Windows
PKI 組件
圖
給出了 Windows
PKI 組件的頂層視圖
這是一個邏輯視圖
並不是指獨立服務器的物理需求
事實上
很多功能都可能合並到一個單服務器系統中
Microsoft 證書服務是 PKI 的一個重要組成部分
用它可以部署一個或多個企業 CA
這些 CA 支持證書的頒發和吊銷
它們與 Active Directory 集成在一起
提供 CA 位置信息和 CA 策略
並允許發布證書和吊銷信息
PKI 並未取代原有基於域控制器 (DC) 和 Kerberos 密鑰分發中心 (KDC) 的 Windows NT 域信任和身份驗證機制
而是與這些服務配合使用
增強了性能
使應用程序得以方便地擴展
以滿足外部網和 Internet 的需求
尤其值得一提的是
PKI 滿足了對於可擴展的分布式標識和身份驗證
完整性和保密性的需求
圖
Windows
公鑰基礎結構組件
在運行 Windows NT 的工作站和應用程序服務器
以及運行 Windows
和 Windows
的工作站上
均支持創建
部署和管理基於 PK 的應用程序
Microsoft CryptoAPI 是這些服務的基石
它為可安裝的加密服務提供程序 (CSP) 的加密功能提供了一個標准接口
這些 CSP 可能是基於軟件的
或利用加密硬件設備的程序
它們能夠支持各種算法和密鑰強度
如圖中所示
一種可能基於硬件的 CSP 可支持智能卡
CSP 與 Windows
一起發行並利用與 Microsoft PC/SC 兼容的智能卡基礎結構的例子很多(請參見 以及 / )
在加密服務的上層是一組證書管理服務
這些服務支持 X
v
標准證書
提供永久存儲
枚舉服務以及解碼支持
最上層是用於處理標准的工業消息格式的服務
這些服務主要是用來支持 PKCS 標准(請參見 )以及發展中的 IETF(Internet 工程任務任務組— /)PKIX(公鑰基礎結構 X
)草案標准
其他服務使用 CryptoAPI
為應用程序開發人員提供其他功能
安全信道 (schannel) 使用工業標准 TLS 和 SSL 協議
來支持網絡身份驗證和加密
可用 Microsoft WinInet 接口(與 HTTP 協議 (HTTPS) 一起使用)訪問這些服務
也可通過 SSPI 接口與其他協議配合使用這些服務
Authenticode 支持對象簽名和驗證
這雖然也可用於其他環境
但主要用於確定 Internet 下載組件的來源和完整性
還支持通用智能卡接口
以上這些特點已用於將加密智能卡以一種與應用程序無關的方式進行集成
這是集成在 Windows
中的智能卡登錄支持的基礎
圖
公鑰應用程序服務
證書頒發機構
Microsoft 證書服務包含在 Windows NT Server
中
它提供一種方法
使企業能夠方便地建立 CA
以滿足其商業需求
證書服務包含一個默認策略模塊
它適於將證書頒發給企業實體(用戶
機器或服務)
其中包括請求實體的標識
以及驗證該域 PK 安全策略是否接受所請求的證書
要考慮到解決其他策略
或要將 CA 擴展成支持各種外部網或 Internet 方案時
對其進行相應的修改或改進也是很容易的
因為證書服務是基於標准的
所以它為異構環境中啟用 PK 的應用程序提供了廣泛的支持
在 PKI 中
可以方便地支持企業 CA 以及外部 CA
例如
與其他單位或商業服務提供程序相關的 CA
這樣
企業就可以根據商業需要來調整環境了
Windows
PKI 采用層次結構的 CA 模型
其優點是
具有可擴展性
管理方便
並且與很多商業和第三方 CA 產品有一致性
最簡單的形式是
CA 層次結構僅由一個 CA 組成
但通常一個層次結構會包含多個 CA
並明確定義了父子關系(圖
)
正如圖中所示
可能還存在多個不連續的利益層次結構
並不要求所有 CA 共享一個公用頂層父 CA(或根 CA)
這一模型中
子 CA 由父 CA 頒發的證書來
驗證
該證書將一個 CA 的公鑰與其標識和其他基於策略的屬性綁定到一起
層次結構頂端的 CA 通常稱為
根 CA
下屬 CA 通常稱為
中級 CA
或
頒發 CA
在本文中
頒發 CA
指的是頒發最終實體證書的 CA
中級 CA
不是指根 CA
而是指僅驗證其他 CA 的 CA
圖
證書頒發機構層次結構
這一模型的主要優點就是
驗證證書只需要對少數根 CA 建立信任即可
同時
它對頒發 CA 的數量要求更為靈活
支持多個頒發 CA 有許多實際的原因
包括
用法 – 可基於多種用途頒發證書
例如
安全電子郵件
網絡身份驗證等等
頒發的用途不同
其策略也會有所不同
對其進行分別處理是策略管理的基礎
組織劃分 – 根據組織中實體角色不同
頒發證書策略也不相同
仍然可以創建頒發 CA
區分和管理這些策略
地理劃分 – 組織可能在多個物理站點擁有實體
這些站點間的網絡連接決定了需要多個頒發 CA
以滿足可用性要求
這種 CA 層次結構還為管理提供了好處
包括
可以靈活配置 CA 安全環境(密鑰長度
物理保護
防止網絡攻擊的保護等)
以保持安全性和可用性之間的平衡
例如
對於根 CA
可使用特殊用途的加密硬件
把它放到物理上安全的區域
或在脫機模式下運行
出於成本或可用性的考慮
它可能並不適於頒發 CA
可頻繁更新頒發 CA 密鑰和/或證書(洩密風險最高)
而無須更改已建立的信任關系
可以去掉 CA 層次結構的某一部分
而不會影響已建立的信任關系
例如
可以很容易地拒絕或吊銷一個與特定地理站點關聯的頒發 CA 證書
而不會影響組織中的其他部分
CA 層次結構一般是靜態的
但並不要求必須如此
在給定根 CA 下
可以方便地添加或刪除頒發 CA
另外
可由一個根 CA 頒發證書
證明另一個根 CA 是它的中級 CA
這樣
就可以合並原有的 CA 層次結構
但是
在合並之前
需要慎重考慮可能會引起的策略不一致性
還要考慮可能會編入原有證書的
深度
限制的影響
部署 Microsoft 證書服務是一個非常簡單
直觀的操作
創建 CA 前
最好先建立域
然後
建立一個或多個企業根 CA
在證書服務安裝過程中
管理員就是按這樣的步驟進行安裝的
安裝過程的要點包括
選擇主服務器 – 根 CA 可以在任何 Windows NT Server 平台上運行
包括 DC
在此過程中
必須考慮物理安全性要求
預期負載
連接性要求等因素
命名 – CA 名稱與其證書綁定在一起
因此
不能修改
應該考慮組織命令規則以及將來需要
以區分不同的頒發 CA
密鑰生成 – CA 的公鑰對將在安裝過程中生成
它是該 CA 所獨有的
CA 證書 – 對於根 CA 而言
安裝過程會用 CA 的公鑰
私鑰對
自動生成一個自簽名的 CA 證書
對於子 CA
可以選擇生成一個證書請求
並提交到中級 CA 或根 CA
Active Directory 集成 – 在安裝過程中
關於 CA 的信息會寫入 Active Directory 中的 CA 對象
它給域客戶提供了可用的 CA 以及頒發證書類型的信息
頒發策略 – 企業 CA 安裝程序會自動為該 CA 安裝和配置 Microsoft 提供的企業策略模塊
已授權的管理員可對該策略進行修改
雖然大多數情況下無需這樣做
建立根 CA 後
就可以安裝此根 CA 所屬的中級或頒發 CA 了
安裝策略的唯一重大差別是
生成的證書請求是提交給根 CA 還是中級 CA
此請求可以自動路由到聯機 CA(可通過 Active Directory 定位這些 CA)
或在脫機情況下手動路由
在這兩種情況下
都必須先把生成的證書安裝到 CA
CA 才能開始工作
From:http://tw.wingwit.com/Article/os/xtgl/201311/9191.html
