體 (例如 CD-RW 或磁帶)

工作詳細資訊

根 CA 通常僅發行一些憑證,所以資料不會變得太大。資料變化不大,可能幾年才變更一次。對於其他像是中繼 CA 的離線 CA,這個程序也是一樣。

由於「根 CA」處於離線狀態,因此會需要某種本機備份裝置 (例如磁帶機或可寫入 CA),來儲存備份檔案。

注意:如果您使用的是 HSM,此程序可以備份已加密的金鑰資料 (取決於 HSM 的運作方式),但在還原的電腦中如果沒有相同的 HSM 和 HSM 存取金鑰,則通常無法使用此備份金鑰。請遵循 HSM 廠商指示,備份及安全防護金鑰資料及存取金鑰。

設定 CA 備份

  1. 建立一個用來儲存備份檔案的目錄 (例如 C:\CABackup),並執行下列命令保護該目錄:

    cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C

    這個命令以多行顯示;實際輸入時請勿分行。)

  2. 如果您選擇使用不同的資料夾來儲存備份,則必須更新 pkiparams.vbs 中的相關設定。根據需要,變更下行中的路徑。

    CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'path used by NTBackup 
    

備份根 CA 資料庫

本工作的目的是備份 CA 私密金鑰和憑證、「憑證」資料庫及「憑證服務」設定資訊。憑證服務設定資訊包含 CA 所需的任何作業系統設定及其他狀態資訊。

摘要資訊
  • 安全性需求:CA 備份操作員

  • 頻率:每次發行或撤銷新憑證時

  • 技術需求

    • Windows 備份

    • 卸除式媒體 (例如 CD-RW 或磁帶)

工作詳細資訊

根 CA 通常僅發行一些憑證,所以資料不會變得太大。資料變化不大,可能幾年才變更一次。對於其他像是中繼 CA 的離線 CA,這個程序也是一樣。

由於「根 CA」處於離線狀態,因此會需要某種本機備份裝置 (例如磁帶機或可寫入 CA)。

注意:如果您使用的是 HSM,此程序可以備份已加密的金鑰資料 (取決於 HSM 的運作方式),但在還原的電腦中如果沒有相同的 HSM 和 HSM 存取金鑰,則通常無法使用此備份金鑰。請遵循 HSM 廠商指示,備份及安全防護金鑰資料及存取金鑰。

備份根 CA

  1. 執行下列命令,將 CA 資料備份到暫存檔案:

    cscript //job:BackupCADatabase C:\MSSScripts\ca_operations.wsf

  2. 這個命令在事先選定的路徑 (預設路徑為 C:\CABackup) 中產生備份檔案 CABackup.bkf。請將這個檔案複製到卸除式媒體,並妥善存放這個卸除式媒體。

    注意:這個備份資料包含 CA 的私密金鑰資料,因此極為機密。在傳輸與存放資料時,必須與對待 CA 本身一樣的小心謹慎。備份資料與 CA 本身應分開存放,萬一現場所有電腦裝置損毀或無法存取,便可以復原 CA。

備份 CA 金鑰和憑證

CA 憑證和金鑰的備份,應與「憑證資料庫」分開。如果 CA 伺服器發生失敗且無法及時修復,則簽署 CRL 或憑證時,可能會需要 CA 私密金鑰和憑證。

摘要資訊
  • 安全性需求:CA 備份操作員

  • 頻率:每年一次;或每次更新 CA 憑證時 (以其中較先發生者為準)

  • 技術需求

    • Certutil.exe

    • MSS 指令碼

工作詳細資訊

儲存 CA 金鑰和憑證僅需佔用數千位元組,故可將其儲存到磁碟。此工作適用於組織中的「根 CA」及任何中繼 CA 和「發行 CA」。如果要將金鑰備份到長期儲存裝置,例如 CD 或 DVD,您就不需要每年備份。如果您使用磁性媒體,例如軟碟片或磁帶,則每年以及更新 CA 憑證之後應備份金鑰與憑證。磁性媒體上記錄的訊號會隨著時間劣化,特別是暴露於電力場的話。雖然磁性媒體可能需要多年時間才會劣化而且無法讀取,寧可過度謹慎也不要放鬆。

注意:如果您使用的是 HSM,則此程序將不會如此運作。請遵循 HSM 廠商指示,備份及安全防護金鑰資料及存取金鑰。

將憑證和金鑰匯出至磁碟

  1. 執行以下命令:

    cscript //job:BackupCAKeys c:\MMSScripts\ca_operations.wsf

    至少在不同磁碟上分別備份一次 (因為磁碟並非總是 100% 可靠)。請在磁碟上清楚加上標籤並標明日期,因為這些磁碟可能要經過很久以後才會再次用到。

    指令碼使用 certutil.exe 將 CA 金鑰和憑證匯出至 PKCS#12 (P12) 檔案,其位置如下:

    A:\CAKeyBackup\CAComputerName\yymmdd_hhmm\CA Common Name.p12

    CAComputerName 是 CA 的主機名稱;yymmdd_hhmm 是備份的日期和時間。

  2. 系統提示時輸入密碼。

    重要事項:記錄此密碼並將其儲存在金鑰備份以外的位置,但同樣要安全。密碼記錄應清楚指示它所對應的備份 (磁碟標籤、日期和 CA 名稱)。再次使用該密碼可能是許多個月或多年之後,可能沒有人會記得當初使用的密碼。請務必銷毀此密碼所有的其他記錄。請勿使用管理人員知道的密碼。

  3. 妥善儲存磁碟。對於 CA 資料庫備份,應確保這些金鑰備份受到高度保護。請將至少兩份憑證和金鑰的備份儲存在兩個不同的安全位置 (如保險箱)。

測試 CA 資料庫備份

檢查 CA 備份,以確定備份程序和技術是否正確執行。

摘要資訊
  • 安全性需求:測試電腦上的本機系統管理員或備份操作員

  • 頻率

    • 在 CA 進入運作前

    • 每月

    • 於備份技術或程序有任何變更時重新進行測試

  • 技術需求

    • Windows 備份

    • 組織備份系統

    • Certutil.exe

    • Cipher.exe

工作詳細資訊

您必須將系統狀態備份還原到具有相同磁碟配置的系統上。例如,安裝 Windows 的目錄路徑必須與所備份系統的目錄路徑相同,且儲存 Windows 檔案 (如分頁檔案) 以及 CA 資料庫和記錄的磁碟機配置,必須與備份來源的 CA 相同。

重要事項:在系統狀態備份檔案從備份媒體復原之後 (且在開始還原「系統狀態」之前),還原的測試伺服器便應保持離線狀態。這種與網路的分隔將能避免不必要地暴露已還原的 CA 金鑰,且避免測試伺服器與原始伺服器的名稱重複和 IP 地址衝突。

警告:如果您使用的是 (HSM),則此程序並不足以完全還原 CA。根據 HSM 的運作方式,如果沒有相同的 HSM 和 HSM 存取金鑰,則還原的電腦將無法使用。此狀況在一般測試時也許已經足夠,但請您針對 HSM 復原定期執行完整還原,以確保您的程序和備份技術均正常運作。請遵循 HSM 廠商的指示進行備份、還原,以及保護金鑰資料和存取金鑰。

還原 CA

  1. 將系統狀態備份檔案從備份媒體還原到 C:\CABackup 資料夾。

  2. 執行「Windows 備份」公用程式,並選取 C:\CABackup 中已還原的備份檔案。您必須是在電腦上具有「備份」和「還原」權限之群組的成員 (如「CA 備份操作員」、「備份操作員」,或「系統管理員」)。

  3. 按一下 [還原]。

  4. 重新啟動系統。

  5. 確認一切均如預期執行。

  6. 測試結束後,請安全刪除測試伺服器的磁碟內容 (或至少刪除金鑰)。

如果您決定僅刪除金鑰,首先必須刪除 CA 金鑰容器,然後安全清除磁碟上未配置的部分。您必須是本機「系統管理員」群組的成員,才能執行此作業。

安全刪除復原的 CA 金鑰

  1. 以下列命令,列出測試伺服器上的金鑰容器:

    Certutil –key

  2. 記下符合 CA 名稱的所有容器 (包括具有索引字尾的容器)。例如:"Woodgrove Bank Issuing CA 1(1)"。

  3. 以下列命令從測試伺服器刪除這些金鑰容器,並以先前步驟所得到的值,來取代 KeyContainerName。

    Certutil –delkey KeyContainerName

  4. 安全清除磁碟上尚未配置的空間,以確保從磁碟完全移除金鑰資料。在下列命令中,%allusersprofile% 路徑使得加密命令在保存金鑰資料的磁碟機上執行。

    Cipher /W:%AllUsersProfile%

測試 CA 金鑰備份

定期檢查 CA 金鑰備份,以確保金鑰隨時都有效,以備不時之需。

摘要資訊
  • 安全性需求:測試電腦上的本機系統管理員

  • 頻率

    • 設定工作 (在 CA 進入運作前)

    • 每隔六個月一次

  • 技術需求

    • Certutil.exe

    • Cipher.exe

工作詳細資訊

您可以在任何系統上安裝 CA 金鑰和憑證。但是,由於這些金鑰具有高度敏感性,因此這個系統應是受信任而且離線的系統,特別是對於離線的根 CA金鑰而言。若要確定已從電腦上移除所有金鑰資料,請在專門用於此用途的電腦上。建立一個單獨的暫時本機帳戶 (這個帳戶可使用任何名稱)。

注意:如果您使用的是 HSM,則此程序將不會如此運作。按照 HSM 廠商的指示來進行備份與還原,或是保護機碼資料和存取機碼。

還原 CA 金鑰

  1. 請確定電腦已中斷網絡連線。以本機「系統管理員」的身分登入,並建立 TestCAKeys 本機使用者帳戶。

  2. 用 TestCAKeys 帳戶登入。

  3. 插入內含待測試 CA 金鑰備份的磁碟。

  4. 從 [Windows 檔案總管] 瀏覽至 P12 金鑰檔案,然後連按兩下檔案。「憑證匯入精靈」將會啟動。

  5. 系統提示時請輸入密碼。不要選取能使金鑰獲得最高保護層級的核取方塊,或能使金鑰匯出的核取方塊。

  6. 按一下 [將所有憑證放入以下的存放區],再按 [瀏覽],並選取 [個人 存放區] 作為還原 CA 金鑰的位置。

  7. 開啟「憑證 MMC 嵌入式管理單元」後瀏覽至個人存放區。尋找已還原 CA 的「CA 憑證」,然後開啟該憑證,驗證您是否已取得對應的私密金鑰。(您應在在 [一般] 索引標籤的底部看到這個顯示。)

測試還原的金鑰

  1. 取得由要測試的 CA 所發行的 CRL 或憑證。

  2. 請根據您在前一步驟中選擇的是 CRL 還是憑證,執行下列其中一個相關指令,並以步驟 1  所取得的檔案名稱來替代 CRLFileName CertFileName

    Certutil -sign CRLFileName.crl NewCRL.crl

    Certutil -sign CertFileName.cer NewCertFile.cer

  3. 系統提示時,選取 CA 憑證 (前一步驟中匯入的憑證) 作為簽章憑證。

  4. 執行下列 certutil 命令,以驗證簽章作業成功。命令的輸出應類似:

    C:\CA>Configcertutil -sign "Woodgrove Bank Issuing CA 1.crl" "Woodgrove Bank Issuing CA 1xxs.crl"

    ThisUpdate: 2/10/2003 10:52 PM

    NextUpdate: 2/25/2003 3:11 PM

    CRL Entries: 0

    Signing certificate Subject:

        CN=Woodgrove Bank Issuing CA 1

        DC=woodgrovebank,DC=com

    Output Length = 970

    CertUtil: -sign command completed successfully.

