Windows 從 Windows 版本起即開始為公鑰基礎結構 (PKI) 提供強健的平台范圍的支持該版本包含第一個本機證書頒發機構功能引入了自動注冊並為智能卡身份驗證提供支持在 Windows XP 和 Windows Server 中這些功能已得到擴展可通過版本 證書模板提供更靈活的注冊選項並支持自動注冊用戶證書在 Windows Vista® 和 Windows Server® (以前的代號為Longhorn)中Windows® PKI 平台又向前邁了一步支持高級算法實時有效性檢查可管理性也更好本專欄將討論 Windows Vista 和 Windows Server 中新增的 PKI 功能以及企業如何利用這些功能來降低成本和增加安全性
Windows Vista 和 Windows Server 中的 PKI 圍繞四個主要核心方面進行了改進加密注冊可管理性和吊銷除了這些特定功能的改進外Windows PKI 平台還受益於其他的操作系統改進(如角色管理器)這些改進使得創建和部署新的證書頒發機構 (CA) 更加輕松另外Windows 的其他許多部分都能夠利用 PKI 平台中的改進如在 Windows Vista 中支持使用智能卡存儲加密文件系統 (EFS) 密鑰
加密
對加密服務核心的改進體現在兩方面首先通過引進下一代加密技術 (CNG)Windows 現在提供一種可插入的協議不可知的加密功能此功能使得以編程方式開發和訪問獨立算法更加輕松其次CNG 還新增了對 Suite B 算法的支持該算法在 年由 National Security Agency (NSA) 引入
CNG 是 Microsoft 的一個新型核心加密界面也是針對將來基於 Windows 和支持加密的應用程序建議使用的 APICNG 提供了大量的以開發人員為目標對象的功能其中包括更方便的算法發現和替換可替換的隨機數生成器和一個內核模式加密 API提供這些新功能的同時CNG 還與其處理器 CryptoAPI 中提供的算法集完全向後兼容目前CNG 正在接受通過聯邦信息處理標准 (FIPS) 級別 認證以及成為所選平台的通用准則所需的評估
CNG Suite B 支持包括所需的所有算法AES(所有密鑰大小)SHA 系列(SHASHA 和 SHA)哈希算法橢圓曲線 DiffieHellman (ECDH) 以及以美國國家標准與技術研究院 (NIST) 標准原始曲線 PP 和 P 為標准的橢圓曲線數字簽名算法 (ECDSA)NSA 已表明經過認證的 Suite B 實現將用於保護以下類別的信息Top SecretSecret 以及過去被描述為 SensitiveButUnclassified 的隱私信息所有 Suite B 算法的開發都采取公開形式其他一些政府也在探索嘗試采用 Suite B 算法作為國家標准
對 Windows PKI 平台的這些低級別改進為開發人員保護數據提供了更安全的方法同時還創建了易於維護和隨時間改進的子系統由於 CNG 是可插入的體系結構所以可根據需要添加新算法CNG 會從應用程序層抽象出這些提供程序最終結果是Windows Vista 和 Windows Server 的設計旨在為開發支持 PKI 的應用程序和服務提供高級的可發展平台
注冊
Windows 中的證書注冊體驗得到了顯著改善提供新的基於向導的注冊工具更佳的證書過期處理新 API代表注冊功能以及憑據漫游等功能這些增強功能通過集中管理的方式更加輕松地在企業范圍內部署證書降低對用戶的影響從而降低了 PKI 的總體擁有成本
從注冊的角度來看最顯著的變化就是如圖 和 中所示的新證書注冊用戶界面此用戶界面取代了舊的受限制的用戶界面舊界面不具備在注冊過程中接受來自用戶的數據的功能新界面允許用戶在注冊過程中輸入數據(如果管理員將證書模板配置為要求在注冊過程中輸入數據)該界面還針對用戶可能無法對特定模板注冊的原因進行了清楚的說明
圖 選擇可用證書
圖 不可用證書的狀態
注冊界面的另一個關鍵改進是對過期證書的處理新界面為最終用戶明確提供了有關哪些證書何時過期的信息並使用戶可以輕松續訂證書或忽略來自同一界面的警告盡管管理員能夠通過自動注冊來自動刷新證書但此警告功能對於移動用戶或斷開連接的用戶而言仍然非常重要因為這些用戶可能很少登錄公司網絡而且持有的證書可能已接近過期日期
