在中小型公司建立企业根证书颁发机构 (CA)1
更新日期: 2004年03月24日
本页内容简介
对于当今的任何一个组织来说,在 Internet、Extranet、Intranet 上和在应用程序之间交换未保护信息都会产生潜在的安全风险。它们所面临的挑战是防止未授权的第三方监听在 Internet 上传输的信息、伪装成获得授权的人员或干扰组织开展业务的能力。本文提供的分步向导可助您在运行 Microsoft® Windows Server™ 2003 操作系统的网络上建立一个公共密钥证书颁发机构 (CA)。可以在运行 Microsoft® Windows Server™ 2003, Standard Edition、Microsoft® Windows Server™ 2003, Enterprise Edition 或者 Microsoft® Windows Server™ 2003, Datacenter Edition 的服务器上安装 CA。CA 是一项在公钥基础结构 (PKI) 中用于颁发和管理电子凭据或证书的服务。公钥基础结构 (PKI) 由数字证书、CA 和其他可通过公钥加密对电子交易中的各方进行授权有效性验证的注册机构 (RA) 组成。有关 PKI 的标准目前还在进一步发展中,但是作为电子商务中的一个必要元素目前正在被广泛应用。许多政府代理机构和私人团体都已经公布了他们自己的 PKI 标准。在执行一个 PKI 体系之前,应向律师咨询以确保该体系不违反所有相关的本地、州、联邦政府和国际法律法规。Windows Server 2003 PKI 可以与 Microsoft® Windows® XP Professional 的客户端集成在一起,它有助于组织及其雇员、合作伙伴、供应商和客户之间的通信安全。运行 Windows Server 2003 证书服务的服务器可将公钥颁发给个人、设备或服务。证书持有者 PKI 可采用应用激活软件和激活技术来启用中心管理的身份验证,以确保数据机密性和数据交换的安全性。Windows Server 2003 本身支持 PKI 激活技术,这提供了下列技术及与之相关的商业利益的基础:
• | 数字签名。它建立了非拒绝机制,即可保证发送者的真实性的能力。 |
• | 智能卡应用。为智能卡登录提供双因子验证。双因子验证需要用户提供一个物理对象(智能卡,它含有一个存有数字证书和用户私人密钥的芯片)外加一个口令或 PIN 才能访问网络资源。 |
• | 安全电子邮件。类似于安全/多用途 Internet 邮件扩展 (S/MIME) 的服务可以为电子邮件提供保密通信功能,数据完整性和非认可机制。 |
• | 软件代码签名 Authenticode® 技术使软件发行者能够对任何形式的活动内容进行数字签名,包括多文件文档。这些签名可以用来验证内容发行者的身份和下载时内容的完整性。 |
• | Internet 协议安全 (IPSec) 该协议允许对两台计算机之间或公共网络上一台计算机和一个路由器之间的通信进行加密和数字签名。 |
• | 802.11 协议可提供集中的用户标识,身份验证、动态密钥管理和用于接入 802 无线网络和无线以太网的帐户验证。 |
• | 文件系统加密支持文件和文件夹的加密和解密。 |
• | 使用安全套接字层 (SSL) 或传输层安全性 (TLS) 来保证 Web 连接的安全性这些协议通过类似 Internet 的公共网络上的安全通信信道提供服务器和客户端验证。类似于无线传输层安全性 (WTLS) 的无线通信协议版本可用于加强无线网络的安全性。 |
此外,在有 Windows Server 2003 PKI 的情况下,还可以利用它将证书服务和 Active Directory® 目录服务和组策略集成在一起。在 Active Directory 环境下,Windows Server 2003 CA 可以使用“证书模板”来控制所颁发证书的内容,其中“证书模板”由 Active Directory 颁发。证书模板可以定义证书中的信息,并将证书中的技术细节更透明地传递给用户,从而达到简化 CA 使用和管理的目的。根据组织的需要,可以使用单一用途模板,这种模板可以针对特定应用生成证书;也可以使用多用途模板,这种模板可以为多种应用生成证书,甚至可以根据自定义需要生成新的证书模板。本文档所提供的指导内容包括如何建立企业根 CA、如何使用证书模板来启用客户端自动注册功能、以及如何为无线用户创建自动注册功能。特别地,可以通过它学习如何进行如下操作:
• | 安装和配置企业根 CA。 |
• | 验证 CA 安装。 |
• | 安装证书模板。 |
• | 创建自定义证书模板。 |
• | 为客户端自动注册配置证书模板。 |
• | 为默认证书模板授予注册权。 |
