熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

Windows 2000 公鑰基礎結構詳解(2)

2013-11-11 21:46:22  來源: Windows系統管理 

  Windows PKI 組件
  
  圖 給出了 Windows PKI 組件的頂層視圖這是一個邏輯視圖並不是指獨立服務器的物理需求事實上很多功能都可能合並到一個單服務器系統中Microsoft 證書服務是 PKI 的一個重要組成部分用它可以部署一個或多個企業 CA這些 CA 支持證書的頒發和吊銷它們與 Active Directory 集成在一起提供 CA 位置信息和 CA 策略並允許發布證書和吊銷信息
  
  PKI 並未取代原有基於域控制器 (DC) 和 Kerberos 密鑰分發中心 (KDC) 的 Windows NT 域信任和身份驗證機制而是與這些服務配合使用增強了性能使應用程序得以方便地擴展以滿足外部網和 Internet 的需求尤其值得一提的是PKI 滿足了對於可擴展的分布式標識和身份驗證完整性和保密性的需求
  
   
  
  
  圖 Windows 公鑰基礎結構組件 
  
  在運行 Windows NT 的工作站和應用程序服務器以及運行 Windows 和 Windows 的工作站上均支持創建部署和管理基於 PK 的應用程序Microsoft CryptoAPI 是這些服務的基石它為可安裝的加密服務提供程序 (CSP) 的加密功能提供了一個標准接口這些 CSP 可能是基於軟件的或利用加密硬件設備的程序它們能夠支持各種算法和密鑰強度如圖中所示一種可能基於硬件的 CSP 可支持智能卡CSP 與 Windows 一起發行並利用與 Microsoft PC/SC 兼容的智能卡基礎結構的例子很多(請參見 以及 / )
  
  在加密服務的上層是一組證書管理服務這些服務支持 X v 標准證書提供永久存儲枚舉服務以及解碼支持最上層是用於處理標准的工業消息格式的服務這些服務主要是用來支持 PKCS 標准(請參見 )以及發展中的 IETF(Internet 工程任務任務組— /)PKIX(公鑰基礎結構 X)草案標准
  
  其他服務使用 CryptoAPI為應用程序開發人員提供其他功能安全信道 (schannel) 使用工業標准 TLS 和 SSL 協議來支持網絡身份驗證和加密可用 Microsoft WinInet 接口(與 HTTP 協議 (HTTPS) 一起使用)訪問這些服務也可通過 SSPI 接口與其他協議配合使用這些服務Authenticode 支持對象簽名和驗證這雖然也可用於其他環境但主要用於確定 Internet 下載組件的來源和完整性還支持通用智能卡接口以上這些特點已用於將加密智能卡以一種與應用程序無關的方式進行集成這是集成在 Windows 中的智能卡登錄支持的基礎
  
   
  
  圖 公鑰應用程序服務 
  
  證書頒發機構
  
  Microsoft 證書服務包含在 Windows NT Server 它提供一種方法使企業能夠方便地建立 CA以滿足其商業需求證書服務包含一個默認策略模塊它適於將證書頒發給企業實體(用戶機器或服務)其中包括請求實體的標識以及驗證該域 PK 安全策略是否接受所請求的證書要考慮到解決其他策略或要將 CA 擴展成支持各種外部網或 Internet 方案時對其進行相應的修改或改進也是很容易的因為證書服務是基於標准的所以它為異構環境中啟用 PK 的應用程序提供了廣泛的支持
  
  在 PKI 中可以方便地支持企業 CA 以及外部 CA例如與其他單位或商業服務提供程序相關的 CA這樣企業就可以根據商業需要來調整環境了
  
  Windows PKI 采用層次結構的 CA 模型其優點是具有可擴展性管理方便並且與很多商業和第三方 CA 產品有一致性最簡單的形式是CA 層次結構僅由一個 CA 組成但通常一個層次結構會包含多個 CA並明確定義了父子關系(圖 正如圖中所示可能還存在多個不連續的利益層次結構並不要求所有 CA 共享一個公用頂層父 CA(或根 CA)
  