對於使用證書注冊的開發人員而言新的 API 對基於 ActiveX® 的舊控件(xenrolldll 和 scrdernldll)提供了重大改進新的證書注冊 API 提供了定義良好的類層次結構理解起來更加輕松編碼也更加簡單這一新的 API 取代了 Windows Vista 和 Windows Server 中的 xenroll
對 API 所做的這一更改對開發人員和 IT 專業人員都有影響因為 Windows Vista 客戶端無法使用 Windows Server 中提供的基於 Web 的注冊功能這是由於這些注冊網頁(默認存儲於 /certsrv 虛擬目錄下)所使用的 xenroll 控件在 Windows Vista 中已不復存在知識庫文章如何將證書服務 Web 注冊頁與 Windows Vista 結合使用(s/kb/) 提供了一種相應解決方案的相關信息從 Windows Server 自動注冊到 Windows Vista 未受影響
在以前版本的 Windows Server 中對注冊代理能代表哪些群體進行注冊並沒有什麼限制換句話說一旦授予了用戶注冊代理能力他就能夠代表林中的其他任何用戶進行注冊當然這就意味著用戶通過代表某位現有用戶進行注冊進而使用新創建的證書假冒該用戶即可輕松升級自已的權限為防止此類威脅僅對具有高可信度的用戶提供注冊代理能力這種方法雖然提高了安全性但也使部署模型的靈活性降低因為只有少量用戶具有代表其他用戶進行注冊的能力因此地理位置分散的大型組織為最終用戶(例如智能卡)部署證書的復雜度將會增加
在 Windows Server 中可以將注冊代理限制在更低的級別可以針對能夠代表哪些用戶進行注冊加以限制也可以針對能夠依照哪些模板進行注冊加以限制如圖 所示例如現在某組織可以賦予某個本地 IT 專業人員代表本分支機構內所有用戶(而不是人力資源組中的用戶)進行注冊的能力針對注冊代理的這一精確方法使企業能在其組織內部更有效更安全地委派注冊能力
圖 注冊代理限制
管理 PKI 的最大挑戰之一是管理分散在組織內各設備中的所有密鑰對即使在一個不很復雜的 PKI 環境中任何特定用戶也可能具有若干個不同的密鑰對(如 EFS無線網絡身份驗證和 S/MIME)並要求無論該用戶從何處登錄都可以使用這些密鑰對隨著移動計算和終端服務的日益盛行在網絡內復制這些密鑰對以便用戶在任何位置登錄都可以使用它們將變得空前重要雖然用戶持有的令牌(如智能卡)有助於解決部分問題但組織內可能仍然有用戶沒有卡或用戶持有的證書並未存儲在卡內憑據漫游通過安全存儲 Active Directory® 內部的密鑰對和證書使得用戶無論從何處登錄都能夠使用它們從而解決了上述問題
憑據漫游首先在 Windows Server SP 中推出允許證書和密鑰在無需使用漫游用戶配置文件的情況下在計算機之間安全漫游在 Windows Vista 和 Windows Server 中此功能是默認包含的並在證書服務客戶端 (CSC) 服務中實現配置選項(如哪些證書可以漫游和如何解決沖突)是通過組策略進行管理的在 Windows Vista 和 Windows Server 中CSC 服務還可以實現存儲的用戶名和密碼的漫游雖然此功能默認包含在 Windows Vista 中但應注意Windows XP 中完全支持憑據漫游登錄到 Windows Server 域控制器(帶有更新部署;請參見 s/kb/)時也完全支持憑據漫游這就意味著您無需等待 Windows Vista 部署完成即可使用此技術
可管理性
Windows Server 中進行了大量升級通過以高可用性方式使證書頒發機構 (CA) 服務更容易設置監視和運行改進了該服務的可管理性CA 設置與角色管理器工具集成並提供了安裝 CA 服務的簡單方法為過程中的每個步驟都定義了默認設置現在設置可以在無人參與模式下執行最後設置擁有了更好的診斷功能使其更容易對可能出現的故障或問題進行故障排除
Windows Server 中大大增強了對 CA 服務的監視(在 Windows Vista 中擁有全面的證書診斷)除了跨整個產品的更加靈活的事件記錄基礎結構外現在 CA 服務自身還擁有一個內置監視控制台並與 Systems Center Operations Manager (以前稱為 MOM)相關聯以提供企業級警報企業 PKI 監視控制台是對 Windows Server AdminPak 中引入的其前身的改進新的控制台包含在產品本身中除了監視指定林中的所有 CA 外現在還可以監視聯機證書狀態協議 (OCSP) URI
