管理證書的主要目標之一是提高企業的安全級別其中身份驗證和訪問權管理都應該加以重視在本文中我們首先將簡要地概括CA的定義然後將重點探討Windows Server 與專業證書監測工具(PKIViewmsc和 certutilexe等)結合應用的問題對於企業而言非常有必要弄清楚證書是如何影響企業安全狀態以及證書是否有效或者需要維護(如替換)等問題因為過期的證書表明企業安全狀況很差很容易招致攻擊另外也表明企業沒有及時更新證書沒有例行維護沒有實時狀態警報或者郵件提示本文將探討在Windows Server 中使用證書的重要性以及如何監測證書情況
證書和安全
安全不是一個小問題事實上基礎設施的方方面面都需要考慮安全問題從最基本的LAN到Web服務器如何通過SSL(Secure Sockets Layer安全套接字層)允許外部用戶訪問web網頁等都需要安全保護並且安全的各個方面都要加以重視特別是當部署CA或者PKI(公鑰基礎設施)的時候當然安全帶來的好處也是不言而喻的提升企業網絡和系統的安全狀態能夠保護企業免受各種攻擊和安全威脅的困擾Windows Server 的安全性可以通過很多不同的方式來實現包括使用安全證書不同形式加密以及Windows Server 中的工具包和各種功能等你也可以使用Add Role Wizard在Windows Server 中配置CA
安裝ADCS
用戶可以通過運行Add Roles Wizard來安裝和配置Certificate Services證書服務通過刪除Server Roles列表的Active Directory Certificate Services (ADCS)讓Windows Server 充當CA或者說Certificate Authority(證書授權中心)ADCS是用來創建CA或者證書授權中心以為不同的應用程序發布和管理證書
圖配置Active Directory Certificate Services
你會發現很多基於Windows的安全服務都能與ADCS結合應用要想監測證書你必須弄清楚哪些需要監測下面我們將討論公鑰基礎設施
什麼是PKI?
當企業開始使用智能卡IpsecSSL(Secure Sockets Layer安全套接字層)數字簽名加密文件系統(EFS)或者其他依賴於專業加密級別的技術時企業都需要建立一個加密和身份驗證的公共系統PKI或者也稱公共密鑰基礎設施是用來確保所有使用同一系統的人能夠進行驗證來訪問系統使用PKI可以讓驗證實體通過電子證書來完成身份驗證電子證書其實就是電子版的證明文件它可以幫助客戶端通過證書來驗證主機的身份最常見的使用證書系統的技術是SSLSSL通過驗證用戶身份來安全傳輸數據而在PKI中使用證書是為了保護數據安全和管理企業內部及外部資源的訪問驗證機制證書授權中心是公共密鑰基礎設施的一部分CA負責驗證證書發布證書以及證書吊銷等從最低限度來看任何使用微軟Active Directory Certificate Services (ADCS)的企業至少擁有一個證書授權中心以進行證書發布和吊銷有的企業也會部署一個以上的證書授權中心另外CA既可以部署在公司內部也可以部署在外部並且可以設置不同的級別root CA或者僅發布證書的CA有很多種部署CA的方式企業最好先了解自己的需求再開始部署
使用證書監控工具
Windows Server 中有兩個重要的實用的證書監控工具那就是PKIViewmsc 和復雜的certutilexe工具
PKIViewmsc
使用PKIViewmsc工具的時候用戶需要為PKI打開MMC這個命令將會啟動PKI Health工具以確保對所有與現有PKE相關的活動和狀況進行監控PKIView 同樣還會監控Authority Information Access (AIA)以及CRL distribution (CDP) 擴展功能以保證監控服務順利進行不會出現中斷PKIViewmsc最開始出現在Windows Server Resource Kit中你可以從微軟官網下載並安裝PKIView可以幫助用戶查看PKI的狀態監測PKI的整個活動還有多種視覺的指示器幫助用戶全方位地了解PKI的情況例如綠色標志顯示PKI狀態良好而黃色警告標志則說明證書或者證書吊銷列表(CRL)已經快過期紅色錯誤標志表明CRL或者Authority Information Access (AIA)位置不可用同時還可以指示CA不可信賴
注意
PKIView最開始是Windows Server Resource Kit的一部分也被稱為PKI Health工具新版本(原本是MMC模塊)已經是該操作系統的一部分新版本同樣支持 Unicode
certutilexe
驗證工具(certutilexe)命令可以通過兩個參數來判斷簽發的證書的有效性
certutil verify –urlfetch
使用–verify –urlfetch文件名可以讓用戶看到每個證書URL的輸出如果成功驗證會顯示verified輸出如果失敗則會顯示錯誤輸出
certutil viewstore
–viewstore輸出可以讓用戶查看特定Active Directory Domain Services 存儲或者對象的內容這能讓用戶選擇查看所有存儲中的證書情況
如果certutil命令不能正確執行或者你沒有證書都會獲得錯誤提示信息
CRL檢查是證書監測的重要功能也是主要功能顯然你不希望在證書被替換或者升級前出現證書過期的情況CRL或者又稱為證書吊銷列表正如其名指的是那些需要被吊銷的證書的列表CRL檢查是為了查看證書是否有效這個工具是確保證書有效性的重要工具使用該工具有著重要的意義因為certutilexe將會檢查CA的CRL而 Certificate MMC SnapIn 則不會檢查證書的CRL
使用certreq
Certreq可以用於請求證書你可以使用 certreq來查詢CA並為證書創建新的請求
本文中我們討論了Windows Server 與專業證書監測工具(PKIViewmsc和 certutilexe等)結合應用的問題以及監控工具的使用等我們同時還討論了 PKIViewmsc控制台和certutilexe工具命令行的用法希望可以對網友的企業IT管理有所幫助
From:http://tw.wingwit.com/Article/os/xtgl/201311/9103.html