  這一模型中子 CA 由父 CA 頒發的證書來驗證該證書將一個 CA 的公鑰與其標識和其他基於策略的屬性綁定到一起層次結構頂端的 CA 通常稱為根 CA下屬 CA 通常稱為中級 CA頒發 CA在本文中頒發 CA指的是頒發最終實體證書的 CA中級 CA不是指根 CA而是指僅驗證其他 CA 的 CA
  
  
  
  圖 證書頒發機構層次結構 
  
  這一模型的主要優點就是驗證證書只需要對少數根 CA 建立信任即可同時它對頒發 CA 的數量要求更為靈活支持多個頒發 CA 有許多實際的原因包括
  
  用法 – 可基於多種用途頒發證書例如安全電子郵件網絡身份驗證等等頒發的用途不同其策略也會有所不同對其進行分別處理是策略管理的基礎
  
  組織劃分 – 根據組織中實體角色不同頒發證書策略也不相同仍然可以創建頒發 CA區分和管理這些策略
  
  地理劃分 – 組織可能在多個物理站點擁有實體這些站點間的網絡連接決定了需要多個頒發 CA以滿足可用性要求
  
  這種 CA 層次結構還為管理提供了好處包括
  
  可以靈活配置 CA 安全環境(密鑰長度物理保護防止網絡攻擊的保護等)以保持安全性和可用性之間的平衡例如對於根 CA可使用特殊用途的加密硬件把它放到物理上安全的區域或在脫機模式下運行出於成本或可用性的考慮它可能並不適於頒發 CA
  
  可頻繁更新頒發 CA 密鑰和/或證書(洩密風險最高)而無須更改已建立的信任關系
  
  可以去掉 CA 層次結構的某一部分而不會影響已建立的信任關系例如可以很容易地拒絕或吊銷一個與特定地理站點關聯的頒發 CA 證書而不會影響組織中的其他部分
  
  CA 層次結構一般是靜態的但並不要求必須如此在給定根 CA 下可以方便地添加或刪除頒發 CA另外可由一個根 CA 頒發證書證明另一個根 CA 是它的中級 CA這樣就可以合並原有的 CA 層次結構但是在合並之前需要慎重考慮可能會引起的策略不一致性還要考慮可能會編入原有證書的深度限制的影響
  
  部署 Microsoft 證書服務是一個非常簡單直觀的操作創建 CA 前最好先建立域然後建立一個或多個企業根 CA在證書服務安裝過程中管理員就是按這樣的步驟進行安裝的安裝過程的要點包括
  
  選擇主服務器 – 根 CA 可以在任何 Windows NT Server 平台上運行包括 DC在此過程中必須考慮物理安全性要求預期負載連接性要求等因素
  
  命名 – CA 名稱與其證書綁定在一起因此不能修改應該考慮組織命令規則以及將來需要以區分不同的頒發 CA
  
  密鑰生成 – CA 的公鑰對將在安裝過程中生成它是該 CA 所獨有的
  
  CA 證書 – 對於根 CA 而言安裝過程會用 CA 的公鑰私鑰對自動生成一個自簽名的 CA 證書對於子 CA可以選擇生成一個證書請求並提交到中級 CA 或根 CA
  
  Active Directory 集成 – 在安裝過程中關於 CA 的信息會寫入 Active Directory 中的 CA 對象它給域客戶提供了可用的 CA 以及頒發證書類型的信息
  
  頒發策略 – 企業 CA 安裝程序會自動為該 CA 安裝和配置 Microsoft 提供的企業策略模塊已授權的管理員可對該策略進行修改雖然大多數情況下無需這樣做
  
  建立根 CA 後就可以安裝此根 CA 所屬的中級或頒發 CA 了安裝策略的唯一重大差別是生成的證書請求是提交給根 CA 還是中級 CA此請求可以自動路由到聯機 CA(可通過 Active Directory 定位這些 CA)或在脫機情況下手動路由在這兩種情況下都必須先把生成的證書安裝到 CACA 才能開始工作

From:http://tw.wingwit.com/Article/os/xtgl/201311/9191.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.