Operations Manager 管理包為組織的 PKI 提供了一種被動監控功能其中包括基於阈值的內置警報例如管理包可用於監視證書吊銷列表 (CRL) 的刷新情況當 CRL 達到過期日期前的特定天數或小時數時則向 PKI 管理員發出警告最後還提供了許多新的性能計數器幫助進行故障排除和監視 CA 服務本身的整體性能這些計數器可用於捕獲數據如每秒頒發多少證書
在 Windows Server 中初次亮相的新功能支持 CA 服務硬件級別的群集此群集支持采用標准 Microsoft 群集服務 (MSCS) 技術並支持兩節點的主動/被動配置群集支持使您能夠以高可用性方式運行頒發基礎結構可用於地理位置各異的群集部署如果您選擇應用群集支持請注意單是使 CA 群集化並不會導致整個 PKI 都可用盡管群集可以幫助確保 CA 自身可用但正常運行的 PKI 很可能包含未直接在 CA 上運行的其他組件例如CRL 分發點 (CDP) 和 OCSP 響應程序都必須以高可用性方式運行以確保可以執行吊銷此外當采用硬件安全模塊 (HSM)尤其是基於網絡的 HSM 時它們都在 PKI 中顯示潛在的故障點群集是一個強大的新增功能用於為證書頒發機構本身提供高可用性但它不是使整個 PKI 部署可用的萬能藥
吊銷
長期以來CRL 一直用於提供對證書的有效性檢查這些 CRL 包括有效期尚未過期但不再受信任的所有證書的序列號例如如果某個員工的證書的過期日期為 //但該員工在 // 離開了該組織則其證書的序列號將被添加到 CRL 中然後該 CRL 將可用於多個 CRL 分發點 (CDP)如 HTTP 和輕型目錄訪問協議 (LDAP) 路徑
盡管被廣泛使用但 CRL 仍存在一些關鍵的不足之處首先CRL 由 CA 定期發布(通常每天一次或兩次)然後客戶端下載這些 CRL 並將其緩存直到下一個發布間隔在此緩存期內證書可能被吊銷而客戶端可能不了解最新的狀態其次在大型組織中CRL 的大小可能會增長到非常大(有時會超過 MB)在大型廣為分散的網絡范圍內分發這些文件會非常困難甚至無法分發在分支機構方案或其他有限帶寬環境中尤為如此
為解決這些問題RFC 中創建並定義了 OCSPOCSP 提供了驗證證書狀態的實時方法OCSP 客戶端在需要檢查葉證書有效性的計算機上運行然後該客戶端軟件引用 OCSP 響應程序並發送一條消息詢問葉證書的有效性狀態該響應程序會檢查證書的有效性並實時向客戶端做出響應此方法避免了緩存和分發問題
OCSP 客戶端功能首次包括在了 Windows Vista 中(以前需要使用第三方軟件)並可通過組策略進行配置默認情況下Windows 將嘗試使用 OCSP但如果響應程序不可用將回退到標准 CRL 查詢
在 Windows Server 中提供了 OCSP 響應程序來回應這些要求該響應程序通過角色管理器安裝並可由 Operations Manager 管理包監視由於客戶端和響應程序都符合 OCSP 標准所以可以輕松地將它們集成到采用類似於基於標准的第三方組件的現有 OCSP 環境中例如完全支持讓 Windows Vista 客戶端根據第三方響應程序檢查證書狀態以及讓 Windows Server 響應程序來響應來自第三方客戶端應用程序的查詢此外Windows OCSP 響應程序還可以應答由任何符合標准的 CA 頒發的證書的請求不要求使用 Windows Server CA(和通常所說的基於 Windows 的 CA)
總結
Windows Vista 和 Windows Server 中的 PKI 平台包括許多增強功能和若干新增功能這些功能可使部署和操作 PKI 更安全成本更低新的 CNG API 為開發人員提供了更輕松的編程環境並支持新的加密標准注冊改進使組織可以更輕松地大量置備證書並在整個企業內實現密鑰的安全漫游同樣新的管理包和 CA 群集功能使監視 CA 的狀態更加容易並可確保高可用性最後吊銷檢查中的改進使用基於標准的方法提供對證書的實時驗證而不會產生 CRL 分發的帶寬成本因此Windows Vista 和 Windows Server 使 Windows PKI 平台提升到了一個新級別
From:http://tw.wingwit.com/Article/os/xtgl/201311/9223.html