現在,您必須將金鑰從測試系統上清除。

從系統上清除金鑰

  1. 以本機「系統管理員」的身分登入,然後刪除 TestCAKeys 帳戶的使用者設定檔 (使用 [我的電腦] 中的 [進階內容])。

  2. 刪除 TestCAKeys 帳戶。

  3. 執行以下命令,安全地清除磁碟未配置的區域以永久性移除金鑰的追蹤:

    Cipher /W:%AllUsersProfile%

    附註:指定 %allusersprofile% 作為路徑,可以確保 Cipher.exe 會在保存使用者設定檔的磁碟機上執行。它會清理整個磁碟機而並不僅僅是指示的路徑。

保存來自 CA 的安全性稽核資料

請依法律規定或內部安全性原則來封存和儲存稽核記錄。

摘要資訊
  • 安全性需求

    • CA 稽核員

    • CA 的本機系統管理員

  • 頻率

    • 每月一次 (發行 CA)

    • 每隔六個月一次 (根 CA)

  • 技術需求

    • 事件檢視器

    • 卸除式媒體 (例如 CD-RW 或磁帶)

工作詳細資訊

保存安全性事件記錄

  1. 以「CA 稽核員」和本機「系統管理員」成員的身份登入伺服器 (建立一個同時屬於兩個群組的帳戶)。

  2. 開啟 [事件檢視器] (依序按一下 [開始]、[程式集] 及 [系統管理工具])。

  3. 按一下 [安全性] 記錄資料夾並加以選取。

  4. 以滑鼠右鍵按一下資料夾,並從下拉式功能表中按一下 [將記錄另存為]。

  5. 將記錄儲存到暫時檔案中。

  6. 將記錄檔複製至卸除式媒體 (CD-RW),然後將暫時檔刪除。

從 Active Directory 匯出憑證範本

您可以從目錄儲存憑證範本定義,以便將來還原範本時不必執行全部目錄還原。

摘要資訊
  • 安全性需求:網域使用者

  • 頻率:需要時

  • 技術需求

    • Idifde.exe

    • 憑證範本 MMC 嵌入式管理單元

工作詳細資訊

此程序說明如何使用簡單的方法,將憑證範本 Active Directory 物件匯出至檔案, 然後再將這個物件重新匯入目錄 (如有需要)。此方法只能儲存範本物件的 LDAP 資訊。其他資訊,特別是安全性資訊 (例如擁有權、權限等資訊) 則無法使用此程序來保存。

附註:備份和還原 Active Directory 物件唯一的完整支援方法,是使用專門的目錄備份方法,如「Windows 系統狀態」備份。但是,若要還原已變更物件的較舊版本,則需要使用複雜的 Active Directory 授權還原程序。此程序說明如何使用簡單的方法,來備份並還原憑證範本物件快照。

匯出憑證範本物件

  1. 決定您要備份的範本名稱。此名稱不一定要與範本的顯示名稱相同。請利用範本 [一般] 索引標籤上的範本屬性 (使用「憑證範本 MMC 嵌入式管理單元」),來查看 [範本名稱] 和 [範本顯示名稱]。

  2. 使用網域使用者帳戶,登入網域成員伺服器或網域控制站。

  3. 執行下列命令,將範本詳細資訊儲存到檔案 templatename.ldif 中,並以憑證範本的名稱來替代其中的 templatename,且以您樹系的 DN 來替代其中的 DC=woodgrovebank,DC=com

    ldifde -f templatename.ldif -d "cn=templatename, cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,DC=woodgrovebank,DC=com"

    這個命令以多行顯示;實際輸入時請勿分行。)

  4. templatename.ldif 檔案會儲存到目前的目錄中。將 templatename.ldif 檔案儲存在安全的位置。

將 Active Directory 匯入憑證範本

如果您想從備份來還原範本 (例如,回復不想要的範本修改),可將先前儲存的憑證範本定義重新匯入至 Active Directory。

摘要資訊
  • 安全性需求:企業 PKI 系統管理員

  • 頻率:需要時

  • 技術需求:Idifde.exe

工作詳細資訊

此程序說明如何從檔案還原憑證範本定義。該檔案必須是先前使用<從 Active Directory 匯出憑證範本>程序所建立的檔案。此方法只能還原範本物件的 LDAP 資訊。其他資訊,特別是安全性資訊 (擁有權、權限等) 則無法使用此程序來保存。

附註:備份和還原 Active Directory 物件的唯一獲得完整支援的方法,是使用專門的目錄備份方法,如「Windows 系統狀態」備份。但是,若要還原已變更物件的較舊版本,則需要使用複雜的 Active Directory 授權還原程序。此程序說明如何使用簡單的方法,來備份並還原憑證範本物件快照。

此程序不能代替 Active Directory 備份和還原,而且僅能在符合此處說明的特定情況下使用。

匯入憑證範本物件

  1. 擷取<從 Active Directory 匯出憑證範本>程序所建立的已匯出範本定義檔案。

  2. 以「企業 PKI 系統管理員」成員的身份,登入網域成員伺服器或網域控制站。

  3. 如要替換現有的範本,請先備份不需要的範本 (使用前面介紹的方法),記下範本權限,然後刪除這個範本。

  4. 在「記事本」(或類似的文字編輯器) 中開啟該檔案,並搜尋開頭為 "objectGUID:" 的行。該行將類似下列,但是冒號後面的字元不同:

    objectGUID:: b/pVt//+I0i9hp8aJ7IWRg==

  5. 刪除該行 (切勿對檔案進行其他變更),然後儲存檔案。

  6. 執行下列命令,將範本從 templatename.ldif 檔案匯入 Active Directory,並以憑證範本的名稱來替代其中的 templatename

    ldifde -f templatename.ldif -i

  7. 開啟「憑證範本」MMC,並檢視已還原的範本,以驗證該程序是否成功。

  8. 將權限套用至還原的範本,這些權限為步驟 3 中所記錄的權限或適合此範本的權限。

服務監視和控制

服務監視允許作業人員即時觀察 IT 服務的狀態。

本節中參考到 MOM 之處都作了以下假設,即您遵照《MOM Operations Guide》(英文) 中的指南部署 MOM。MOM 並不是必需的,在此僅供說明之用。如需關於《MOM Operations Guide》(英文) 的詳細資訊,請參閱本章末尾的<其他資訊>一節。

分類監視警告

您的監視系統應該只向作業人員發出重大的警告。如果每次發生小錯誤便發出警告,則作業人員將無法判斷哪些警告是緊急的,而哪些則不必立即處理。

摘要資訊
  • 安全性需求:無

  • 頻率:設定工作

  • 技術需求:操作警告主控台 (例如 MOM)

工作詳細資訊

在此章中使用了下列警告類別。在這些當中,只有前三類 (「無法使用的服務」、「安全性破壞」、「嚴重錯誤」) 會在操作員主控台上產生警告,並要求立即處理。錯誤和警告並不視為緊急事件,應由 PKI 作業支援人員來解決。這些事件類別是 MOM 使用的預設,本節的後續工作說明將會參照它們。

表 11.9:警告類別

警告類別

說明

無法使用的服務

當應用程式或元件完全無法使用時。

安全性破壞

當應用程式受到駭客攻擊或洩漏時。

嚴重錯誤

當應用程序遇到嚴重錯誤,需要盡快執行系統管理動作 (但不必立即執行) 時。應用程式或元件在效能的 sub-par 層操作,但仍能執行大部分重要操作。

Error

當應用程式遇到暫時性問題,不需要立即執行 (甚至可能不需要) 任何系統管理動作或解決方案時。應用程式或元件在效能的可接受層作業,且仍能執行所有重要作業。

警告

當應用程式產生「警告」訊息,不需要立即執行 (甚至可能不需要) 系統管理動作或解決方案時。應用程式或元件在效能的可接受層作業,但仍能執行所有重要作業。如果問題持續存在,則此狀況可能會導致「錯誤」、「嚴重錯誤」、或「無法使用的服務」。

Information

當應用程式產生「資訊事件」時。應用程式或元件以可接受的效能運作,並能執行所有重要與非重要的作業。

成功

當應用程式產生「成功事件」時。應用程式或元件在效能的可接受層作業,並執行所有重要和不重要作業。

監視憑證服務容量限制

偵測潛在容量限制對於將服務維護在最佳層級很重要。當子系統接近其作業容量的極限時,效能會大幅降低 (通常是非線性方式)。因此監視容量變化趨勢,同時盡早識別並處理將達到限制的趨勢很重要。

摘要資訊
  • 安全性需求:監視解決方案指示的所需權限

  • 頻率:設定工作

  • 技術需求

    • 效能監視器

    • 效能計數器合併器 (例如 MOM)

    • 操作警告主控台 (例如 MOM)

    • 容量計劃工具

工作詳細資訊

下列效能計數器在識別「憑證服務」的容量限制時最為有用。處理器和實體磁碟是「憑證服務」最常使用的兩項資源,因此和網路介面或記憶體比較起來,它們可能會較早出現限制狀況。

表 11.10:憑證服務的關鍵容量監視計數器

效能物件

效能計數器

例項

處理器

處理器時間的百分比

_總計

實體磁碟

磁碟時間的百分比

_總計

實體磁碟

磁碟讀取的平均佇列長度

_總計

實體磁碟

磁碟寫入的平均佇列長度

D: (CA–DB)
C: (CA–Log)

網路介面

位元總計/秒

網路介面卡

記憶體 (Memory)

使用中承諾位元的百分比

–––


如需更多關於容量限制以及有關效能計數器的一般資訊,請參閱本章結尾的<其他資訊>一節內的參考資料。

在所有支援基礎結構上監視容量指示器也很重要。關鍵項目為:

  • 針對 Active Directory 的「憑證服務」通訊。企業 CA 使用 Active Directory 來執行驗證和授權服務、讀取並儲存 CA 和 PKI 設定資訊,以及根據憑證類型將已發行的憑證發佈到目錄。

  • 針對 Active Directory 的用戶端憑證相關通訊。用戶端從 Active Directory 讀取 CA 及 PKI 資訊。這項活動包括每一用戶端每週下載可能有數 MB 大小的 CRL。)

  • 針對網頁伺服器的用戶端憑證相關通訊。用戶端可以從網頁伺服器擷取 CRL 和 CA 憑證,雖然這像活動不太可能產生足以導致容量限制的負載,除非伺服器原本就已負載過重。

監視憑證服務的狀態和可用性

「憑證授權單位」通常不會提供線上或即時服務 (有些服務則必須連續處於線上狀態以提供有用的服務,例如 Active Directory 或 Microsoft SQL Server™)。但在 CA 作業中,仍有幾個關鍵層面,需要服務進行線上回應:

  • 撤銷資訊的可用性。必須提供目前的 CRL,以供任何想要檢查憑證撤銷狀態的憑證使用者來使用。

  • CA 憑證的有效性。CA 必須具有目前有效的憑證。無效的 CA 憑證會阻止對任何由該 CA 或其次級 CA 所發行之憑證的驗證, 同時還會阻止新憑證的發行。

  • 憑證註冊服務的可用性。若 CA 服務無法使用,則任何人都無法註冊或更新憑證。

如果無法使用前兩種層面中的任何一種,其影響都會遠大於最後一種。

摘要資訊
  • 安全性需求:MOM (或監視系統) 系統管理員

  • 頻率:設定工作

  • 技術需求

    • MSS 指令碼

    • 操作警告主控台 (例如 MOM 或電子郵件基礎結構)

    • 要執行的 MOM 代理程式或 Windows 工作排程器服務

工作詳細資訊

下表中所列出的事件,為最重要的「憑證服務」。表格說明每一事件類型的重要性,以及您應 (為操作主控台) 指定該事件哪些警告關鍵性。第二個表格列出偵測這些事件的方法,其中大部分是以這個解決方案提供的操作指令碼來偵測。

關鍵性欄位是有關於先前在<分類監視警告>程序中定義的警告類別。

表 11.11:主要憑證服務事件的關鍵性

憑證服務狀態

重要性

關鍵性

CRL 過期

無法存取有效的 CRL — 這個狀況目前正導致服務無法使用。

無法使用服務

CRL 逾期

CRL 仍有效,但新的 CRL 已逾期而尚未發佈。

危急

CRL 無法使用
子事件:
無法從   Active Directory 擷取 CRL
無法從網頁伺服器擷取 CRL

在已發佈 CRL 的發佈點上,無法取得 CRL。這個狀況可能正導致服務無法使用。

危急

CA 伺服器失敗

在網路上看不到伺服器。

無法使用服務

CA 作業系統處於危急狀態

伺服器硬體或 Windows 存在潛在的重大問題。

危急

CA 作業系統處於錯誤/警告狀態

伺服器硬體或 Windows 的潛在問題並非重大問題。

錯誤或警告 (按 MOM 規則定義)

憑證服務沒在線上
子事件:
   用戶端介面離線
   管理介面離線

「憑證服務」遠端程序呼叫 (RPC) 介面處於離線狀態 — 無法發行憑證。

危急

CA 憑證過期
子事件:
   此 CA 憑證已經過期
   父系 CA 憑證已經過期

CA 憑證已經過期。這個狀況正導致服務無法使用。

無法使用服務

CA 憑證的剩餘有效期不足一個月

如不進行更正,則 CA 憑證將很快過期,導致服務無法使用。目前只有發行使用期限極短的憑證。

Error

CA 憑證的有效期剩下不到一半

CA 憑證達到有效期的一半時,便應予以更新。這可能表示,所發行憑證的有效期限低於預期長度。

警告

CA 備份失敗

CA 的系統狀態備份失敗 — 可能導致資訊遺失。

危急或錯誤


您可以使用隨附的指令碼 (下表中的 ca_monitor.wsf),來檢查是否發生此類事件。指令碼含有邏輯,會在偵測到任何錯誤時,將事件項目寫入「Windows 應用程式」記錄。MOM 代理程式或其他監視解決方案可以記錄這些事件。您將必須建立篩選規則,以檢查事件來源,以及下表中所列指令碼所產生的事件 ID。

出現警告情況時,指令碼也能傳送電子郵件作為回應。使用 MOM (或其他以代理程式作為基礎的監視系統) 時,應由 MOM 用戶端代理程式來執行指令碼。如果管理代理程式無法執行指令碼,請使用 Windows 工作排程器,至少每小時都會執行這些檢查。警告可以用電子郵件傳送,或您可以使用事件日誌監視工具。

依設計,這些指令碼是在線上「發行 CA」上執行的,但也可以從離線父系 CA 至根 CA 上,檢查已發佈的憑證和 CRL 的狀態。監視指令碼所產生的相關事件 ID 列於下表中。指令碼語法顯示於表格後。

表 11.12:憑證服務監視指令碼

事件

指令碼或偵測方法

來源與

事件 ID

CRL 過期

Script: Ca_monitor.wsf
Job: CheckCRLs

CA Operations 20

CRL 逾期

Script: Ca_monitor.wsf
Job: CheckCRLs

CA Operations 21

CRL 無法使用
子事件:
   無法從 Active Directory 擷取 CRL
無法從網頁伺服器擷取 CRL

Script: Ca_monitor.wsf
Job: CheckCRLs

CA Operations 22
23

CA 伺服器失敗

原生 MOM 伺服器失敗偵測

 

CA 作業系統處於危急狀態

原生 MOM 伺服器狀態監視

 

CA 作業系統處於錯誤/警告狀態

原生 MOM 伺服器狀態監視

 

憑證服務」服務作業中
子事件:
   用戶端介面離線
   管理介面離線

Script: Ca_monitor.wsf
Job: IsCAAlives

CA Operations 1
2

CA 憑證過期
子事件:
   此 CA 憑證已經過期
   父系 CA 憑證已經過期

Script: Ca_monitor.wsf
Job: CheckCACerts

CA Operations 10

CA 憑證的剩餘有效期不足一個月

Script: Ca_monitor.wsf
Job: CheckCACerts

CA Operations 11

CA 憑證的有效期剩下不到一半

Script: Ca_monitor.wsf
Job: CheckCACerts

CA Operations 12

CA 備份被鎖定 (由於前一備份的鎖定檔案仍存在,因此無法執行備份指令碼)