• | 将 CA 配置为基于证书模板颁发证书。 |
• | 为无线用户建立自动注册功能。 |
要点:本文档中的屏幕截图所示为测试环境,其信息可能与屏幕上显示的信息有差别。 在完成这些步骤之后,网络将会含有企业根 CA,同时可以通过证书模板管理单元访问所有可用的证书模板。此外,客户端自动注册功能在验证过程中会要求无线用户使用数字证书,这可以加强无线用户的验证过程。自动注册功能可以使用户几乎无需理会此要求,原因使此功能使他们能够自动请求证书,重新检索颁发证书和更新到期证书。可以通过扩展 PKI 的应用来放宽 Windows Server 2003 PKI 为网络所提供的保护,以支持其他应用,比如前面提到过的数字签名、IPSec 等。
要点:该文档中所含的指导步骤都是从安装操作系统时的默认情况下显示的“开始”菜单开始的。如果您修改过“开始”菜单,则上述步骤可能稍有不同。
返回页首准备工作
本节讲述了一个企业 CA 的安装要求。在安装 CA 之前必须满足所有安装要求,如果达不到这些要求,会导致安装失败或 CA 功能受限。此文档中的说明假定有一个还没有进行配置的 PKI 系统。但该文档中所讲的解决方案并不能为附加 Microsoft CA 服务与现有 PKI 的集成提供指南。
IT 基础设施的先决条件
您的组织必须配有下列 IT 基础设施:
• | 已配置的 Active Directory 域结构(带 Service Pack 3 (SP3) 的 Microsoft® Windows® 2000 Server 或更高版本,或 Windows Server 2003)。该解决方案中证书服务的所有用户应该是同一个 Active Directory 林内的域的成员。这种部署假定使用的是 Windows Server 2003 Active Directory 计划扩展。 |
• | 服务器硬件要足以运行 Windows Server 2003 证书服务。“Suggested Hardware Specification for Enterprise Root CA Server”表中提供了一个推荐配置。 |
• | Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的授权协议,安装媒体和产品密钥。下面表格给出了在运行 Windows Server 2003, Standard Edition 的服务器上可进行的操作,和在运行 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上所要求的操作。 |
每一步操作中所需的 Windows Server 2003 操作系统的版本 | 步骤 | Windows Server 2003 操作系统 |
安装和配置企业根 CA。 | Standard Edition |
验证 CA 安装。 | Standard Edition |
安装证书模板。 | Standard Edition |
创建自定义证书模板。 | Enterprise Edition 或 Datacenter Edition |
为客户端自动注册功能配置证书模板。 | Enterprise Edition 或 Datacenter Edition |
为默认证书模板授予注册权。 | Standard Edition |
配置 CA 以颁发基于证书模板的证书。 | 如果需要版本 2 的证书模板则是企业版,否则就是标准版。否则,为 Standard Edition |
为无线用户建立自动注册功能。 | Enterprise Edition |
企业 CA 要求
要使用 Windows Server 2003 有效安装企业 CA,必须进行如下操作:
• | 将 Windows Server 2003 Domain Name Service (DNS) 安装在网络 DNS 服务器上。 |
• | 将 Windows Server 2003 Active Directory 安装在网络的域控制器上。将企业策略信息输入到 Active Directory 内。 |
• | 将企业根 CA 所在主机连接到 Active Directory 域上。 |
• | 在 DNS、Active Directory 和 CA 服务器上配置有企业管理员特权。这一点尤其重要,原因是安装程序要在不止一个地方修改信息,其中有些需要管理员特权。 |
企业根 CA 只需要一个服务器就可以创建。下表在 Windows Server 2003 建议的基础上给出了企业根 CA 服务器的推荐硬件配置。但是如果硬件在有些方面符合
Build Guide 2-Implementing the Public Key Infrastructure(英文)中略述的标准,则不必再购买新的硬件。若要了解 Microsoft Server 2003 企业根 CA 推荐硬件配置的更多信息,可在 TechNet 网站
http://go.microsoft.com/fwlink/?LinkId=22696 上参考“创建指南 2 - 公钥基础结构的实施”。
企业根 CA 服务器的推荐硬件配置 | 项目 | 要求 |
CPU | 单 CPU,733 MHz 或更高 |
内存 | 256 MB |
硬盘空间 | IDE (集成电路设备)或 SCSI (小型计算机系统接口),RAID (独立硬盘冗余阵列)控制器。2 x 18 GB (SCSI) 或 2 x 20 GB (IDE) 配置为 RAID 卷 1(驱动器 C)。 本地可拆卸存储设备(用于备份的 CD-RW 或磁带)和用于数据转移的 1.44-MB 磁盘驱动器。 |
选择要用的 CA 类型
有些组织使用外部商业 CA,而其他组织都使用自己的 CA。由于 CA 是一个组织中最重要的信任点,因此大多数组织都有自己的 CA。本文档假定的组织使用自己的 CA。Windows Server 2003 提供两种级别的 CA,一个是“企业”CA,另一个是“独立”CA,选择哪一种取决于安装过程中使用的策略模块。策略模块决定了 CA 收到证书请求时所进行的操作。通常,如果组织为 Windows Server 2003 域的一部分,若对此组织内部的用户或计算机颁发证书,应安装企业 CA。如果组织为 Windows Server 2003 域的一部分,若对此组织外部的用户或计算机颁发证书,应安装独立 CA。企业 CA 要求所有请求证书的客户端在 Active Directory 中都有一个条目,而独立 CA 不需要。此外,在颁发用于登录 Windows Server 2003 域的证书时,企业 CA 比独立 CA 更简便。在企业 CA 和 独立 CA 级别内部,有两种类型的 CA,一个是“根”CA,另一个是“从属”CA。根 CA 是组织信任的根基。在必要的情况下,根 CA 证书可通过启用从属 CA 来实施策略和向终端用户颁发证书。本文档将向您展示如何安装和配置没有从属 CA 的企业根 CA。若要了解企业 CA、独立 CA、根 CA、从属 CA 和密钥 PKI 设计决策的更多信息,请在 TechNet 网站上参考
MSA Enterprise Design for Certificate Services 的“Determining CA Roles & Types”(英文)主题,其位置是
http://go.microsoft.com/fwlink/?LinkId=22671。
开始之前需了解内容
• | Windows Server 2003 中的证书服务提供了一组 CA Web 页面。这些 Web 页面允许您通过 Web 浏览器与 CA 建立连接并执行普通任务,比如向 CA 发出证书请求、请求 CA 证书、提交证书请求、检索 CA 证书吊销列表 (CRL),或执行智能卡证书注册操作。对于独立 CA,Web 页面是证书请求者与 CA 之间的主要接口方式,原因是证书管理单元不能用于从独立 CA 请求证书。企业 CA 可通过证书管理单元或 Web 注册页面接受证书请求。 |
• | CA 的 Web 接口需要运行 Active Server Pages。在开始工作之前,可通过 Internet 信息服务 (IIS) 启用 Active Server Pages,否则系统会提示您激活它们。 |
• | 选择 CA 有效期将决定 CA 证书何时到期或何时需要续订。在低安全性环境下,可以采用较长的有效期和续订期。在高安全性环境下,通常采用较短的有效期和续订期。 |
• | CA 服务器是组织中最敏感的服务器之一。因此在部署期间和每天的操作期间都必须做好高度的安全计划。要对 CA 进行物理访问限制,只允许最可信员工管理此服务器。此外,务必完成 Security Guidance Kit 中文档“Securing Windows Server 2003 Domain Controllers”(英文)提到的步骤,以确保安装 CA 服务器的安全。 |
CA 部署之后哪些内容不能更改
• | 在安装时需提交的一些基本信息(比如 CA 名称),在 CA 安装完成之后不能再更改。 |
• | 在安装证书颁发机构之后,不能更改计算机的域设置,比如:加入一个域或将服务器提升为域控制器。 |
• | 如果以企业管理员或委派用户的身份安装企业 CA,则在卸载企业 CA 时必须使用企业管理员或委派用户的帐户。 |
返回页首安装和配置企业根 CA
证书服务根的安装过程会生成一个根 CA 证书,该证书中含有 CA 的公钥和由根的私钥所创建的数字签名。本节提供了有关建立企业根 CA、使用证书模板启用客户端自动注册和建立自动注册的分步指导信息。
• | 安装和配置企业根 CA。 |
• | 验证 CA 安装。 |
• | 安装证书模板。 |
• | 创建自定义证书模板。 |
• | 为客户端自动注册配置证书模板。 |
• | 为默认证书模板授予注册权。 |
• | 将 CA 配置为基于证书模板颁发证书。 |
安装和配置企业根 CA
现在需要以企业管理员的身份登录,例如以 Enterprise Admins 组和根域的 Domain Admins 组的成员帐户登录。
要求
• | 凭据:必须以 Enterprise Admins 组和根域的 Domain Admins 组的成员帐户登录。 |
• | 工具:Windows 组件向导。 |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
• | 安装和配置企业根 CA1. | 作为 Enterprise Admins 组和根域的 Domain Admins 组的成员登录。 | 2. | 单击“开始”,再单击“控制面版”,再单击“添加和删除程序”,然后单击“添加 Windows 组件”。 | 3. | 在“Windows 组件向导”中,选中“证书服务”复选框。然后会出现一个对话框,通知您在证书服务安装之后计算机不能被重新命名以及计算机不能加入域或从域中删除。单击“是”。注意: 如果要使用证书服务的 Web 组件,应单击“应用服务器”(但不要选中它的复选框)以确保“IIS”复选框已选中,然后单击“详细信息”,选中“Internet 信息服务 (IIS)”,然后单击“确定”。单击“下一步” | 4. | 在“CA 类型”页面上,选择“企业根 CA”,然后单击“下一步”。
注意: 私钥总是存储在本地服务器上,除非使用加密硬件设备。在公钥被存放在证书上的情况下,私钥被存储在设备上。公钥位于证书中。 | 5. | 在“CA 信息标识”页面提供适于您的站点和组织的信息标识。1. | 在“此 CA 的公用名称”中,输入证书颁发机构的公用名称。 CA 名称(或公用名称)很重要,因为要用它来标识在 Active Directory 中创建的 CA 对象。 | 2. | 在“有效期”中选择接受5年的默认选项,然后单击“下一步”, 其中“有效期”是 CA 有效的时间,即安全和管理之间的权衡。请记住,在每次根证书到期的时候,管理员必须更新所有信任关系,并要采取一些管理性步骤把 CA 转移到新的证书上。在大多数企业环境中,通常的时间期限是 5 年或更多,但是要符合正式的 IT 策略和程序。同时向您的律师咨询,以确保 CA 配置符合所有法律要求。
|
| 6. | 在“证书数据库设置”页面,单击“下一步”接受证书数据库的默认存储路径和证书数据库日志,然后确认“将配置信息存储在共享文件夹内”没有选中。 注意: 安装程序可能会给出“不能创建共享文件夹”的警告信息,这是预料中的,因为所有网络接口都已禁用。安全的做法是忽略这一警告,继续进行后面的操作。此外一定要将证书数据库和证书数据库日志存储在本地 NTFS 驱动器上。
| 7. | 如果 IIS 正在运行,将会有信息提示您停止该设备。单击“是”停止 IIS。必须在 Web 组件安装之前停止 IIS。注意: 如果没有安装 IIS,则不会显示该消息,Web 注册也不可用,除非已安装 IIS。然后,可选组件管理器将安装证书服务组件。如果需要 Windows Server 2003 安装媒体 (CD),请将 Windows Server 2003 产品 CD 插到 CD 驱动器中。 | 8. | 单击“确定”完成安装。单击“完成”关闭向导。 |
|
安装 CA 后,请将证书模板添加到 CA 中,并对 CA 进行配置以允许主题能够请求基于模板的证书。
注意:如果自己建议或者计划采用指南中的建议来加强组织内域控制器的安全性,需要修改域的组策略设置以启用证书服务。若要了解完成此项任务的更多信息,请在 Security Guidance Kit 中参考文档“Securing Windows Server 2003 Domain Controllers”(英文)。
验证 CA 安装
验证 CA 安装是否成功的最简单的方法是输入
net start ,看 CA 是否运行。如要进一步验证或要处理中间出现的故障错误,还可以在
systemroot\certocm.log 中查看 CA 安装日志。还可以采用以下的步骤
要求
• | 凭据:必须以 Enterprise Admins 组和本地管理员组的成员帐户在运行 CA 的计算机上登录。 |
• | 工具:CA 管理单元。 |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |