安全性
強大的憑證管理新工具
Kevin Dallmann
摘要:
- ILM-CM 架構
- 系統管理與範本
- 建立工作流程
在某個平靜的上班日子裡,您突然接到一通服務台支援小組打來的電話,說有個生產系統的憑證過期了。如今系統已經停擺,您的公司也因而喪失生產力 (和金錢),得等到更新憑證後才能恢復正常。
如果您是負責管理公開金鑰基礎結構 (PKI) 環境,我敢擔保您一定曾遭遇憑證始料未及地過期的窘境。唉,平靜的日子只待夢裡追尋!
當初 Microsoft 在 Windows® 2000 和 Windows Server® 2003 中新增 PKI 服務時,的確曾讓企業能以極低成本實作完善的內部 PKI 環境。遺憾的是,Microsoft® PKI 服務並無能力管理其所產生憑證的生命週期。不過,Microsoft 最近剛研發出憑證管理產品,旋即發行 Identity Lifecycle Manager (ILM),結合了憑證管理以及 Microsoft® Identity Integration Server (MIIS) 的識別提供與控制功能。本文將討論 ILM 如何協助您的組織管理憑證和智慧卡。
ILM-CM 架構
ILM 憑證管理 (ILM-CM) 架構的核心是 ILM-CM 伺服器及其相關元件 (請參閱 [圖 1])。ILM-CM 伺服器可安裝於一部伺服器,設定做為聯繫一或多個憑證授權單位 (CA) 的介面。ILM-CM 需要 SQL Server™ 用來儲存憑證資訊、原則及用於管理憑證環境的其他相關資料。為了管理使用者和安全性權限,ILM-CM 伺服器也需要 Active Directory®。[圖 2] 摘列其必要元件與版本。
Figure 2 支援 ILM-CM 基礎結構
| 元件 | 版本 |
| Active Directory | Windows Server 2003 |
| 資料庫伺服器 | SQL Server 2000 SP3 (含) 以上或 SQL Server 2005 |
| 憑證授權單位 | Windows Server 2003 Enterprise Edition 或 Data Center Edition |
| SMTP | SMTP 伺服器 |
![[圖 1] ILM-CM 架構](images/cc138014.fig01.gif)
[圖 1]** ILM-CM 架構 **
ILM-CM 環境一旦安置完成,所有的憑證要求都將與 ILM-CM 伺服器通訊。ILM-CM 伺服器負責將所有與憑證有關的資訊儲存至 SQL Server 資料庫,而這些資訊則可後續用於憑證報告、警示及維護工作流程環境。
ILM-CM 軟體架構基本上包含三個高階部分:ILM-CM 伺服器、CA 外掛程式和用戶端元件。伺服器軟體可安裝並執行於 CA 或專責 ILM-CM 作業的伺服器上。接著 ILM-CM 伺服器將與 CA、SQL Server 資料庫及 Active Directory 通訊。伺服器也提供入口網站,讓憑證管理員設定憑證原則和工作流程,以及供憑證訂閱者要求和更新軟體憑證。
為使 CA 能與 ILM-CM 伺服器通訊,您必須在每個所要管理的 CA 上安裝並設定 ILM-CM 原則和結束模組。這兩個模組係用於在資料庫中記錄憑證資訊。每當 CA 發行憑證,結束模組即負責傳送該項資訊給 ILM-CM 伺服器,伺服器再將憑證資訊記錄到資料庫。
如果您打算管理環境中的智慧卡,就需要安裝 ILM-CM 智慧卡用戶端軟體。每一部須與 ILM-CM 伺服器互動的用戶端電腦都得安裝此軟體。
ILM-CM 安裝
安裝 ILM-CM 伺服器其實很簡單;精靈會引導您完成整個過程。但在實際執行精靈前,您務必注意幾項功能先決條件需求。
第一個條件就是 ILM-CM 需要 Active Directory 和 ILM-CM 架構延伸。架構延伸會新增 ILM-CM 實作設定檔範本所需的若干附加 Microsoft .NET Framework 安全性屬性。
您也必須安裝 .NET Framework 2.0 並備妥前述各項元件,包括 SQL Server、CA 和 SMTP 伺服器。如果 ILM-CM 將與 CA 安裝於不同的伺服器,您就必須在 CA 上執行 ILM-CM 安裝精靈,為 CA 安裝 ILM-CM 模組。安裝完成後,只要將瀏覽器指向 http://hostname/CLM 即可連線到 ILM-CM 入口網站。
若要啟用憑證過期/更新通知,您必須在 ILM-CM 伺服器上設定 ILM-CM 服務。首先請在 Active Directory 中建立適當帳戶,然後新增該帳戶做為 ILM-CM 服務的登入帳戶。接著,將該使用者新增至 ILM-CM 伺服器的本機系統管理員群組和 IIS_WPG 群組,並使用群組原則將其新增至「作為作業系統的一部分」、「產生安全稽核」及「取代處理程序等級權杖」原則。設定好 ILM-CM 服務後,ILM-CM 伺服器就能掃描 SQL Server 資料庫搜尋過期的憑證,並以電子郵件通知憑證擁有者或管理員。
ILM-CM 系統管理
ILM-CM 是透過網頁介面來管理,此介面係依使用者、憑證和智慧卡管理工作分成數個功能區。當您以適當的系統管理權限連線到 ILM-CM 入口網站時,網頁會顯示若干系統管理工作讓您管理 ILM-CM 環境 (請參閱 [圖 3])。[Common Tasks] 區提供系統管理選項,包括為一組新的憑證或新的智慧卡註冊使用者。您也可以管理和核准要求。
![[圖 3] ILM-CM 管理入口網站工作](images/cc138014.fig03.gif)
[圖 3]** ILM-CM 管理入口網站工作 **(按影像可放大)
若您需要尋找使用者或憑證,請使用 [Manage Users and Certificates] 工作區。執行此區的工作可搜尋、修復、撤銷或更新憑證。您甚至還能尋找撤銷清單。
如果您的組織使用智慧卡,那麼 [Manage User Smart Cards] 區就很方便。例如,倘若使用者鎖定了智慧卡,憑證管理員便可從此處解除鎖定智慧卡。您也可以搜尋和檢視本機智慧卡讀取裝置內的智慧卡。
介面上的 [Requests] 區讓憑證管理員得以審閱和核准使用者的憑證要求。例如,您可以檢視所有處於擱置狀態要求下的憑證。[Administration] 區則可供您建立和管理設定檔範本。最後,[Reports] 區正如其名,可用來設計和建立與使用者及憑證相關的報告。
如果您不是使用具有系統管理權限的帳戶登入 ILM-CM 入口網站,就會看到為憑證使用者提供自助管理功能的訂閱者頁面 (請參閱 [圖 4])。透過這個入口網站,使用者可依特定的原則設定來檢視和管理自己的憑證和智慧卡。一般工作 (Common Tasks) 的例子包括:要求憑證或智慧卡、檢閱現有的憑證、變更智慧卡 PIN 等。
![[圖 4] 訂閱者 入口網站頁面,供使用者 自助管理](images/cc138014.fig04.gif)
[圖 4]** 訂閱者 入口網站頁面,供使用者 自助管理 **(按影像可放大)
提供高品質的委派工作流程負責發行、更新、替換及撤銷憑證和智慧卡對任何組織來說都是一大挑戰。如今有了 ILM-CM,您即可委派這些工作以提供更高程度的安全保證。例如,假設有位使用者忘了他的智慧卡 PIN。循著委派工作流程模式,該使用者可以撥電話給服務台支援人員,然後支援人員會向他問些問題進行身分確認。如果使用者沒答錯問題,支援人員就可將其智慧卡解除封鎖。委派工作流程的另一個例子是,萬一使用者意外刪除加密檔案系統 (EFS) 憑證或遺失膝上型電腦,屆時也能修復憑證。
設定檔範本
設定檔範本是 ILM-CM 整體工作流程管理程序不可或缺的基本元件。設定檔範本就像是含有一或多個憑證範本的一個系統管理物件。設定檔範本的建立與設定是為了管理憑證環境的工作流程處理作業方式。設定檔範本最關鍵的一環在於,可納入多個憑證範本並視同單一項目來管理;這意謂著只要一份範本就能追蹤管理使用者的憑證在整個生命週期間的各項處理事宜。
設定檔範本可設定將憑證存放到電腦 (軟體式) 或智慧卡 (硬體式)。您可以從 ILM-CM 系統管理入口網站複製範例,進而建立這些範本。在設定檔範本中,可定義數種不同的管理原則元件 (請參閱 [圖 5])。
![[圖 5] 設定檔範本](images/cc138014.fig05.gif)
[圖 5]** 設定檔範本 **(按影像可放大)
原則元件大多同時適用於軟體和智慧卡設定檔 (請參閱 [圖 6])。其中某些元件倒很值得一提。在憑證註冊處理期間,您可以使用註冊原則元件定義若干條件,來控制註冊處理流程的動向。例如,您可以設定資料收集條件,規定使用者必須輸入部門代號、電子郵件地址和經理姓名等資訊。您也能建立定義,以便在使用者註冊憑證後自動列印官方文件。
Figure 6 軟體設定檔原則
| 元件 | 描述 |
| 設定檔詳細資料 | 提供設定檔範本的一般詳細資料。您可以從此處將一或多個憑證範本新增至設定檔範本。 |
| 複製原則 | 定義現有憑證的工作流程項目。 |
| 註冊原則 | 定義註冊處理工作流程。 |
| 線上更新原則 | 類似於憑證更新原則,但能更新即將過期的憑證、憑證內容、範本和智慧卡小程式。 |
| 委託修復原則 | 修復使用者的私密金鑰或憑證。 |
| 憑證更新原則 | 定義已過期憑證的更新工作流程。 |
| 恢復原則 | 定義恢復憑證的處理流程。 |
| 修復原則 | 定義修復電腦上儲存之使用者憑證的工作流程,以因應遭刪除、重新組裝或失竊情事。 |
| 撤銷原則 | 定義撤銷設定檔內所有憑證的工作流程。 |
線上更新原則對您的組織來說可能非常有用。此原則類似於憑證更新原則,但能更新憑證內容、憑證範本、智慧卡內的小程式,而且會在憑證即將過期時更新憑證本身。為了充分利用此原則,必須啟用 ILM-CM 服務和 web.config 檔案以允許存取 Active Directory 中的多重值屬性。用戶端電腦也需要安裝線上更新服務。
如果您的公司使用 EFS 加密,請善加利用委託修復原則。假設有人意外刪除了加密憑證,您即可使用這個原則元件,設定工作流程由服務台安全小組請求使用者的私密金鑰。隨後使用者就會收到電子郵件,內有 ILM-CM 伺服器產生的通關密語,而藉此取回其私密金鑰。最後,使用者必須前往 ILM-CM 伺服器上的一個秘密網頁連結,使用關聯的私密金鑰取回憑證。委託修復原則特別有用的情況還包括,員工離職但其資料必須歸檔管理或另有其他用途時。
為了提供更安全的憑證更新程序,您可以利用憑證更新原則,設定一次有效密碼秘密金鑰並以電子郵件傳送給需要更新憑證的使用者。如果您撤銷了憑證後又想將其恢復並從憑證撤銷清單 (CRL) 中移除,恢復原則便可協助您定義這類工作流程處理。
有兩個獨特的原則元件僅與軟體憑證原則有關而與智慧卡無關,亦即修復原則和撤銷原則。萬一電腦上存放的使用者憑證遭刪除,或是電腦重新組裝或失竊,修復原則可以定義處理方式,從封存於 CA 上的憑證或金鑰進行還原。撤銷原則能讓系統管理員設定靜態的撤銷原因,或讓執行撤銷要求的人員於撤銷時指定原因。
另外還有五項管理原則適用於智慧卡設定檔範本,如 [圖 7] 所示。
Figure 7 智慧卡設定檔原則
| 元件 | 描述 |
| 替換原則 | 定義設定檔以因應使用者的智慧卡遺失或遭竊情事。 |
| 停用原則 | 定義停用智慧卡內尚未過期憑證的處理流程。 |
| 淘汰原則 | 定義撤銷智慧卡內所有憑證的處理流程。 |
| 解除封鎖原則 | 定義何人可將智慧卡的使用者 PIN 解除封鎖。 |
| 臨時智慧卡原則 | 定義短期間替換的智慧卡。使用者會收到新的簽署憑證,但只要取得既有的設定檔加密憑證就能將資料解密。 |
淘汰原則可以定義數種不同的操作,例如清除使用者放在智慧卡內的資料、封鎖使用者 PIN 和系統管理 PIN,以及重設系統管理 PIN。解除封鎖原則通常應用於使用者忘記其 PIN 或取得了由 ILM-CM 指定 PIN 的新卡等情況。屆時使用者可要求將智慧卡解除封鎖。
對任何的系統管理產品來說,報告都是非常有用的功能。組織能否擷取憑證或智慧卡環境的快照極為重要。ILM-CM 隨附數種內建報告,包括智慧卡清點、要求摘要、憑證使用與過期狀況等。和其他的報告系統一樣,如果您還需要別種報告,則可撰寫自訂查詢,因為資料全都儲存在 SQL Server 資料庫。
開發工作流程
接著我們就來看看 ILM-CM 如何協助您定義高效率的工作流程處理。假設您有幾位系統管理員負責管理和維護其系統的 SSL 憑證。首先要問的問題是:整個流程最關鍵的環節為何?
依系統類型而定,處理上可能需要用不同的方法建立憑證要求檔案。因此,首要任務即是開發內部網路網頁,詳細指示如何為所有系統建立憑證要求。
系統管理員建立了要求檔案後,可將其提交至 ILM-CM 使用者入口網站請示核准憑證。利用 ILM-CM 工作流程處理,系統管理員可以定義幾位核准者負責查證和核准憑證要求。憑證一經核准,使用者即可從 ILM-CM 擷取憑證。由於 ILM-CM 將憑證資訊放入 SQL Server 資料庫,系統管理員便能擷取歷史資訊。
一年過後,當憑證的有效期限即將屆滿,ILM-CM 會傳送電子郵件通知給要求者,提醒憑證快要過期必須更新。只要讓這樣的工作流程處理步上軌道,您就能免於憑證始料未及地過期的窘境,喚回平靜的日子。
結論
如果您的公司採用 Microsoft PKI 環境,ILM-CM 可以協助您管理這樣的環境。ILM-CM 讓組織得以改良安全性驗證程序,同時降低數位憑證與智慧卡管理的成本和複雜度。ILM-CM 還能讓您賴以開發現今多數公司所欠缺的憑證與智慧卡工作流程處理。
Microsoft 也針對 ILM-CM 實作了外部 API 支援。如果您的組織使用自訂的應用程式,或許可以善加利用 ILM-CM API 支援,設計這些應用程式做為聯繫介面。
如需 ILM-CM 的詳細資訊,請參閱 microsoft.com/technet/clm。您也可以在 go.microsoft.com/fwlink/?LinkId=87336 找到快速入門指南。
Kevin Dallmann是 Accenture 公司的資深系統工程師顧問,主要職掌為支援大型企業環境的 Active Directory 及 PKI 環境。Kevin 具有 MCSE 與 MCT 雙重認證的資格,同時也是 Microsoft 訓練課程講師。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.