Script: Ca_operations.wsf
Job: BackupCADatabase

CA Operations 30

CA 備份失敗

儘管您必須依賴 MOM 或其他監視系統來警告備份問題,但此處仍提供 NTBackup.exe 的錯誤碼。(請注意:您必須檢查是否具有系統狀態備份和組織備份兩種備份)。

Ntbackup
8019

其他事件

Ca_monitor.wsf 執行失敗

CA Operations 100


部署指令碼之前,請使用正確的警告參數來更新 constants.vbs 檔案。此處顯示檔案中的相關部分,您可能要變更的項目是以斜體字型顯示:

'Alerting parameters
CONST ALERT_EMAIL_ENABLED = FALSE'set to true/false to enable/disable email 
CONST ALERT_EVTLOG_ENABLED= TRUE'set to true/false to enable/disable event
'log entries
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,Ops@woodgrovebank.com"
'SMTP host to use
CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com"

'String used as the Source in event log events
CONST EVENT_SOURCE= "MSS Tools"
CONST CA_EVENT_SOURCE= "CA Operations"

'CA Event IDs
CONST CA_EVENT_CS_RPC_OFFLINE=1
CONST CA_EVENT_CS_RPC_ADMIN_OFFLINE=2
CONST CA_EVENT_CA_CERT_EXPIRED=10
CONST CA_EVENT_CA_CERT_NEARLY_EXPIRED=11
CONST CA_EVENT_CA_CERT_RENEWAL_DUE=12
CONST CA_EVENT_CRL_EXPIRED=20
CONST CA_EVENT_CRL_OVERDUE=21
CONST CA_EVENT_CRL_NOT_AVAILABLE_LDAP=22
CONST CA_EVENT_CRL_NOT_AVAILABLE_HTTP=23
CONST CA_EVENT_BACKUP_LOCKED=30
CONST CA_EVENT_CA_OTHER=100

您必須指定在出現錯誤時,要產生電子郵件、事件日誌警告,還是兩者均要。預設值只有事件日誌項目。如果您指定使用電子郵件警告,則必須提供有效的電子郵件收件者清單 (以逗號分隔) 和 SMTP 伺服器主機名稱或IP 位址。這兩種字串都必須加上引號。

如果您指定使用事件記錄警告,則應變更 CA_EVENT_SOURCE (用於所有與 CA 相關的事件) 或 EVENT_SOURCE (用於所有與 CA 無關的事件) 的參數。

下節將說明監視指令碼的語法及其使用。

檢查 CA 憑證過期

執行下列命令,檢查發行 CA (執行指令碼之處) 的憑證 ,以及從任何父系 CA 一直到根 CA 的階層中已發佈的憑證。

Cscript //job:CheckCACerts C:\MSSScripts\ca_monitor.wsf

這個命令會在下列情況下發出警告:

  • 「CA 憑證」已過期 (事件 ID 12)

  • 「CA 憑證」將於一個月內過期 (事件 ID 11)

  • 「CA 憑證」的有效期已過了一半 (事件 ID 12)

檢查 CRL 過期

執行下列命令,以檢查從父系 CA 至根 CA 之所有 CA (包括根 CA) 的發行 CA CRL 和已發佈的 CRL。

Cscript //job:CheckCRLs C:\MSSScripts\ca_monitor.wsf

這個命令會在下列情況下發出警告:

  • CRL 已過期 (事件 ID 20)

  • CRL 已超過「發佈下一個 CRL」日期,且即將過期 (事件 ID 21)

  • 無法從 LDAP CDP 擷取 CRL (事件 ID 22)

  • 無法從 HTTP CDP 擷取 CRL (事件 ID 23)

目前指令碼中並未檢查 FTP 和 FILE CDP。)

若要檢查 CA 服務是否正在執行

請執行下列命令,檢查在其上執行指令碼的 CA。

Cscript //job:IsCAAlive C:\MSSScripts\ca_monitor.wsf

這個命令會在下列情況下發出警告:

  • 「CA RPC 用戶端介面」沒有回應 (事件 ID 1)

  • 「CA RPC 管理介面」沒有回應 (事件 ID 2)

憑證授權單位安全性監視

「憑證服務」會針對不同的安全性事件,產生對應的各種稽核記錄項目。其中大部份的項目都是日常操作工作的結果。但出現某些事件則表示發生了重要的設定變更,此時您可能會需要進一步調查。

摘要資訊
  • 安全性需求

    • CA 稽核員 (檢閱安全性記錄)

    • 透過 MOM (或類似系統) 執行監視的指定安全性監視帳戶

  • 頻率:設定工作

  • 技術需求

    • 操作警告主控台 (例如 MOM)

    • 事件檢視器

    • Eventquery.vbs (Windows 命令列工具)

工作詳細資訊

下表列出「憑證服務」所產生的稽核事件,以及建議的警告分類。請設定您的監視系統檢查這些事件,並發出適當層級的警告。此外,如果您沒有集中式事件監視系統,請定期 (若可能最好每天一次) 檢閱 CA 伺服器安全性記錄來檢查這些項目。
「成功」事件的預設警告類別為「資訊」。任何因 CA 安全性設定變更而產生的「成功」事件,均會被視為「警告」事件。所有「警告」層級事件均為日常作業中通常不會發生的重大事件。所有警告事件都應該對應至已核准的變更要求。如果此種對應關係不存在,請將事件視為可能的安全性破壞,並立即調查。

日常作業時,或對 CA 進行標準變更的過程中,通常不會發生「失敗」事件。幾乎所有的失敗事件都是重大事件且必須進行調查 (雖然有時也可能只是因為錯誤的權限指派,而非因為遭受惡意攻擊)。

附註:有幾種情況下例外,例如「事件 792」:「憑證服務」拒絕了憑證要求。當要求被「憑證管理員」正當拒絕時,這種狀況會產生「成功」和「失敗」兩種事件,但在不具足夠權限的人員嘗試拒絕要求時則只會產生「失敗」事件。

下表中清單的其他例外是因為您可以用不同方法來變更 CA 的設定。若使用憑證授權單位 MMC 嵌入式管理單元來進行變更,才會記錄事件 789 (稽核篩選器的變更),以及 795 和 796 (CA 設定或內容的變更)。若有人嘗試直接編輯 CA 登錄 (或使用 certutil -setreg 命令) 來變更 CA 設定值,則不會加以記錄。相反的,這些事件會記錄為簡單的「事件 560 物件存取稽核失敗」(請參閱下表的最後一項)。系統會啟用 CA 登錄設定子機碼的稽核,並記錄成功的變更及所有失敗的存取。若要追蹤對於 CA 登錄機碼的變更,請配合使用稽核事件內的物件名稱參數,以及事件 ID 事件類型,以建立篩選器來產生正確的警告。

除了稽核憑證服務事件,您還必須監視標準的作業系統安全性事件,並產生警告,例如登入事件、權限使用、以及物件存取。CA 登錄和資料庫及記錄目錄已設定為對所有失敗存取和任何成功變更產生警告。您也應考慮在「公開金鑰服務」容器 (位於 Configuration\Services 目錄) 和 PKI 管理群組上設定稽核。有鑑於監視散佈於各網域控制站的稽核事件很困難,本解決方案並不包含這些設定。如果您有系統 (例如 MOM) 可以合併和篩選這些記錄,請針對所有 Active Directory PKI 管理及設定物件和容器啟用稽核。

附註:CA 作業系統的安全性監視已超出本指南的範圍,其內容可能涉及專用的侵入偵測代理程式對安全性事件的處理。如果代理程式偵測到任何安全性破壞的跡象,請結合代理程式的輸出資料,徹底調查「憑證授權單位」稽核事件。

下表中的成功與失敗警告類別,是關於<分類監視警告>程序中定義的警告類別。

表 11.13:憑證服務稽核事件

事件 ID

事件說明

成功警告類別

失敗警告類別

772

憑證管理員拒絕了擱置的憑證要求

警告

Error

773

「憑證服務」收到重新提交的憑證要求

警告

Error

774

「憑證服務」撤銷了一個憑證

Information

Error

775

「憑證服務」收到了發佈憑證撤銷清單 (CRL) 的要求

Information

警告

776

「憑證服務」發佈了憑證撤銷清單 (CRL)

Information

Error

777

憑證要求延伸已變更

Information

Error

778

一或多個憑證要求屬性已變更

Information

Error

779

「憑證服務」收到了關閉的要求

警告

Error

780

已開始「憑證服務」備份

Information

781

已完成「憑證服務」備份

Information

782

已開始「憑證服務」還原

警告

783

已完成「憑證服務」還原

警告

784

已開始「憑證服務」

Information

785

已停止「憑證服務」

警告

786

已變更「憑證服務」的安全性權限

警告

Error

787

「憑證服務」已擷取保存的金鑰

Information

Error

788

「憑證服務」在資料庫中匯入了一個憑證

Information

警告

789

已變更「憑證服務」的稽核篩選器

警告

Error

790

「憑證服務」收到了憑證要求

Information

Error

791

「憑證服務」核准了憑證要求並發行了憑證

Information

Error

792

「憑證服務」拒絕了憑證要求

警告

 

793

「憑證服務」已將憑證要求的狀態設定為擱置

Information

 

794

「憑證服務」的憑證管理員設定已變更

警告

 

795

「憑證服務」中的設定項目已變更

警告

Error

 

節點:
項目:CRLPeriod、CRLPeriodUnits、CRLDeltaPeriod、或 CRLDeltaPeriodUnits
說明 CRL 發佈排程內的變更。CRLDeltaPeriodUnits 的值是 0,表示停用 Delta CRL 發佈

   
 

節點:PolicyModules\CertificateAuthority_Microsoft
Default.Policy
項目:RequestDisposition
值:1
除非另有指定,否則設定 CA 發出連入要求。

   
 

節點:PolicyModules\CertificateAuthority_Microsoft
Default.Policy
項目:RequestDisposition
值:257
設定 CA 將連入要求保持在擱置狀態。

   
 

節點:ExitModules\CertificateAuthority_Microsoft
Default.Exit
項目:PublishCertFlags
值:1
允許將憑證發佈到檔案系統。

   
 

節點:ExitModules\CertificateAuthority_Microsoft
Default.Exit
項目:PublishCertFlags
值:0
不允許將憑證發佈到檔案系統。

   
 

節點:ExitModules
項目:Active
作用中的<結束>單元發生變更。其值表示新單元的名稱。空白則表示無新單元。

   
 

節點:PolicyModules
項目:Active
作用中的「原則」模組發生變更。其值表示新單元的名稱。

   
 

節點:
項目:CRLPublicationURLs
CDP 或 AIA 中的變更。其值表示 CDP 結果組

節點:
項目:CACertPublicationURLs
AIA 或 CDP 中的變更。其值表示 AIA 結果組。

   

796

「憑證服務」的屬性已變更 (請參閱下面的子類型)。

警告

Error

 

類型:4
向 CA 新增範本,或從 CA 移除範本。其值為依名稱和 OID 列出的結果範本。

   
 

類型:3
向 CA 新增 KRA 憑證。其值為憑證的 Base64 型式。

   
 

類型:1
從 CA 移除 KRA 憑證。其值為 KRA 憑證總數。

   
 

類型:1
為保存金鑰而新增/移除的 KRA 憑證數。其值為最後欲使用的憑證數。

   

797

「憑證服務」保存了一個金鑰。

Information

798

「憑證服務」匯入並保存了一個金鑰。

Information

799

「憑證服務」已將 CA 憑證發佈到 Active Directory。

Information

 

800

已從憑證資料庫刪除了一行以上的資料行。

警告

Error

801

已啟用角色分離。

警告

Error

560

物件存取
其中:
物件類型:機碼
物件名稱:\REGISTRY\MACHINE\SYSTEM\ ControlSet001\Services\CertSvc\Configuration

Information

Error

為擱置的憑證要求設定 SMTP 警告

如果您設定某些憑證類型需要「憑證管理員」核准,則這些要求會在 (憑證授權單位 MMC 嵌入式管理單元的) [擱置要求] 資料夾中排入佇列,直到獲得核准或拒絕為止。您可以設定在每次將要求排入佇列時發出電子郵件警告。自動核准的要求不會發出電子郵件警告。

您也可以為其他 CA 事件設定電子郵件警告。「憑證服務」線上說明文件提供有關如何設定的資訊。

摘要資訊
  • 安全性需求:CA 系統管理員

  • 頻率:設定工作

  • 技術需求

    • 文字編輯器

    • SMTP 伺服器和收件者信箱

工作詳細資訊

constants.vbs 檔中所設定、並由這個程序使用的 SMTP 伺服器和收件者清單數值,亦由<監視憑證服務狀態和可用性>程序所描述的 SMTP 警告來使用。若您需要在這兩項程序中針對 SMTP 伺服器與收件者使用不同設定,可以暫時變更 constants.vbs 內的值,然後執行這個現有的程序。這個程序內的指令碼將這些設定儲存到 CA 登錄中。一旦執行後,constants.vbs 可以變更為先前的值,而由<監視憑證服務狀態和可用性>程序內的監視指令碼來使用。(該程序中啟用或停用電子郵件警告的設定 - ALERT_EMAIL_ENABLED - 對此程序中的警告沒有影響。)

為擱置的要求啟用電子郵件警告

  1. 在指令檔 C:\MSSScripts\constants.vbs 中,為電子郵件收件者和 SMTP 伺服器設定正確的值:

    'Alerting parameters
    ' set to comma-separated list of recipients to get email alerts
    CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,
    PKIOps@woodgrovebank.com"
    CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com" 'SMTP host to use
    

    附註:本檔案摘錄中的縮排行是為顯示方便而對前一行進行的換行 - 它們在檔案中應為一行。

  2. 執行以下指令以啟用排入佇列之擱置要求的電子郵件警告:

    cscript //job:SetupSMTPAlerts C:\MSSScripts\ca_monitor.wsf

工作排程

進行工作排程時必須不斷地組織所有工作和程序,使其以最有效率的順序排列,讓系統輸送量和使用率達到最大,以滿足服務層級協議 (SLA) 的要求。工作排程與服務監視和控制以及容量管理密切相關。

對發行 CA 的工作排程

為維護「憑證服務」基礎結構的順利運作,必須在 CA 上執行許多重複性的工作。將這些工作自動化可以降低操作費用。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:設定工作

  • 技術需求

    • Windows 工作排程器

    • MOM (如果適用)

工作詳細資訊

下表列出在「發行 CA」上執行的自動化工作。這些工作在本章其他地方的工作中定義 (顯示於參照的工作欄);下表僅供參考。

只有在「發行 CA」上會執行自動化工作。由於「根 CA」可能會長期關閉,因此在該電腦上不可能維持可靠的排程。

表 11.14:在發行 CA 上的排程工作清單

工作說明

排程

執行程式

參照的工作

將 CA 的系統狀態備份到檔案

每日

Windows 工作排程器

設定及執行發行 CA 資料庫備份
設定及執行根 CA 資料庫備份

將 CA 的檔案備份到備份儲存區

每日一次 (在系統狀態備份之後執行)

組織備份排程器

無 (由您的組織定義)

將 CRL 發佈到 IIS

每小時一次

Windows 工作排程器

將發行 CA 和憑證發佈到 IIS

監視線上 CA 狀態

每小時一次

MOM 或 Windows 工作排程器

監視憑證服務的狀態和可用性

監視 CRL 發行和發佈狀態

每小時一次

MOM 或 Windows 工作排程器

監視憑證服務的狀態和可用性

監視 CA 憑證有效性

每日

MOM 或 Windows 工作排程器

監視憑證服務的狀態和可用性

其他操作工作

PKI 的維護涉及許多其他操作工作。許多工作通常並非定期需要,但是可能偶爾需要,或做為處理偶發支援事件的一部份。

Windows Server 2003 憑證服務產品的說明文件描述許多這樣的工作,並提供管理方面的背景資訊。本章或隨附的《建置指南》章 (<實作公開金鑰基礎結構>),都沒有討論許多這樣的工作。即使本解決方案指南涵蓋這些工作,產品說明文件也提供有用的補充資訊。

請參閱本章結尾的<其他資訊>一節,在其中尋找上述文件的連結,以得知如何執行下列管理工作:

  • 開始或停止憑證授權單位服務。

  • 設定安全性權限,並委派憑證授權單位的控制權限。

  • 檢視憑證授權單位的憑證。

  • 設定存取憑證授權單位網頁的安全性。

  • 設定憑證管理員限制。

  • 在外部 Active Directory 樹系中發佈憑證。

  • 於發生憑證事件時發送電子郵件。

  • 使用「憑證授權單位」嵌入式管理單元。

  • 管理憑證的撤銷。

  • 在獨立式憑證授權單位上管理憑證要求。

  • 管理企業憑證授權單位的憑證範本。

  • 管理金鑰保存和修復。

  • 變更憑證授權單位的原則設定。

  • 變更憑證授權單位的<原則>或<結束>單元。

  • 管理角色型管理。


支援象限工作

支援象限內的 SMF 包括被動式與主動式工作,以維護需要的服務等級。反應功能取決於組織對事件和問題快速作出反應並加以解決的能力。更多的可行主動式功能嘗試避免服務中斷。這些功能依據預先定義的閾值而密切監視解決方案服務,在服務等級遭受影響之前就能識別問題。如此一來,作業人員便有充裕時間反應並解決可能的問題。

「支援象限」和「作業象限」內描述的「服務控制」與「監視 SMF」密切有關。服務控制和監視提供必要資訊,而作業與支援人員藉由這些資訊來偵測問題。本節內說明的程序,目的是處理您會遭遇的最常見事件,並讓您能從中復原。

本節包含與下列「服務管理功能」相關的資訊:

  • 事件管理

沒有工作屬於其餘 SMF:

  • 問題管理 (問題診斷將在本章內稍後的<疑難排解>一節中說明)

  • 服務中心

    附註:每一工作說明包括下列摘要資訊:安全性需求、頻率、與技術需求。

事件管理

事件管理是管理及控制客戶或 IT 夥伴報告之錯誤與干擾 (發生於 IT 服務的使用或實作中) 的程序。事件管理的主要目標是儘快還原正常服務作業並減少公司營運中的不良影響,確保服務具有最佳品質和可用性。「正常的服務作業」在此處定義為 SLA 限制內的服務作業。

本節與<疑難排解>一節密切相關。但<疑難排解>一節介紹問題的識別和診斷,而本節則說明用來解決這些問題的最常見工作。

<疑難排解>一節中所涵蓋的事件包括:

  • 伺服器沒有回應

  • CRL 發佈失敗

  • CRL 未發行

  • 用戶端無法註冊

  • 安裝了需要重新啟動的安全性更新

  • 永久的伺服器失敗

  • 已遺棄的憑證需要撤銷

  • 無法及時還原伺服器來進行 CRL 或憑證發行

  • 終端實體憑證已洩漏

  • 發行 CA 的憑證已洩漏

  • 根 CA 的憑證已洩漏

這些事件大都與以下章節中詳述的一或多個程序有直接關係。在其他情況下 (例如用戶端註冊失敗),需要執行的事件回應程序會較為複雜,並在<疑難排解>一節中進一步討論。

重新啟動「憑證服務」服務

基於一些操作上的理由,您必須重新啟動「憑證服務」。(例如,在重新設定許多 CA 屬性後,您必須重新啟動「憑證服務」,變更才會生效。) 在某些情況下,如果服務已停止回應或運作不正常,也需要重新啟動「憑證服務」。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:需要時

  • 技術需求

    • 憑證授權單位 MMC 嵌入式管理單元

    • Net.exe

工作詳細資訊

重新啟動服務的方法有很多種,其中任何一種都可適用於本工作。

重新啟動 CA 服務

  1. 確定目前沒有個體正在與 CA 交易。如果時間允許,請向可能受到影響的使用者發出通知。

  2. 在「憑證授權單位 MMC」中,選取 [CA] 物件。

  3. 在 [工作] 功能表中,按一下 [停止服務],或在命令提示中鍵入:

    net stop "Certificate Services"

  4. 在 [工作] 功能表中,按一下 [開始服務],或在命令提示中鍵入:

    net start "Certificate Services"

    附註:在已啟用稽核功能的情況下,「憑證服務」可能需要很長時間才能關閉並重新啟動 - 非常大的資料庫可能需要 10 分鐘以上。使用稽核功能會延長整個伺服器的關機與啟動程序,因為「憑證服務」必須計算整個資料庫的雜湊,來建立啟動和關閉稽核項目。如果不對啟動和關閉執行稽核,便不會發生這個延遲。

重新啟動 CA 伺服器

基於許多操作上的原因,您可能需要重新啟動 CA 伺服器,其中包括套用作業系統更新時。如果服務已停止回應或運作不正常,且無法透過重新啟動服務程序來徹底重新啟動服務,則您也需要重新啟動伺服器。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:需要時

  • 技術需求:Net.exe

工作詳細資訊

重新啟動 CA 服務

  1. 確定目前沒有個體正在與 CA 交易。如果時間允許,請向可能受到影響的使用者發出通知。

  2. 如果可能,請執行下列命令,停止「憑證服務」以避免使用者在關機期間與 CA 連線:

    net stop "Certificate Services"

  3. 依正常的作業系統程序重新啟動電腦。除非確定「憑證服務」程序已經停止回應,否則請勿嘗試取消「憑證服務」程序或關閉伺服器電源。終止「憑證服務」程序可能會損壞「憑證服務」資料庫,導致您必須從備份進行還原。

    附註:正如先前工作中所述,稽核啟動與關閉程序可能會造成「憑證服務」花費長時間才能關機以及再次啟動。如果不對啟動和關閉執行稽核,便不會發生這個延遲。

從備份還原 CA

如果軟體或硬體嚴重損壞,造成無法啟動 CA,您必須從備份來還原伺服器和金鑰資料。

摘要資訊
  • 安全性需求

    • CA 的本機系統管理員

    • CA 備份操作員 (僅於執行還原時)

  • 頻率:需要時

  • 技術需求

    • Windows 備份

    • 組織備份系統

工作詳細資訊

請執行下列步驟,從備份來還原 CA:

注意:如果您使用的是 HSM,則此程序將不會如此運作。按照 HSM 廠商的指示來進行備份與還原,或是保護機碼資料和存取機碼。

從備份還原 CA

  1. 您必須將作業系統還原至能夠再次執行「憑證服務」的狀態,如此可能需要重新安裝 Windows。如果真是這樣,請遵循《建置指南》中的指示,安裝基本作業系統和系統元件。在此過程中,不必採取任何安全性或其他設定措施。

    警告:如果您需要在發行 CA 上重新安裝 Windows,請勿對第二個磁碟機進行重新分割和格式化。因為該磁碟機所包含的 CA 資料庫可能仍然完整。

  2. 如果可能,請保留「CA 資料庫」(位於「根 CA」的 %systemroot%\System32\CertLog中,或「發行 CA」的 D:\CertLog 中) 和 CA 記錄 (位於 %systemroot%\System32\CertLog )。還原 CA 之前,請先備份這些資料夾中的檔案。資料庫和記錄可能並未受到系統失敗的影響。記錄中包含所需的資訊,可以重新執行在 CA 上最後一次備份和伺服器失敗這段期間內發生的所有交易。但是,還原「系統狀態」備份可能會覆寫記錄及現有的資料庫,因此在開始系統還原之前,請先保留這些資訊。

  3. 插入含有 CA 最近一次備份的備份媒體,將「系統狀態」備份檔案還原到適當的磁碟區 (如果有第二磁碟機可以使用,建議您使用此磁碟機)。

  4. 啟動「Windows 備份」程式。於 [還原] 索引標籤中,在左邊窗格上的 [檔案] 物件上按一下滑鼠右鍵,然後按一下 [目錄檔案]。

  5. 確定已選取 [原始位置] 作為還原檔案的目的位置,然後按一下 [開始還原],以還原「系統狀態」。完成之後,重新啟動伺服器,並在系統重新啟動時停止「憑證服務」。

  6. 若在步驟 2 中保留 CA 記錄,請將它們複製回「憑證服務」記錄資料夾 (%systemroot%\System32\CertLog)。現在準備好對已還原的資料庫重新執行記錄,以插入自上次備份以來所發生的任何交易。

    附註:如果您在步驟 2 中能儲存完整的 CA 資料庫與記錄,您可以將這些復原到伺服器中,而不用按照本步驟 (步驟 6) 內的程序。「憑證服務」服務必須先停止,才能將 CA 資料庫與記錄複製回伺服器中。

  7. 啟動 [憑證服務]。

將 CA 憑證和金鑰組還原到暫時電腦中

如果發生失敗的 CA,而無法及時還原以發行新 CRL (或更新重要憑證) 時,您必須在暫時電腦上安裝 CA 憑證和金鑰,以便您可以用它們來重新簽署及延長現有 CRL 或憑證的有效期。

摘要資訊
  • 安全性需求:暫時電腦上的本機系統管理員

  • 頻率:需要時

  • 技術需求

    • Certutil.exe

    • Cipher.exe

工作詳細資訊

本工作說明如何將 CA 憑證和私密金鑰還原到暫時電腦中。如果 CA 已經更新,您將擁有一份以上的憑證與金鑰組的備份。您應復原這個程序的最近金鑰與憑證檔案。

重要事項:雖然電腦安裝了 CA 金鑰,您仍應以與 CA 相同等級的安全性預防措施來保護它。如果您還原的是離線 CA 的金鑰,請確定電腦是處於離線狀態。完成金鑰還原後,建議您重新格式化電腦的磁碟。

注意:如果您使用的是 HSM,則此程序將不會如此運作。按照 HSM 廠商的指示來進行備份與還原,或是保護機碼資料和存取機碼。

將 CA 金鑰和憑證還原到暫時電腦中

  1. 請確定電腦已中斷網絡連線。以本機「系統管理員」的身分登入,並將 CAKeySigner 建立為本機使用者帳戶。

  2. 使用此新帳戶登入。

  3. 插入含有待測試 CA 金鑰備份的磁碟。

  4. 使用 [Windows 檔案總管],瀏覽至 P12 金鑰檔案,選取最近的檔案,然後連按兩下以啟動 [憑證匯入精靈]。

  5. 系統提示時輸入密碼。不要選取能使金鑰獲得最高保護層級的核取方塊,或能使金鑰匯出的核取方塊。

  6. 選取 [個人 儲存區] 作為還原 CA 金鑰的位置。

  7. 開啟「憑證 MMC 嵌入式管理單元」後瀏覽至個人存放區。尋找已還原 CA 的「CA 憑證」,然後開啟該憑證,驗證您是否已取得對應的私密金鑰。

現在,您可以使用已還原的 CA 金鑰,執行任何所需的重新簽署工作。請參閱<重新簽署 CRL 或憑證以延伸其有效期>程序。完成後,請使用下列程序從電腦上清除金鑰。

從系統上清除金鑰

  1. 以本機「系統管理員」的身分登入,然後刪除 TestCAKeys 帳戶的使用者設定檔 (使用 [我的電腦] 中的 [進階內容])。

  2. 刪除 CAKeySigner 帳戶。

  3. 執行以下命令,安全地清除磁碟未配置的區域以永久性移除金鑰的追蹤:

    Cipher /W:%AllUsersProfile%

    附註:指定 %allusersprofile% 作為路徑,可以確保 Cipher.exe 會在保存使用者設定檔的磁碟機上執行。它會清理整個磁碟機而並不僅僅是指示的路徑。

重新簽署 CRL 或憑證以延長其有效期

如果由於某種伺服器失敗而導致 CA 無法使用,您可以重新簽署 CRL 或憑證檔案,來延長其有效期限。這個動作對於維護服務可能是必須的。

摘要資訊
  • 安全性需求:還原 CA 金鑰的過程中所建立的暫時帳戶

  • 頻率:需要時

  • 技術需求:Certutil.exe

工作詳細資訊

重新簽署憑證或 CRL,可以延長其有效期。依預設,會使用現有的有效期,並自簽署日起重新計算。例如,如果 CRL 的原本有效期為一個月,則新的有效期將為重新簽署日起一個月。如果有必要,可在 Certutil 命令列中指定不同的有效期。

重新簽署 CRL 或憑證

  1. 取得要重新簽署的 CRL 或憑證複本。

  2. 登入已還原 CA 金鑰或憑證 (原本用來簽署 CRL 或憑證者) 的電腦。(請參閱之前的程序<將 CA 金鑰和憑證還原到暫時電腦中>。)請使用該程序中所建立的帳戶來登入。

  3. 執行下列命令,以 CRL 或憑證檔案的名稱來取代其中的 OldFile.ext,並以所需的輸出名稱來替代其中的 NewFile.ext

    Certutil -sign OldFile.ext NewFile.ext

  4. 在系統提示您選取要使用的憑證時,請選取 CA 憑證。

  5. 如果您重新簽署 CRL,則現在應該會依需要發佈到 CDP (請參閱<作業象限工作>一節內用於發佈 CRL 的程序)。

撤銷終端實體憑證

遇到下列情況時,可能必須撤銷憑證:

  • 已從憑證資料夾中撤銷與憑證有關的功能或權限。

  • 憑證金鑰已洩漏。

  • 發行憑證的 CA 已洩漏。

摘要資訊
  • 安全性需求:憑證管理員

  • 頻率:需要時

  • 技術需求:憑證授權單位 MMC 嵌入式管理單元

工作詳細資訊

本程序描述了撤銷終端實體憑證 (亦即發給 CA 以外之任何個體的憑證) 的步驟。如欲撤銷 CA 憑證,請遵循其他概述說明中的步驟。

撤銷憑證

  1. 以「憑證管理員」成員的身份登入,在「憑證授權單位」資料庫 (位於 [憑證授權單位 MMC]) 中找到欲撤銷的憑證。(在 CA 的 [發出的憑證] 資料夾之 [檢視] 功能表中) 使用 [篩選器] 選項尋找憑證。

  2. 選取憑證,然後在 [工作] 功能表中,按一下 [撤銷]。

  3. 選取適當的撤銷原因碼。除非撤銷的原因屬於預先定義的原因碼,否則請選取 [未指定]。

    重要事項:只有 [憑證保留] 原因碼會允許日後復原該憑證。其他原因碼都將導致憑證永久停用。但是,請不要單單因為將來有可能會復原該憑證而使用 [憑證保留] 原因碼。您應該只有在真正需要暫時停用憑證時才使用此原因碼。

撤銷被遺棄的憑證

在某種伺服器失敗後從備份還原 CA 時,於上次備份至伺服器失敗這段期間之內所發行的憑證可能不會在「憑證」資料庫中。這些憑證稱為「被遺棄」的憑證。如果 CA 記錄被破壞,而從備份還原後仍無法對 CA 資料庫重新執行,則會出現這種狀況。若發生這種狀況,便無法透過正常程序撤銷任何這些「被遺棄」的憑證。

摘要資訊
  • 安全性需求:憑證管理員

  • 頻率:需要時

  • 技術需求:Certutil.exe

工作詳細資訊

若要撤銷被遺棄的憑證,必須取得欲撤銷憑證的複本或該憑證的序號。

撤銷被遺棄的憑證

  1. 以「憑證管理員」成員的身份登入欲撤銷發行憑證的 CA。

  2. 如果無法取得憑證複本,請執行下列命令,建立一個虛擬憑證並將其儲存為 CertToRevoke.cer。請以欲撤銷憑證的序號替代其中的 SerialNumber

    Certutil -sign SerialNumber CertToRevoke.cer

  3. 出現系統提示時,請選取目前的 CA 憑證來簽署虛擬憑證。

  4. 建立一個虛擬憑證 (或取得欲撤銷憑證的真實複本) 之後,您需要將它匯入 CA 資料庫。執行下列命令,將憑證匯入憑證資料庫。CertToRevoke 可以是實際欲撤銷憑證的複本,或是上述步驟中所建立的虛擬憑證。

    Certutil -importcert CertToRevoke.cer

  5. 按照標準程序來撤銷憑證 (詳細說明請參閱先前的<撤銷終端實體憑證>程序)。

    重要事項:Windows Server 2003 SP1 之前的 Certutil 版本存在一個問題,在執行 Windows Server 2003 的電腦上建立虛擬憑證的作業會失敗。如果您使用比這個舊的版本,而且無法找到原始憑證的複本,您可以先採取另一種方法,即選取一個現有的憑證,然後使用二位元編輯器,將其序號替換為欲撤銷憑證的序號。這個經過修改的憑證可以使用下列命令重新簽署:

    Certutil -sign ModifiedCert.cer CertToRevoke.cer
    可以使用本程序的步驟 4,將新建立的憑證匯入資料庫。

撤銷及取代發行的 CA 憑證

如果 CA 的私人金鑰因某種原因而洩漏 (或懷疑可能洩漏時),則您應撤銷該 CA 憑證,並使用新的金鑰組來發行新的 CA 憑證。

摘要資訊
  • 安全性需求:憑證管理員

  • 頻率:需要時

  • 技術需求:憑證授權單位 MMC 嵌入式管理單元

工作詳細資訊

因為「根 CA」的 CRL 發行週期非常長,所以若只是撤銷 CA 憑證並發行新的 CRL,則撤銷後必須經過很長一段時間,使用者才會收到撤銷通知。為保證先前由受損 CA 發行的所有憑證儘快被拒絕,此 CA 發行的所有憑證也被分別撤銷。

重要事項:所有憑證使用者必須重新註冊新的憑證。

撤銷發行 CA 憑證

  1. 以「憑證管理員」成員的身份登入「發行 CA」,然後開啟 [憑證授權單位 MMC 嵌入式管理單元]。

  2. 選擇 [發行憑證] 資料夾中的所有憑證,然後在 [所有工作] 功能表中,按一下 [撤銷憑證]。選取 [CA 洩漏] 作為原因碼。

  3. 增加 [CRL 發佈間隔],以配合 CA 憑證的使用期限。增加這個間隔會確保它絕對高於 CA 已發行的所有憑證的剩餘有效期限。

  4. 清除 [發佈 Delta CRL] 核取方塊 (若已選取)。

  5. 在 [撤銷憑證] 資料夾的 [所有工作] 功能表中,按一下 [發佈],再按 [新增 CRL]。

  6. 以「憑證管理員」成員的身份登入「根 CA」,然後開啟 [憑證授權單位 MMC]。

  7. 在 [發行憑證] 資料夾中,找到要撤銷的 CA 憑證,然後在 [所有工作] 功能表上,按一下 [撤銷憑證]。選取 [金鑰洩漏] 作為原因碼。

  8. 請遵循<作業象限工作>一節內的<發佈離線 CRL 和 CA 憑證>程序 (可以忽略程序中關於 CA 憑證發佈的部份)。

  9. 返回「發行 CA」並遵循<作業象限工作>一節內的<更新發行 CA 憑證 >程序。

憑證使用者現在可以使用新的 CA 重新註冊。已自動註冊憑證將被自動註冊。

撤銷及取代根 CA 憑證

如果根 CA 的私密金鑰因某種原因而洩漏 (或懷疑可能洩漏時),則您必須將該 CA 憑證從信任點移除,並撤銷該 CA 及其所有次級 CA 所發行的所有憑證。您必須使用新金鑰來更新「根 CA」憑證及其所有次級 CA 的憑證,然後將其重新發佈到 Active Directory。通常不可能撤銷「根 CA」憑證。通常 CA 憑證不包括可從中檢查撤銷狀態的 CDP。不論如何,若 CA 使用自己的憑證簽署 CRL 來證明自身的撤銷,嚴格說來並不合法。(因為這樣需要使用已洩漏的憑證來簽署含有本身遭撤銷憑證的 CRL!)

摘要資訊
  • 安全性需求

    • 憑證管理員

    • CA 的本機系統管理員 (以執行 CA 更新子工作)

  • 頻率:需要時

  • 技術需求:憑證授權單位 MMC 嵌入式管理單元

工作詳細資訊

附註:完成此程序後,所有憑證使用者必須重新註冊新憑證。

撤銷根 CA 憑證

  1. 以「憑證管理員」成員的身份登入「發行 CA」,然後開啟 [憑證授權單位 MMC 嵌入式管理單元]。

  2. 選擇 [發行憑證] 資料夾中的所有憑證,然後在 [所有工作] 功能表中,按一下 [撤銷憑證]。選取 [CA 洩漏] 作為原因碼。

  3. 增加 [CRL 發佈間隔],以配合 CA 憑證的使用期限。增加這個間隔會確保它絕對高於 CA 已發行的所有憑證的剩餘有效期限。

  4. 清除 [發佈 Delta CRL] 核取方塊 (若已選取)。

  5. 在 [撤銷憑證] 資料夾的 [所有工作] 功能表中,按一下 [發佈],然後再按一下 [新增 CRL]。重覆步驟 1 至 5,找回所有次級 CA。

  6. 以「憑證管理員」成員的身份登入「根 CA」,然後開啟 [憑證授權單位 MMC 嵌入式管理單元]。

  7. 選擇 [發行憑證] 資料夾中的所有憑證,然後在 [所有工作] 功能表中,按一下 [撤銷憑證]。選取 [CA 洩漏] 作為原因碼。

  8. 增加 [CRL 發佈間隔],以配合 CA 憑證的使用期限。增加這個間隔會確保它絕對高於 CA 已發行的所有憑證的剩餘有效期限。

  9. 清除 [發佈 Delta CRL] 核取方塊 (若已選取)。

  10. 請遵循<更新根 CA 憑證>的作業程序。

  11. 返回「發行 CA」並遵循<更新發行 CA 憑證 >的作業程序。

    憑證使用者現在可以使用新的 CA 重新註冊。已自動註冊憑證將被自動註冊。

    重要事項:更新「根 CA」憑證是非常重要的事件,在這種涉及撤銷子系 CA 和已發行憑證的情況中尤其如此。請務必通知任何受到影響的新根憑證之應用程式擁有者,因為他們可能需要將這個新的根憑證設定到自己的應用程式。


最佳化象限工作

最佳化象限包括在維護或改進服務層級時用於管理成本的 SMF。工作包括中斷/事件的查閱、成本結構的檢驗、人員評估、可用性、效能分析及容量預測。

本節包含與下列 SMF 相關的資訊:

  • 容量管理

沒有工作屬於其餘 SMF:

  • 服務層級管理

  • 財務管理

  • 可用性管理

  • IT 服務連續性管理

  • 人力管理

    附註:每一工作說明包括下列摘要資訊:安全性需求、頻率、與技術需求。

容量管理

容量管理這一程序可以規劃、調整及控制服務解決方案容量,以滿足在 SLA 中提出之效能層級內的使用者需求。若要滿足這個需求,需要服務解決方案的使用狀況、模式與尖峰負載特性,以及所述之效能需求方面的資訊。

決定發行 CA 的最大負載

本節提供有關「發行 CA」之最大可能負載的資訊。

雖然通常 CA 不會承受很大的負載,但有時也會發生負載急劇升高的狀況。CA 上出現最大負載的時刻通常是尖峰登入時段,或是新憑證類型剛發佈階段的啟動時間。同樣地 (但較不常見),大量憑證或 CA 憑證被撤銷,則重新註冊的使用者和電腦也會造成異常的活動尖峰。

摘要資訊
  • 安全性需求:無

  • 頻率:設定工作

  • 安全性需求:無

工作詳細資訊

Microsoft 的內部測試結果顯示,對於一般「企業 CA」,高負載時的效能瓶頸是來自與 Active Directory 的互動。比起查詢目錄以擷取憑證主體資訊並將憑證發佈回 Active Directory,簽署和發行憑證工作所造成的負荷則顯得相當輕。
以尖峰負載情況下產生的數量為例,假定已啟用新憑證類型且要求所有使用者和電腦均註冊此種類型的憑證:

  • 使用者數量:3,000

  • 電腦數量:3,000

  • 「企業 CA」的最大發行速度約為每秒鐘 30 個憑證 (或每分鐘 1,800 個憑證)。

這些數字代表最短的總註冊時間是 3.3 分鐘。如果有 15,000 位使用者和相同數量的電腦同時註冊,註冊時間將會延長為 16.6 分鐘。

您必須決定組織可能的最大尖峰註冊負載,並計算總共的註冊時間。如果時間長到無法接受,而且您無法以任何方式擴散註冊,就必須考慮部署多個「發行 CA」。應部署這些「發行 CA」以區隔 Active Directory 站台,以便它們使用個別的網域控制站。

決定發行 CA 的儲存和備份需求

本節提供 CA 儲存參數的容量詳細資訊。這些詳細資料有助於容量規劃員計算線上磁碟與離線備份儲存的未來儲存需求。

摘要資訊
  • 安全性需求:無

  • 頻率:需要時

  • 安全性需求:無

工作詳細資訊

以下內容列出對「CA 資料庫」大小、「CA 資料庫」記錄檔大小、CRL 大小及「備份視窗」(例如:備份 CA 資料庫的時間) 的假設和大小計算結果。

以下計算均以這些假設為基礎:

  • 3,000 名使用者、3,000 台電腦和 100-300 台伺服器。

  • 每年發給每個終端實體五個憑證,每個憑證的有效期均為一年。

  • 憑證會在資料庫中保留五年。

  • 資料庫每天備份 (截斷資料庫記錄)。

憑證資料庫大小

每個憑證項目在資料庫中約佔 20 KB (將私密金鑰與憑證一同儲存的憑證裡,每份憑證應允許額外的 10 KB)。快速計算的結果如下:

  • 不論何時,都有 150,000 個憑證儲存在資料庫中。

  • 憑證資料庫的總大小為 3 GB。

擁有 15,000 名使用者的組織,憑證資料庫的大小是 15 GB。

憑證資料庫記錄檔的平均大小

  • 每天有 750 個憑證。

  • 記錄檔的平均大小為 5 MB。

擁有 15,000 位使用者的組織,每天發行 3,750 份憑證,建立的最大紀錄大小是 25 MB。

CRL 大小

CRL 項目約為 30 位元組。一般而言,約 10% 的已發行憑證會遭撤銷。已超出有效期的已撤銷憑證不包括在 CRL 之內。

  • 不論何時,都有 30,000 個憑證正處於有效期內。

  • CRL 中會有 3,000 個憑證。

  • CRL 大小為 90 KB。

對於擁有 15,000 名使用者的組織,CRL 內將有 15,000 份憑證,其 CRL 大小為 440 KB。

憑證資料庫的備份窗口

假設在理想條件下執行的網路備份使用 100 Mbps (每秒百萬位元) 專用交換器與備份伺服器進行通訊,則 3 GB 的資料庫加上額外 500 MB 的系統狀態資料可在 15-20 分鐘左右完成備份。擁有 15,000 位使用者以及 15 GB 憑證資料庫的組織,可在 2 小時內完成備份。

變更象限工作

變更象限包括識別、檢閱及核准變更,並將變更併入管理 IT 環境所需的程序。變更包括硬資產和軟資產,以及特定程序的變更。

變更程序的目的是將新的技術、系統、應用程式、硬體、工具、程序,以及角色和責任的變更快速地引入 IT 環境,同時儘可能降低其對服務的干擾。

本節包含與下列 SMF 相關的資訊:

  • 變更管理

  • 設定管理

  • 版本管理

    附註:每一工作說明包括下列摘要資訊:安全性需求、頻率、與技術需求。

變更管理

變更管理 SMF 負責管理 IT 環境中的變更。變更管理程序的關鍵目標,是確保受特定變更影響的所有廠商都認識並瞭解變更即將產生的影響。由於大多數系統都是緊密相關的,因此對系統某一個部份所作的任何變更都可能嚴重影響到系統的其他部分。變更管理會嘗試在部署變更之前,先對所有受影響的系統和程序進行識別,以降低或消除任何負面影響。一般而言,其「目標」或受管理的環境是生產環境,但也應同時包含關鍵整合、測試及臨時環境。

針對 PKI 所作的所有變更,都應遵循下列的標準 MOF 變更管理程序:

  1. 變更要求。透過提交變更要求 (RFC),正式開始執行變更。

  2. 變更分類。以變更的急迫性及其對基礎結構或使用者的影響為標準,指定變更的優先順序和類別。此指派會影響實作速度和路由。

  3. 變更授權。變更管理員和變更核准委員 (CAB) (一個由 IT 和業務代表所組成的委員會) 針對變更所作的考量以及核准或拒絕。

  4. 變更開發。變更的規劃和開發 (一個範圍變化相當大的程序,包括對重要暫時里程碑的檢閱)。

  5. 變更發佈。發佈變更並將其部署到生產環境中。

  6. 變更檢閱。是一個實作後程序,可以檢閱變更是否已達成之前為其建立的目標,並決定要讓變更生效還是將其還原。

這一節說明了一些關鍵變更的變更開發程序,您的環境可能定期需要這些程序。每一個變更開發程序都將擁有同系列的變更發佈程序,說明如何在生產中部署變更。

管理作業系統更新

「憑證服務」的安全性更新管理,是一般 Windows 補充程式管理的一部份。這是由兩份 Microsoft 的解決方案指南所涵蓋:使用 Microsoft Systems Management Server (SMS) 或 Microsoft Software Update Services (SUS) 來處理 Windows 作業系統更新的遞送。如需關於如何取得的詳細資料,請參閱本章末尾的<其他資訊>一節。

補充程式管理包含版本管理元件、設定管理元件以及變更管理元件。而這三種 SMF 都已包括在先前段落的說明文件中。

摘要資訊
  • 安全性需求:CA 上的本機系統管理員

  • 頻率:設定工作

  • 技術需求:安全性更新散發基礎結構 (如 SMS 或 SUS)

新增憑證範本

您新增新憑證範本,以允許發行新的憑證類型;您可能需要如此,因為系統中部署了新的應用程式,或是因為現有的應用程式要求新的功能。此外,更新現有憑證類型的程序中也需要執行這件工作。

摘要資訊
  • 安全性需求:企業 PKI 系統管理員

  • 頻率:需要時

  • 技術需求:憑證範本 MMC 嵌入式管理單元

提交新憑證類型要求之前,請先在足以代表生產環境的測試環境中對其執行測試。

請記錄新憑證類型的要求,並包含下列內容:

  • 要求新增範本的原因

  • 評估對使用者和基礎結構的影響

  • 評估不執行變更的所有影響

  • 測試變更的結果

此文件應包含關於憑證原則和憑證實施準則 (CPS) 的更新。然後,必須就其優先順序和影響進行評估。變更一經核准後,即可實施 (雖然尚未發佈)。

工作詳細資訊

下列程序僅能在測試環境中執行。在生產環境中執行此變更的程序已記錄在<發佈新憑證範本>程序中。

實作新憑證範本

  1. 以「企業 PKI 系統管理員」成員的身份登入,然後開啟 [憑證範本 MMC 嵌入式管理單元]。

  2. 新範本是由複製現有範本而建立。選取適當的範本作為新範本的基礎 – 範本應儘量類似您要建立的範本。

    重要事項:請確定來源範本的基本範本類型 (使用者或電腦) 與新範本的主體類型相符,因為無法在範本編輯器中變更類型。

  3. 請根據您的需要,編輯範本的詳細資訊。如需此步驟的詳細資訊,請參閱本機說明系統中的產品文件,或線上<其他資訊>一節內的參考資料。

  4. 如果您是以此範本來取代現有範本,則必須將被取代範本新增到新範本內容裡被取代範本的清單中。請務必確定,取代範本可以提供與被取代範本相同或者更多的功能。除非您確定沒有應用程式會使用遭移除的功能時,才能減少範本的功能。

  5. 請測試變更,以確定其運作情況與預期相符,且不會對現有的應用程式造成不良影響。

  6. 將適用的變更新增至憑證原則文件和 CPS。

  7. 請遵循<發佈新憑證範本>和<發行新 CPS>程序內的步驟 (如要發佈 CPS 時)。

更新憑證範本

本工作說明如何對憑證範本進行微幅的變更。重大變更應透過範本複製來執行,並強制以新範本取代現有範本 (如先前工作<新增憑證範本>中所述)。

摘要資訊
  • 安全性需求:企業 PKI 系統管理員

  • 頻率:需要時

  • 技術需求:憑證範本 MMC 嵌入式管理單元

工作詳細資訊

您僅應對憑證範本進行微幅變更 - 這種變更對於憑證使用者不會有重大影響。範本修改所造成的影響很難控制,且欲回復範本變更也較為複雜。

所謂微幅的變更包括:

  • 變更有效期或更新期

  • 新增 (但不移除) 允許的 CSP 類型

您可以建立新的範本類型並取代舊範本,以實作任何會影響憑證功能的變更 (例如變更憑證原則、移除 CSP 類型及變更發行準則等)。

請依<新增憑證範本>程序中的說明,評估並核准變更要求。

接著,便可實作並測試所提出的範本變更,再將該變更發佈到生產環境中。請參閱<發佈範本更新>程序。

更新憑證範本

  1. 以「企業 PKI 系統管理員」成員的身份登入,然後將「憑證範本」嵌入式管理單元載入 MMC。

  2. 開啟欲修改的範本,並執行所需的變更。如需此步驟的詳細資訊,請參閱本機說明系統中的產品文件,或線上<其他資訊>一節內的參考資料。

  3. 測試更新是否能提供所需的功能。

  4. 請遵循<發佈新憑證範本>和<發行新 CPS>程序內的步驟 (如果您發佈您的 CPS)。

移除憑證範本

不再需要某一憑證範本時,可以將其從作用狀態移除,或從目錄中完全移除。

摘要資訊
  • 安全性需求:CA 系統管理員

  • 頻率:需要時

  • 技術需求

    • 憑證範本 MMC 嵌入式管理單元

    • 憑證授權單位 MMC 嵌入式管理單元

工作詳細資訊

只有在確定沒有應用程式需要依賴某範本類型的憑證時,才可移除該範本。請依<新增憑證範本>程序中的說明,評估及核准移除範本的要求。請遵循第一個程序,先移除範本的作用狀態並測試其影響,再將其從目錄中完全刪除。

接著,便可實作並測試移除範本變更,再將該變更發佈到生產環境中。請參閱<發佈範本移除>程序。

將憑證範本自作用狀態移除

  1. 以「CA 系統管理員」成員的身份登入,然後將「憑證授權單位」嵌入式管理單元載入 MMC。

  2. 在 [憑證範本] 資料夾中,以滑鼠右鍵按一下欲移除的範本,並選取 [刪除]。

  3. 針對目前發行此類憑證的所有發行 CA,重複步驟 1 和步驟 2。

  4. 測試所有先前曾使用此範本的應用程式,以確定其已不再依賴此憑證類型。

  5. 請遵循<發佈憑證移除>和<發佈新 CPS>程序內的步驟 (如果適用)。

從目錄中完全移除憑證範本

  1. 以「企業 PKI 系統管理員」成員的身份登入,然後將「憑證範本」嵌入式管理單元載入 MMC。

  2. 在欲移除的範本上按一下滑鼠右鍵,並選取 [刪除]。

設定管理

設定管理 SMF 負責識別、記錄、追蹤和報告關鍵 IT 元件或名為設定項目 (CI) 的資產。其所擷取及追蹤的資訊取決於特定的 CI,但通常會包括關於 CI 的說明、版本、其組成元件、與其他 CI 的關係、位置/指派及目前狀態。

對 PKI 的設定管理可以分成幾個主要方面:

  • 企業 PKI 設定。儲存在 Active Directory 中的一般資訊。

  • 憑證範本設定。所有作用中範本的詳細設定資訊。

  • CA 設定。特定 CA 詳細設定資訊。

  • CA 和 PKI 管理群組。關於 PKI 管理群組和使用者及其所擁有之權限的詳細資訊。

  • 用戶端設定。透過群組原則 (或其他方法) 設定使用者及電腦設定。

以下各節會詳細說明這些項目,並介紹自動收集這些資訊的方法 (如果可能)。

如需<設定管理>的額外資訊,請參閱本章最後的<其他資訊>一節。

收集企業 PKI 設定資訊

整個企業的設定資訊儲存在 Active Directory 中,包括受信任的根 CA 發佈、企業 CA 設定、以及通知資訊。它也包括憑證範本,這些在稍候的程序中將會個別討論。

摘要資訊
  • 安全性需求:網域使用者

  • 頻率:需要時

  • 技術需求

    • Certutil.exe

    • DSQuery.exe

工作詳細資訊

維護儲存在 Active Directory 中下列資訊的記錄:

  • 受信任的根憑證授權單位

  • NTAuth 儲存區

  • 註冊服務 (企業 CA)

  • 交互憑證

  • 已發佈的 CRL

下列程序說明用於收集這些資訊的命令。

重要事項:在下列命令中,必須以您的樹系根 DN 來替代其中的根網域辨別名稱 (DN) - DC=woodgrovebank,DC=com

附註:下列某些命令顯示為多行;實際輸入時請勿分行。

顯示受信任的根憑證授權單位

certutil -store -enterprise Root

顯示 NT Auth 儲存區

certutil -store -enterprise NTAuth

顯示目前企業 CA 的憑證

certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,
DC=woodgrovebank,DC=com?cACertificate?one?
objectClass=pkiEnrollmentService"

顯示中間憑證和交互憑證

certutil -store -enterprise CA

僅顯示中間 CA 憑證

certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, DC=woodgrovebank,DC=com?cACertificate?one?
objectClass=certificationAuthority"

僅顯示交互憑證

certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, DC=woodgrovebank,DC=com?cRossCertificatePair?one?
objectClass=certificationAuthority"

顯示目前已發佈的 CRL

  1. 執行下列命令,可顯示已在 Active Directory CDP 容器中發佈 CDP 的所有 CA 之伺服器名稱

    dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,DC=woodgrovebank,DC=com" -attr cn -scope onelevel

  2. 這個命令將顯示已在 Active Directory CDP 容器中發佈 CRL 的每一 CA 之 CDP。CDP 是先前清單內顯示的伺服器物件的子物件。CA 使用其一般名稱為每一 CDP 物件命名。請注意,CA 會為每個新 CA 版本 (隨每次更新 CA 而遞增) 建立一個新 CDP;這些名稱會儲存為 "CACommonName (X)",其中 X 為 CA 版本號碼:

    dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, DC=woodgrovebank,DC=com" -attr cn -filter (objectclass=crlDistributionPoint)

  3. 3. 您可以使用先前步驟內的資訊,以顯示特定 CDP 的 CRL (使用步驟 2 的 CA 一般名稱,以及步驟 1 取得的 CA 伺服器名稱):

    certutil -store -enterprise "ldap:///cn=Woodgrove Bank Root CA,cn=HQ-CA-01,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration, DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass=cRlDistributionPoint"

    重要事項:請以 CA 的一般名稱來替代其中的 "Woodgrove Bank Root CA",以 CA 的主機名稱來替代其中的 "HQ-CA-01",並以您樹系根網域的 DN 來替代其中的 "DC=woodgrovebank,DC=com"。

    附註:如果需要定期執行以上命令,您可以編寫一個簡單的指令檔 (批次檔) 指令碼,以自動執行這個命令。

收集憑證範本設定資訊

憑證範本儲存在 Active Directory 中。請保留每個範本設定的記錄,以及每個範本所使用的憑證範本註冊權限。

摘要資訊
  • 安全性需求:網域使用者

  • 頻率:需要時

  • 技術需求:Certutil.exe

工作詳細資訊

使用下列命令來收集這項設定資訊:

產生在 Active Directory 中設定之範本的清單

Certutil -template

傾出這些範本的設定

Certutil -dsTemplate

傾出範本的權限

Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,DC=woodgrovebank,DC=com"

沒有任何工具能以可讀取的形式來匯出完整的範本權限。Dsacls.exe 會顯示範本上的權限。但是目前版本並不顯示延伸權利的 "Autoenroll" 權限 (雖然它會顯示 "Enroll" 以及其他延伸的權利權限)。這表示您必須手動記錄 "Autoenroll" 權限。另外的替代作法是,可以使用 Active Directory 服務介面 (ADSI) 來編寫指令碼或工具,以便正確讀取及顯示所有權限。

收集 CA 設定資訊

本節內容說明如何擷取在每個 CA 本機儲存的設定資訊,以及企業 CA 儲存在 Active Directory 中的一些資訊。

摘要資訊
  • 安全性需求:CA 的本機系統管理員

  • 頻率:需要時

  • 技術需求:Certutil.exe

工作詳細資訊

維護下列資訊的記錄:

  • CA 登錄資訊

  • CA 憑證資訊

  • CA 權限

  • CA 指派的範本

  • CA CPS

  • 使用下列命令來收集這項設定資訊:

顯示 CA 登錄設定

Certutil -getreg

Certutil -getreg CA

顯示目前的 CA 憑證

certutil -f -ca.cert %temp%\CAcert.cer > nul && certutil -dump %temp%\CACert.cer

附註:某些命令顯示為多行;實際輸入時請勿分行。

沒有任何工具能夠以可用的形式匯出完整的 CA 權限資訊。但是您可以編寫 ADSI 指令碼,以便正確讀取及顯示所有權限。另一個作法是手動記錄這項資訊。

顯示目前指派給此 CA 的範本

Certutil -CATemplates

維護 CA CPS 檔案時,請注意版本的控制,以便隨時識別並擷取特定時間的有效 CPS。

收集 CA 和 PKI 管理群組資訊

由於 PKI 管理群組負責控制 CA 和企業 PKI 各方面的資訊,因此該群組的成員資格是相當重要的設定資訊。

摘要資訊
  • 安全性需求:網域使用者

  • 頻率:需要時

  • 技術需求:Net.exe

工作詳細資訊

列出並記錄每個 PKI 和 CA 管理群組的目前成員資格。如果其中有任何成員本身同時也是群組 (其名稱前會有星號標示),請依次列出這些群組的成員資格,建立身為 PKI 群組成員的所有使用者的完整清單。

預設的群組包括:

  • 企業 PKI 系統管理員

  • 企業 PKI 發行者

  • CA 系統管理員

  • 憑證管理員

  • CA 稽核員

  • CA 備份操作員

您也應包括可能已經建立的任何其他管理群組。

列出各群組的成員資格

Net groups groupname /domain

收集憑證用戶端設定資訊

這項工作是指使用「群組原則」所部署的用戶端設定資訊。如果您是使用其他機制 (例如 SMS 或登入指令碼) 來部署與 PKI 相關的用戶端設定,您也應將這些記錄在此。

摘要資訊
  • 安全性需求:具有管理群組原則物件之權限的系統管理員

  • 頻率:需要時

  • 安全性需求:群組原則管理主控台

工作詳細資訊

使用「群組原則管理主控台 (GPMC)」來收集並列示 PKI 用戶端設定資訊。如需如何取得及使用 GPMC 的有關資訊,請參閱<其他資訊>一節內的參考資料。

版本管理

版本管理的主要目的是為了便於將軟體和硬體版本引入管理的 IT 環境。這通常包括生產環境和管理的預先生產環境。版本管理可以作為版本開發/專案小組與負責在生產環境中部署版本的作業群組之間的協調點。

本節涵蓋最常見的變更 - 新增、變更和移除憑證類型 (透過使用憑證範本)。您也應以同樣系統化的方法,發佈下列其他類型的變更:

  • 針對 PKI 設定所做的變更。範例包括範本與 OID。

  • 針對 CA 設定所做的變更。本機登錄及「註冊」物件中的 Active Directory 設定。

  • 針對用戶端設定所做的變更。GPO 變更

所有發佈程序均遵照下列的一般程序:

  1. 準備變更版本 - 備份目前的設定。

  2. 以受控制的方式測試變更。

  3. 以受控制的方式來發佈變更,以限制使用者或電腦的數量。

  4. 如果某些事項發生錯誤,請還原變更 – Active Directory 與 CA 設定。

發佈新憑證範本

引入新憑證類型對 IT 環境而言是重大的變更,因此其發佈過程必須採取受控制且可還原的方式來進行。

摘要資訊
  • 安全性需求

    • 企業 PKI 系統管理員

    • CA 系統管理員

  • 頻率:需要時

  • 技術需求

    • 憑證授權單位 MMC 嵌入式管理單元

    • 憑證範本 MMC 嵌入式管理單元

    • 相關工作所需的其他工具

工作詳細資訊

以下說明將新憑證範本發佈到生產環境中的程序。

發佈新憑證範本

  1. 備份現有的憑證範本設定。這項備份應做為定期 Active Directory 備份的一部份來執行,或使用<從 Active Directory 匯出憑證範本>程序中描述的技術來執行。

  2. 依照<新增憑證範本>程序中的說明,建立新範本。

  3. 移除群組的所有預設註冊和自動註冊 (尋找已驗證的使用者及網域使用者等物件)。依照<建立憑證範本註冊群組>程序中的說明,建立範本的憑證註冊群組 (和/或自動註冊群組)。

  4. 將新憑證範本新增到發行 CA。如果您並非同時是「CA 系統管理員」的成員,則必須以此群組成員的身份登入 (或使用 runas 命令),然後執行 [憑證授權單位 MMC]。以滑鼠右鍵按一下 [憑證範本] 資料夾,選擇 [新增] 及 [要發行的憑證範本]。從清單新增範本。

  5. 依照<為使用者或電腦啟用憑證類型的註冊 (或自動註冊)>程序中的說明,在憑證註冊群組中新增測試或試驗使用者或是電腦。

  6. 測試新憑證類型的註冊,以確保符合預期。

  7. 測試憑證的功能,以確保符合預期。

  8. 成功完成測試後,請依照<為使用者或電腦啟用憑證類型的註冊 (或自動註冊)>程序中的說明,在憑證註冊群組中新增最終的生產使用者、電腦或安全性群組。

  9. 若此範本取代了一或多個現有範本,您可以使用「憑證授權單位 MMC嵌入式管理單元」,將已被取代的範本從發行 CA 移除,以避免任何使用者註冊這些已被取代的憑證類型。請務必先確定所有使用者均已轉換至新範本類型,再從目錄中刪除此範本。

  10. 如果適用,請更新 CPS 以反映新憑證功能。

只要尚未刪除被取代的範本,從新範本類型回復成舊範本並不會太困難。如果已刪除被取代的範本,您必須使用 Active Directory 授權性還原,或依稍早<儲存管理>一節中的範本匯出和匯入程序 (<從 Active Directory 匯出憑證範本>以及<向 Active Directory 匯入憑證範本>),從備份來還原複本。

回復新增的新範本

  1. 如果您尚未使用此範本來取代其他範本,則僅需將其刪除即可。

  2. 如果您已移除被此範本所取代的範本,請先還原那些範本。請遵循<向 Active Directory 匯入憑證範本>程序內的步驟。您必須依照該程序的說明,還原範本權限。

發佈新 CPS

如果您有發佈 CPS,則必須將其更新,以反映組織中變更的憑證原則和作法。

摘要資訊
  • 安全性需求:具有修改網頁伺服器上 CPS 檔案之權限的系統管理員

  • 頻率:需要時

  • 技術需求:適用於 CPS 格式的文字或 HTML 編輯器

工作詳細資訊

CPS 通常是以簡單的 HTML 或文字檔格式儲存在網頁或檔案伺服器上。如果有多個 CA 使用相同的 CPS,則標準是會設定所有 CA 參照同一檔案。

發佈新 CPS

  1. 備份現有的 CPS。

  2. 對離線複本進行所需的變更。

  3. 取代 CPS。

  4. 測試以確保從模擬平台類型的用戶端,以及您通常服務的地點能讀取新的 CPS 檔案。

發佈範本更新

此工作說明如何用可控制且可還原的方式,對現有憑證範本進行版本變更。

摘要資訊
  • 安全性需求:企業 PKI 系統管理員

  • 頻率:需要時

  • 技術需求

    • 憑證範本 MMC 嵌入式管理單元

    • 參照程序所需的其他技術

工作詳細資訊

變更憑證範本前,請先確定該變更的幅度相對微幅,且不會對憑證使用者造成重大影響。範本修改所造成的影響很難控制,且欲回復範本變更也較為複雜。

發佈憑證範本更新

  1. 依照<從 Active Directory 匯出憑證範本>程序,將目前範本匯出至檔案。

  2. 以「企業 PKI 系統管理員」成員的身份登入,然後將「憑證範本」嵌入式管理單元載入 MMC。依照<更新憑證範本>的說明,對範本執行變更。

  3. 更新 CPS,並遵循<發佈新 CPS>程序中的步驟 (如果適用)

回復憑證範本更新

  • 請遵循<向 Active Directory 匯入憑證範本>程序內的步驟 (在<儲存管理>一節中。

發佈範本移除

不再需要某一憑證範本時,可以將其從作用狀態移除,或從目錄中移除。

摘要資訊
  • 安全性需求:企業 PKI 系統管理員

  • 頻率:需要時

  • 技術需求

    • 憑證授權單位 MMC 嵌入式管理單元

    • 參照工作所需的其他技術

工作詳細資訊

將範本從作用狀態移除的發佈程序較為簡單,因為其還原十分容易。但將範本從目錄移除則較為困難,因為範本必須重新匯入才能回復變更。

將範本憑證自作用狀態移除

  1. 依照<移除憑證範本>程序,從目前的發行 CA 移除範本。

  2. 更新 CPS,並遵循<發佈新 CPS>程序中的步驟 (如果適用)。

回復將範本自作用狀態移除

  1. 以「CA 系統管理員」成員的身份登入,並使用「憑證授權單位 MMC 嵌入式管理單元」,將範本再次新增至發行 CA。

  2. 更新 CPS,並遵循<發佈新 CPS>程序中的步驟 (如果適用)。

從目錄中完全移除憑證範本

  1. 只有在已成功地將憑證範本從作用狀態移除,並測試相關應用程式以確保沒有負面影響後,才能執行此程序。

  2. 依照<從 Active Directory 匯出憑證範本>程序,將目前範本匯出至檔案。

  3. 請遵循<移除憑證範本>中的程序,將憑證範本從目錄中完全移除。

回復將範本自目錄中移除

  • 請遵循<向 Active Directory 匯入憑證範本>中重新匯入已刪除範本的程序。


疑難排解

疑難排解涵蓋<事故管理>和<問題管理 SMF>。<事故管理>著重於如何儘快還原服務。<問題管理>則著重於識別事件的根本原因,以及盡力防止相同事件再次發生。

本節與<支援象限作業>一節密切相關。此處所列出的許多疑難排解程序均會參照該節所定義的工作。

本節列出最常見的支援事件,以及處理這些事件的策略和程序。其重點在於如何儘快恢復服務。某些情況下,疑難排解程序只是簡單地參照支援程序。但有時則會涉及較為複雜的診斷程序。

下表列出一些重大支援事件及其處理方法。支援程序欄位列出應遵循的程序。這些程序在<支援象限作業>一節中有詳細說明。如果欄位中沒有列出程序,請參照下節中該問題所適用的診斷程序。

表 11.15:重大支援事件

事件

說明

支援程序

伺服器沒有回應

軟體程序對用戶端要求或系統管理工具沒有回應。

重新啟動「憑證服務」服務
或者
重新啟動 CA 伺服器

CRL 發佈失敗

CA 已發行 CRL,但最新 CRL 尚未發佈到 Active Directory 和/或網頁。

請參閱下面的疑難排解程序。

CRL 未發行

CA 尚未發行更新的 CRL。

請參閱下面的延伸疑難排解程序。

用戶端無法註冊憑證

用戶端註冊要求失敗。

請參閱下面的延伸疑難排解程序。

用戶端無法自動註冊憑證

用戶端自動註冊要求失敗。

請參閱下面的延伸疑難排解程序。

安裝了需要重新啟動的安全性更新

安裝了需要重新啟動 Windows 的安全性更新。

重新啟動 CA 伺服器

永久的伺服器失敗

發生了必須進行還原的毀損或硬體失效事件。

從備份還原 CA

已遺棄的憑證需要撤銷

還原 CA 後,資料庫中將不會有任何前一次備份之後所發行的憑證。這些憑證無法以正常方法撤銷。

撤銷被遺棄的憑證

無法及時還原伺服器以進行 CRL 或憑證的發行

CRL 或憑證需要使用 CA 金鑰重新簽署,以延長它的有效期。

工作順序:
1. 將 CA 憑證還原至暫時電腦
2. 重新簽署 CRL 或憑證以延長其有效期

終端實體憑證已洩漏

憑證私密金鑰已遺失、洩漏或遭受其他損害。

撤銷終端實體憑證

發行 CA 的憑證已洩漏

CA 憑證私密金鑰已遺失、洩漏或遭受其他損害。

撤銷及取代發行 CA

根 CA 的憑證已洩漏

CA 憑證私密金鑰已遺失、洩漏或遭受其他損害。

撤銷及取代根 CA

詳細的疑難排解程序

本節所涵蓋的疑難排解程序,對於診斷和解決上表中所列出的一些問題十分有用。這些常見問題的疑難排解程序如下:

  • CRL 發佈問題

  • CRL 未發行

  • 用戶端無法註冊

  • 用戶端無法自動註冊憑證

CRL 發佈問題

CRL 發佈問題會由 CheckCRLs 指令碼產生警告,該指令碼在<服務監視和控制>一節有說明。CRL 未能及時發佈到 Active Directory 及/或網頁伺服器時,就會觸發這個警告。若不更正錯誤,則要求撤銷檢查的應用程式便會開始發生失敗。

請檢查 CheckCRLs 所產生的應用程式事件日誌項目。這個項目應更準確地找出問題所在,並指出有問題的 CDP 或 CRL 屬於哪一個 CA。其問題可能為下列之一:

  • CA 尚未發行最新的 CRL。這項錯誤表示 CA 發生一些問題。

  • CRL 已經發行,但是尚未正確發佈到一個或更多個 CDP。這項錯誤表示 CA 發生問題、CA 與 CDP 之間的通訊發生問題、或 CDP 服務發生問題 (Active Directory 或 IIS)。

  • 已經產生並發佈 CRL,但無法從一或多個 CDP 位置擷取。這項錯誤表示 CDP 服務出現問題。

疑難排解 CRL 發佈問題

  1. 登入出現問題的 CA,然後檢查「發行 CA」的 CRL 是否為最新 CRL。輸入下列命令,以檢視 CA 的 CRL (您必須是「CA 系統管理員」的成員才能執行這些命令中的第一項)。

    Certutil -getCRL %temp%\CA.crl

    Certutil -dump %temp%\CA.crl

  2. 若 CRL 已過期,請參閱稍後的<未發行 CRL>程序。

  3. 開啟 [PKI 狀態] 工具,查看可疑 CA 的 CDP 項目。該工具會指出所有無法存取的 CDP 和已過期的 CRL (但該工具並不會針對尚未過期但已超過更新日期(即已超過「發佈下一個 CRL」日期) 的 CRL 產生警告)。

    附註:您可以從 Windows Server 2003 資源套件中取得 PKI Health 工具 (本章結尾部分有參照)。

  4. 若有任何 CDP 顯示為無法存取,請調查該 CDP 的發行服務。

  5. 若事件日誌顯示 LDAP CDP 發生了錯誤,請使用「Windows 2003 支援」工具的 DCDiag 工具,檢查從 CA 到 Active Directory 網域控制器的連線。這個工具會顯示網域控制器或 CA 到網域控制器的連線是否有問題。調查任何發現的錯誤。

  6. 使用「Active Directory 站台及服務 MMC 嵌入式管理單元」,檢查 CDP 容器上的 CA 權限 (在 "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,DC=woodgrovebank,DC=com" 中,請以您的樹系根 DN 來替代斜體項目。)

  7. 建立臨時帳戶,並將其新增到「憑證發行者」群組。使用該帳戶登入,嘗試將步驟 1 中所擷取的 CRL 發佈到目錄中。請使用下列命令:

    certutil -dspublish CA.crl CAHostname CASubjectName.

    這個命令會顯示 CA 是否擁有足夠權限以發佈到 Active Directory 中。

  8. 若事件日誌項目顯示 HTTP CDP 發生了錯誤,請檢查有關的 IIS 伺服器。檢查連線能力和權限。手動執行指令碼,將 CRL 發佈到 IIS 伺服器 (請參閱<作業象限工作>一節的「將發行 CA CRL 發佈至網頁伺服器」),並檢查是否發生錯誤。執行此工作時,請儘量使用與 CA 本身相同的帳戶/群組成員資格。

  9. 若 CRL 成功發佈到 CDP 服務,但 [PKI 狀態] 顯示有問題存在,則表示 CDP 服務發生了錯誤 (Active Directory 或 IIS 本身)。這些服務的疑難排解已超出本文件的範圍。

CRL 未發行

正常工作時,不太可能發生這種情況。除非您已重新設定 CA 以停止其向本機系統資料夾 (%windir%\system32\certsrv\certenroll) 發佈 CRL,否則 CA 通常都能在本機發佈 CRL。如果您並未重新設定本機發佈路徑,則表示 CA 可能發生嚴重問題。執行下列疑難排解程序,以判斷問題的原因。雖然本程序是針對 CRL 問題,但其中大部份的步驟均為一般性步驟,可適用於任何低等級的「憑證服務」問題。

疑難排解 CRL 發行問題

  1. 檢查事件日誌中是否有任何由「憑證服務」記錄的錯誤。

  2. 以下列命令嘗試手動強制執行 CRL 發行 (以「CA 系統管理員」成員的身份登入):

    Certutil -CRL

  3. 若這個步驟失敗,請再次檢查事件日誌中是否出現新的錯誤。

  4. 檢查 CA 憑證以及至根 CA 鏈結中的所有憑證,看憑證是否有任何問題;例如憑證已過期或被撤銷等。

  5. 檢查您是否可使用 CA 金鑰重新簽署憑證或 CRL (請參閱<支援象限作業>一節中的「重新簽署憑證或 CRL 以延伸其有效期」程序)。

  6. 重新啟動 CA,並重新執行以上檢查。

  7. 若仍無法發行 CRL,請啟用偵錯記錄 (請參閱本章稍後的「憑證服務記錄」)。然後嘗試發行 CRL,並檢查日誌中是否出現錯誤。

用戶端無法註冊憑證

請執行這個程序,以診斷憑證註冊中的問題。

診斷憑證註冊的問題

  1. 檢查是否已將憑證範本指派給 CA。

  2. 檢查使用者或電腦是否有權限在已指派範本的 CA 上註冊。

  3. 確認範本與主體類型相對應。使用者範本僅供使用者註冊,電腦範本僅供電腦註冊。

  4. 檢查 CA 是否能夠存取其自身及其父系 CA 所發佈的 CRL。CA 在發行憑證前,一定會先執行撤銷檢查。

  5. 請確認憑證範本並未強制使用註冊主體無法使用的 CSP。例如,要求電腦具有智慧卡 CSP,或 (在使用者沒有智慧卡的情況下) 要求使用者具有 RSA SChannel CSP。

  6. 請確認憑證範本不會要求在 [主體] 或 [次要主體] 欄位輸入資訊 (Active Directory 中沒有這些欄位)。常見的問題是,指定在主體名稱中包含電子郵件位址,但在使用者的 Active Directory 物件中卻未完整填寫電子郵件欄位。

用戶端無法自動註冊憑證

如需瞭解和疑難排解自動註冊問題,請參閱《Windows XP 憑證自動註冊》(請參閱本章結尾的參考資料)。

檢查用戶端是否可以手動註冊您正嘗試自動註冊的憑證。載入「憑證 MMC 嵌入式管理單元」,並發出新的憑證要求。若未出現憑證類型,或出現憑證類型但嘗試註冊時發生錯誤,請遵循先前<用戶端無法註冊憑證>一節中的程序。

如果可以手動註冊,請繼續執行下列步驟。

  1. 檢查所使用的平台是否正確。只有 Windows 2000 及更新的版本可以支援電腦憑證自動註冊。只有 Windows XP 和 Windows Server 2003 可以支援使用者憑證自動註冊。

  2. 請確認使用者或電腦具有在憑證範本上自動註冊所需憑證類型的權限。

  3. 檢查是否已正確指定自動註冊群組原則設定。您必須設定自動註冊的 GPO,使其具有高於其他所有 GPO 的優先權,自動註冊才能正確運作。例如,若此自動註冊 GPO 是在網域層級建立的,則其必須具備高於預設網域原則的優先順序。您可以使用原則 MMC 嵌入式管理單元結果組來檢查 GPO 的優先順序。

  4. 請確認憑證範本不會要求手動核准或「註冊管理中心 (RA)」簽章。要求憑證管理員核准的憑證要求會被提交以進行核准,但必須在手動核准後才能將該憑證授予使用者。由於沒有可向自動註冊要求新增其他簽章的機制,因此需要 RA 簽章的要求會被拒絕。

  5. 請確定您並未設定讓憑証範本預期要求中會提供主體資訊。自動註冊憑證必須由 CA 來設定其主體 (及次要主體)。

疑難排解工具和技術

本節涵蓋可用於診斷和解決 PKI 問題的一些工具, 並說明「憑証服務」記錄,以及如何啟用更詳細的「憑証服務」和用戶端自動註冊記錄功能。

PKI 狀態

「PKI 狀態」主要是作為 CDP 和 AIA 診斷工具,用於建置企業中所有 CA 的概觀。它對於診斷連線能力及 CDP 和 AIA 的發佈問題十分有用,而且允許您下載 CDP 或 AIA 所參照的 CRL 或憑證。該工具可以在 Windows Server 2003 資源套件中找到。

Certutil

Certutil 是管理和疑難排解 Windows CA 最重要的工具。有關此工具的主要用途,請參閱《使用 Certutil.exe 以管理及疑難排解憑證服務》白皮書(本章末有參照)。

此外,還有許多其他選項 (白皮書中沒有討論),可用於各種管理和診斷用途。您可以輸入具有 "-?" 參數的命令,就能顯示可用的 Certutil 動作 (或動詞) 的完整清單。插入您需要更多說明的動詞,就會顯示該動作的詳細語法。例如:

Certutil -dsPublish -?

其他診斷工具

其他有用的診斷和管理工具包括:

  • Certreq.exe。允許您透過命令列來建立、提交和擷取憑證要求。

  • DCDiag.exe。協助診斷可能影響 CA 的 Active Directory 問題。

憑證服務記錄

「憑證服務」及其相關工具所產生的數種記錄類型,在疑難排解時十分有用。

  • 「憑證服務」(CA 程序本身) 會記錄至 %systemroot%\certsrv.log (啟用偵錯記錄時)

  • Certutil.exe 會記錄至 %systemroot%\certutil.log

  • [憑證授權單位 MMC] 會記錄至 %windir%\certmmc.log

在「憑證服務」上啟用偵錯記錄

  • 執行以下命令:

    certutil -setreg CA\Debug 0xffffffe3

記錄項目會儲存至 %windir%\certsrv.log

停用偵錯記錄

  • 執行以下命令:

    certutil -delreg CA\Debug

自動註冊記錄

您必須新增登錄值,才能啟用自動註冊事件的額外記錄。您必須分別啟用使用者以及電腦憑證自動註冊的增強記錄。

啟用使用者自動註冊記錄

  1. 在登錄機碼 HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment 中,建立名為 AEEventLogLevel 的新登錄 DWORD 值。

  2. 將其值設定為 0

啟用電腦自動註冊記錄

  1. 在登錄機碼 HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment 中,建立名為 AEEventLogLevel 的新登錄 DWORD 值。

  2. 將其值設定為 0

    附註:所有的失敗和錯誤事件均會自動記錄。您不需要再啟用登錄機碼以開始記錄失敗事件。


設定表格

下列表格包含網站和解決方案專用的設定值,本章內的程序會使用到這些設定值。這些表格是第 7 章的<實作公開金鑰基礎結構>中之規劃設定表格的子集,在此處顯示僅供參考。

表 11.16:使用者定義的設定項目

設定項目

設定

Active Directory 樹系根網域的 DNS 名稱

woodgrovebank.com

樹系根網域的 DN

DC=woodgrovebank,DC=com

根 CA 的伺服器名稱

HQ-CA-01

發行 CA 的伺服器名稱

HQ-CA-02

根 CA 的 X.500 CN

Woodgrove Bank Root CA

發行 CA 的 X.500 CN

Woodgrove Bank Issuing CA 1

用於發佈 CA 憑証和撤銷資訊的完整網頁伺服器主機名稱

www.woodgrovebank.com

表 11.17:解決方案定義的設定項目

設定項目

設定

公開金鑰服務設定容器的系統管理員

企業 PKI 系統管理員

有權將 CRL 和 CA 憑証發佈到企業設定容器

企業 PKI 發行者

設定和維護 CA 的系統管理群組,亦控制指派所有其他 CA 角色並更新 CA 憑證的能力

CA 系統管理員

核准憑証註冊和撤銷要求的系統管理群組,為一種 CA 長官角色

憑證管理員

管理 CA 稽核和安全性日誌的系統管理群組

CA 稽核員

管理 CA 備份的系統管理群組

CA 備份操作員

用於發佈 CA 憑証和 CRL 資訊的 IIS 虛擬目錄名稱

pki

發行 CA 上對應至 IIS 虛擬目錄的實體路徑

C:\CAWWWPub

儲存「憑證服務」要求檔案的磁碟機和路徑

C:\CAConfig

儲存「憑證服務」資料庫的磁碟機和路徑

%systemroot%\System32\CertLog

儲存「憑證服務」資料庫記錄的磁碟機和路徑

D:\CertLog

安裝指令碼的路徑

C:\MSSScripts


其他資訊


顯示: