CA技术白皮书.doc

第第 1414 章章证书服务证书服务 MSA 2 0 规划指南 MSA 实施工具包 Microsoft 机密 机密 2003 Microsoft Corporation 保留所有权利 这些资 料属于 Microsoft 公司的机密信息 同时被当作商业秘密 这些资料中 的信息仅面向 Microsoft 授权的接收者 对于这些资料的使用 散发或 公开讨论 以及任何反馈均以所附的许可协议条款为依据 您可以通过 向 Microsoft 提供这些资料的任何反馈 表示同意该许可协议的条款 如果该许可协议已被删除 请在使用这些资料之前 在 上阅读有关条款 摘要摘要 本章提供 MSA 2 0 企业数据中心 Corporate Data Center CDC 和卫星分公司 Satellite Branch Office SBO 中的证书服务设计选择及需求的详细分类 本文档遵循 MSA 参考体系结构工具包 中 的 服务蓝图 指南的 证书服务 章节介绍的设计过程和指导方针 本文档中的信息 包括 URL 及其他 Internet 网站参考资料 可能随时 变更 恕不另行通知 使用本文档的全部风险或因此导致的后果均由用 户自行承担 除非另外注明 否则此处作为例子提到的公司 组织 产品 域名 电 子邮件地址 徽标 人员 地点和时间纯属虚构 绝不意指 也不应由 此臆测任何真实的公司 组织 产品 域名 电子邮件地址 徽标 人 员 地点和时间 遵守所有适用的版权法律是用户应尽的责任 在不对版权法所规定的权 利加以限制的情况下 如未得到 Microsoft Corporation 明确的书面 许可 不得为任何目的 以任何形式或手段 电子的 机械的 影印 录制等等 复制 传播本文的任何部分 也不得将其存储或引入到检索 系统中 Microsoft 可能拥有本文档主题涉及到的专利 专利申请 商标 版权 或其他知识产权 除非在 Microsoft 的任何书面许可协议中明确表述 否则获得本文档不代表您将同时获得这些专利 商标 版权或其他知识 产权的许可证 2003 Microsoft Corporation 保留所有权利 Microsoft Active Directory MSDN 和 Windows 是 Microsoft Corporation 在美国和 或其它国家或地区的注册商标或商标 此处提到的实际公司和产品名称可能是其各自所有者的商标 Microsoft Corporation One Microsoft Way Redmond WA 98052 6399 USA 00 目录 简介简介 1 目标读者 1 必备知识 1 针对针对 CDCCDC 情境的证书服务设计情境的证书服务设计 2 服务设计 2 确定安全应用程序的需求 2 确定实体之间的连接 2 确定用户 计算机和服务的证书需求 3 逻辑设计 3 设计根 CA 3 设计信任锚点 Trust Anchor 3 根 CA 证书的分发 3 选择内部 CA 与非 Microsoft CA 5 确定 CA 角色和类型 5 应用认证操作声明 6 集成目录基础结构 7 确定 CA 的地理位置 7 确定 CA 的域和森林成员关系 7 确定 CA 的网络保护 7 选择证书服务提供者 8 设计 CA 拓扑 8 选择扩展的 CA 基础结构配置 8 确定颁发 CA 的数量 8 部署证书服务器 9 选择 CA 证书和 CRL 发布位置 9 选择 CA 证书和 CRL 发布资源 10 选择分发点顺序 11 选择分发点 URL 11 选择检索协议 12 定义发布机制 12 CRL 发布委托 14 制定 CRL 发布计划 14 规划 CRL 的存档 15 选择客户端证书服务提供者 15 设计证书注册 15 执行请求接收 15 选择请求接收方法 16 选择请求接收工具 16 选择请求接收模式 17 定义请求权限 17 选择密钥长度 18 选择证书有效期 18 到 Active Directory 的证书发布 18 逻辑设计小结 18 硬件需求 19 可用性 20 本地存储可用性 20 网卡配置类型 20 安全性 21 安全锁定 21 可扩展性 21 可管理性 21 基于角色的管理 22 系统管理 22 创建证书管理计划 22 选择证书模板和证书类型 23 批准证书 23 撤销证书 24 恢复证书 24 续订证书 24 检验证书 25 性能 25 合并 25 服务相关性 25 针对针对 SBOSBO 情境的证书服务设计情境的证书服务设计 27 服务设计 27 确定用户 计算机和服务的证书需求 27 记载证书策略和操作 27 逻辑设计 27 为公钥基础结构定义信任锚点 27 根 CA 证书分发 28 选择内部 CA 与非 Microsoft CA 28 确定 CA 角色和类型 28 应用认证操作声明 28 确定 CA 的地理位置 28 确定 CA 的域和森林成员关系 28 确定 CA 的网络保护 29 选择 CA 的证书服务提供者 29 设计 CA 拓扑 29 确定颁发 CA 的数量 29 部署证书服务器 29 选择 CA 证书和 CRL 发布位置 29 选择 CA 证书和 CRL 发布资源 30 选择分发点顺序 30 选择分发点 URL 30 选择检索协议 30 定义发布机制 30 CRL 发布委托 31 确立 CRL 发布计划安排 31 规划 CRL 归档 31 选择客户端证书服务提供者 31 设计证书注册 31 逻辑设计小结 32 可管理性 32 创建证书管理计划 33 选择证书模板和证书类型 33 批准证书 33 撤销证书 33 恢复证书 33 续订证书 33 总结总结 34 简介 MSA 2 0 规划指南 的这一章集中介绍了证书服务解决方案的设计 证书设计遵循 MSA 参考体系结构工具包 的 服务蓝图 指南中的 证书服务 章节所提供的指导方针进行 创建 它介绍了用于交付企业级网络基础结构上的关键业务服务的许多方案 Microsoft Systems Architecture MSA 是一组集成的服务解决方案 它建立在针对企业 公司和卫星分公司的体系结构指南基础上 本章详细介绍的设计使用现实世界情境中的规 格说明加以阐述 特别是公司数据中心 CDC 和卫星分公司 SBO 情境 这些情境在 MSA 计划概述 文档中做了概括 更多的详细信息将在本文档工具包的 MSA 规划指南 简介 中提供 本章为 CDC 和 SBO 情境中的证书服务供应需求及准确的设计选择进行了详 细的分类 设计证书服务包括以下设计阶段 服务设计 服务设计 选定一组解决方案技术 逻辑设计 逻辑设计 定义一个逻辑配置 物理设计 物理设计 将逻辑设计映射到物理硬件和软件配置 这些阶段将在 MSA 参考体系结构工具包 中的 服务蓝图 指南的 证书服务 章节描 述 针对诸如可用性 安全性和伸缩性之类的标准 在整个设计过程中做出的技术选择必 须要满足特定服务等级的目标 这些设计目标可以明确或暗含的方式集成到逻辑或物理设 计中 在适当的地方 本章将描述如何将它们集成到 MSA 2 0 的设计中 目标读者目标读者 本章是为那些负责在规模和范围类似于 MSA CDC 或 SBO 情境的企业中规划 涉及和部署 证书服务并将其作为安全网络基础结构的组成部分的 IT 专业人员编写的 读者对象包括 应用程序或基础结构开发的规划阶段所涉及到的整个组织中的顾问 系统架构师和其他 IT 专业人员 读者应该能够理解本章介绍的技术细节和决定 注意注意 正如 服务蓝图 指南的 证书服务 章节中所描述的 证书服务的实现需要以 认证操作说 明 CPS 的形式定义操作过程 以便恰当地分配和管理证书 在规划阶段尽早定义这样的策略和操作是一种最佳实践做法 这些操作的定义超出了本章的范围 但 它仍然是证书服务规划的一个重要元素 凡是提到的地方 CPS URL 都指向一个将包含现实工作情境 的空白 Web 页 必备知识必备知识 本章的读者应该熟悉以下技术的基本概念 域名系统 DNS 轻量级目录访问协议 LDAP Microsoft Active Directory 目录服务 有关这些技术的进一步细节 请参考 MSA 参考体系结构工具包 中的 服务蓝图 指南 的 网络服务 针对 DNS 和 目录服务 章节 针对 CDC 情境的证书服务设计 为了安全地从事业务事务 与公司数据中心具有逻辑关系的人员 应用程序和计算机需要 证明他们的身份和签名并加密数据 MSA CDC 情境将证书用于以下目的 虚拟专用网 VPN 计算机和用户 VPN 和身份验证服务器 Web 服务器 下面几小节将描述如何为 CDC 情境部署证书服务 服务设计服务设计 MSA 的 CDC 情境中的公钥基础结构 PKI 旨在满足作为实验室环境组成部分的服务的需求 这些服务需要可靠和灵活的 PKI 设计 该设计不仅要支持 CDC 情境 而且要支持 Contoso 企业的更广泛需求 比如 SBO 和其他 CDC 实例 确定安全应用程序的需求确定安全应用程序的需求 在 CDC 情境中 通过其他项目中的服务设计 我们可以判断出以下领域需要直接使用 PKI 远程工作的计算机和用户 远程访问身份验证服务器 Web 服务器 此外 网络路由器需要能够加密所传输的数据 在 CDC 设计中 远程访问客户端通过 IPSec L2TP Internet 协议安全 第 2 层隧道协议 使用 VPN 进行连接 而这需要使用证书建立网络连接 为了满足安全要求 我们向 VPN 证书添加一个预定义的对象标识符 OID 以确保只有这种类型的证书才能建立 VPN 连 接 定义专用的 OID 是为了提升 VPN 的安全性 以便在 CDC VPN 访问的安全性受到损害 的情况下 Internet 身份验证服务 IAS 管理员能够将 OID 修改为一个不同的值 并将 受损的 OID 置于无效状态 在 CDC 设计中 Active Directory 注册成员的计算机必须能够取得证书 以便进行计算机 身份验证 准予使用 CDC 远程访问服务的用户必须自动取得一个身份验证证书 属于 Active Directory 成员的身份验证服务器也应该能够自动取得它们的证书 对于不属于 Active Directory 成员的任何远程访问服务器 管理员必须能够手动提交证书请求 Web 服务器需要证书来验证 SSL 服务器的身份 由于在 CDC 设计中只有少量的 Web 服务 器 因此仅规划了少量的 SSL 服务器身份验证证书 在 Active Directory 中注册的 Web 服务器无需用户交互就能够自动注册证书 对于不能通过网络访问证书颁发机构的 Web 服 务器 必须生成离线证书请求 Web 服务器管理员组的成员之一具有提交这种离线请求的 权限 确定实体之间的连接确定实体之间的连接 客户端可以根据连接划分为以下类别 永久无网络连接 临时无网络连接 具有网络连接 这些客户端通常能够连接到以下网络 Internet 外部网 企业内部网 使用 VPN 的企业网络 在 CDC 设计中 将参与公钥服务的所有服务器都连接到内部的企业网络 证书中心 CA 需要拥有对证书撤销列表 CRL 和 CA 证书分发点的网络访问来检索父 CA 证书和对应的 CRL 连接到内部网络的服务器不允许从连接到 Internet 的 Web 服务 器获得 HTTP 内容 这个规则是在 CDC 安全规则中定义的 并且同样适用于证书服务器 确定用户 计算机和服务的证书需求确定用户 计算机和服务的证书需求 在能够设计 PKI 解决方案之前 必须首先解决证书信任 撤销和用途方面的需求 用户和证书之间的信任关系是在用户成功执行域登录时建立的 在 CDC 情境中 可以断定 只有全职员工才需要 VPN 证书来获得对 CDC 网络的远程访问 还可以发现 与用户登录 相关的 CDC 安全策略满足全职员工用于建立与 VPN 证书的信任关系的安全需求 只有作为 CDC 森林中的域的成员的计算机才需要证书来执行 L2TP 可扩展身份验证协议 TLS 连接 可以判断出 Web 服务需要证书来建立与客户端的 SSL 连接 SSL 服务器证书应该对任何 Internet 用户可用 因而 这些证书需要一个链接到公共根的证书 由于 CDC 情境中已发行的各类证书不存在共同点 因此我们将使用按照默认证书模板定义 的单用途证书 逻辑设计逻辑设计 本节中的方案解决了 MSA 的 CDC 情境中 CA 基础结构的逻辑设计问题 设计根设计根 CACA 第一步是确定根 CA 的设计 为此 需要做出以下逻辑设计选择 设计信任锚点设计信任锚点 TrustTrust AnchorAnchor 在实现 PKI 时 组织可以决定实现一个或多个根 它们充当信任锚点 在 CDC 情境中 我们决定应该构建一个公共的中立信任锚点 它将随着 CDC 设计的演进而提供灵活性 根根 CACA 证书的分发证书的分发 根 CA 证书可以按以下方式来分发 通过 Active Directory 森林配置 通过每个域的组策略 作为 Microsoft Internet Explorer 管理工具包 IEAK 部署的组成部分 通过脚本 使用一个平面文件 使用 Windows 根证书更新 服务 不部署 手动的用户交互方式 在 CDC 情境中 所有客户端计算机都知道 Active Directory 的存在 因此 分发根 CA 证书的最容易方式就是将它添加到 Active Directory 森林配置中 充当独立计算机的服务器 比如面向外部的 VPN 服务器 就没有在 Active Directory 中注册 因此 作为构建过程的一部分 它们将使用一个平面文件来手动接收根 CA 证书 根 CA 的有效期被设置为几年 手动部署不会带来显著的管理成本开销 此外 还决定关闭证书服务器的 Windows 根证书更新 服务 做出这项决定是因为以下 几个原因 根据 CDC 安全策略 连接到内部 CDC 网络的服务器不允许从 Internet 上取得 HTTP 内容 根证书更新 服务需要来自 Internet 的根证书列表 因此 它不 能在内部 CA 服务器上使用 Windows 根证书更新 服务仅对已经由它评估过的证书有用 而 CDC 证书不一 定已经由它评估过 由于已经决定手动更新根 CA 证书存储 因此 Windows 根证书更新 服务在根 CA 服务器上是不必要的 选择内部选择内部 CACA 与非与非 MicrosoftMicrosoft CACA 围绕内部 CA 与非 Microsoft CA 之争的问题可以总结如下 作为组织的网络组成部分实现整个 PKI 从商业根 CA 处购买一个 CA 证书 并从内部 CA 在组织内颁发证书 从商业根 CA 处购买所有证书 对于 CDC 设计 我们决定将整个 PKI 作为组织的网络组成部分来实现 在这个网络中 颁发的所有 CA 都将链接到一个内部根 CA 相比于使用自治 PKI 所带来的好处 内部根 的附加硬件和维护成本就不是那么重要了 特别是 可以自行操作的根可以更灵活地满足未来需求 例如 为了支持与业务伙伴的新关 系 Active Directory 可用于部署根 CA 证书 从而避免对公开可用的根 CA 证书的 需求 颁发的所有 CA 还被定义为内部的自操作 CA 以防止按照证书数量支付许可证成本 从而 减少外部依赖并满足组织内部对安全连接的需求 确定确定 CACA 角色和类型角色和类型 CA 可以安装为独立 CA 或企业 CA 下表中的信息适用于选择 PKI 的 CA 角色和 CA 类型 CA 角色3层拓扑2层拓扑1层拓扑 离线根 CA 独立CA独立 CA企业 CA 或独立 CA 离线中间 CA独立 CA独立 CA企业 CA 或独立 CA 颁发CA企业 CA企业 CA企业 CA 或独立 CA 表 1 CA 角色 拓扑关系 为了给 CDC 情境提供安全 灵活和可扩展的 PKI 可以安装以下 CA 角色和 CA 类型的组 合 使用 Windows Server 2003 标准版的独立离线 CA 使用 Windows Server 2003 标准版的独立离线中间 CA 运行 Windows Server 2003 企业版的服务器上的企业离线颁发 CA 这个组合同时从独立 CA 和企业 CA 的优点中获得了好处 应用认证操作声明应用认证操作声明 认证操作声明 Certification Practice Statement CPS 可以通过向 CA 证书应用 CP OID 和 或 URL 来实现 如果您选择添加一个 CP OID 可以按以下方式之一生成一个 OID 丛组织现有的 OID 范围中获得一个 OID 使用 证书模板 Microsoft 管理控制台 MMC 创建一个全局唯一的 OID 从 MSDN Web 页面请求一个全局唯一的 OID 挑选一个随机号码 CPS 可以应用在 根 CA 级 中间 CA 级 颁发 CA 级 在 CDC 环境中 CPS URL 和 CP OID 于构建阶段期间在颁发 CA 级应用 以提供最大的 PKI 灵活性和可扩展性 证书操作针对每种类型的证书而定义 以便注册同类证书的颁发 CA 携 带相同的 CPS URL 和 OID 根 CA 或中间 CA 都不会应用 CPS OID 使用 证书模板 MMC 创建 中间 CA 被配置为允许所有的颁发和申请策略 集成目录基础结构集成目录基础结构 由于 Active Directory 集成功能依赖所选的 CA 类型 因此集成方案将受到限制 您可 以运行没有 Active Directory 集成的独立 CA 但是必须将企业 CA 与 Active Directory 集成 在 CDC 情境中 我们决定不把根和中间 CA 与 Active Directory 集成 以便 CA 能够与 Active Directory 环境保持独立 由于这些 CA 与网络断开连接 不能充当客户端的注册 服务 因而不需要在 Active Directory 中注册 另一方面 颁发 CA 则与 Active Directory 集成 以便客户端能够在成功验证它们的域凭 证之后 自动注册用户和计算机证书 CDC 情境中不存在将证书发布到 Active Directory 中的应用需求 CDC 设计也不需要从一 个中央存储库中访问证书 而且 CDC 设计中不存在非 Windows 计算机的用户 因而我们 甚至没有考虑过对非 Windows 计算机的证书支持 确定确定 CACA 的地理位置的地理位置 在 CDC 情境中 所有 CA 都集中在一个具有物理访问保护的安全保险库中 所有内部客户端 可以通过网络到达位于中央位置的颁发 CA 由于证书注册是很少使用的操作 最终的带宽占用将会很低 可靠的安全性 可管理性和 硬件成本节省是采用集中 CA 布局的主要决策因素 确定确定 CACA 的域和森林成员关系的域和森林成员关系 CA 的 Active Directory 成员关系可以是以下几项之一 森林根域成员关系 注册成员数量最多的域中的成员关系 单独的域中的成员关系 工作组成员关系 为了满足必须的安全级别 所有根和中间 CA 都作为它们自己的工作组的成员来运行 从 而允许计算机从网络断开以避免潜在的网络攻击 为了最小化森林设计对证书服务的影响 企业颁发 CA 被定义为森林顶层的域 即森林根 域 成员 根域中的管理员数量有限也是将颁发 CA 当作森林根域成员的理由之一 确定确定 CACA 的网络保护的网络保护 可以通过几种方式保护 CA 避免网络攻击 保持离线 关机或关闭系统 断开网络电缆 但是保持系统运行 使用防火墙或路由器保护网络中的系统 配置系统在本地阻止某些端口 确保存在与 IPSec 安全性的默认网络连接 为了满足与 CDC 情境相应的安全级别 所有根和中间 CA 都保持离线 并在不需用于 CA 证 书续订或 CRL 用途时保持关机状态 我们决定使用默认网络连接来将颁发 CA 连接到网络 选择证书服务提供者选择证书服务提供者 为了选择适当的证书服务提供者来维护 CA 证书 您可以选择以下方案之一 Windows 默认证书服务提供者 非 Windows 证书服务提供者 结合了硬件安全模块的非 Microsoft 证书服务提供者 在 CDC 情境下 我们选择 Windows 默认证书服务提供者来用于 PKI 中的所有 CA 因为 现有的配置不存在任何互操作性问题和附加的许可证成本 设计设计 CACA 拓扑拓扑 CA 拓扑的选择包括如下 信任模型 固定 rooted 型 网络型或混合型 从属 CA 级别的数量 CA 类型 CA 层次结构的信任范围 基于 CDC 情境的总体需求 我们选择具有以下配置的内部 3 层层次结构 一个离线的独立根 CA 一个离线的独立中间 CA 两个企业颁发 CA 中间 CA 层旨在提供一个能够扩展来满足未来需求的 PKI 例如 通过增加颁发 CA 的数量 CDC 情境中实现了固定的信任模型 因为不存在交叉认证需求 此外 这个设计选择还是 灵活的 因为固定的信任模型可以扩展为网络或混合信任模型 起初 信任是基于证书类型建立的 根据设计 如果新的证书需求出现 颁发 CA 可以通 过不同用途的 CA 来扩展 例如 如果需要 S MIME 证书注册 可以构建遵循 S MIME 程序 和过程的新的颁发 CA 选择扩展的选择扩展的 CACA 基础结构配置基础结构配置 CDC 情境中存在扩展 CA 基础结构配置的需要 有关进一步的信息 请参考本章 针对 SBO 的证书服务设计 部分中的 选择扩展的 CA 基础结构配置 小节 确定颁发确定颁发 CACA 的数量的数量 对于 CDC 情境 我们决定在内部 Active Directory 中采用两个颁发 CA 此外还计划了重 复的 CA 来减小 CA 出现故障的风险 不需要其它 CA 来满足森林边界约束 因为所有证 书使用者要么都在内部森林中注册 要么能够向颁发 CA 提交离线请求 周边森林中不需要颁发 CA 因为没有证书使用者位于周边网络中 部署证书服务器部署证书服务器 由于 CDC 情境中只需要少数 CA 手动安装应该是可行的 这样可以在安装期间提供更好的 控制 必须做出以下选择 选择选择 CACA 证书和证书和 CRLCRL 发布位置发布位置 证书用户可以在以下类型的位置之一检验撤销状态 内部 内部和外部 外部 在 CDC 情境中 根 CA 和中间 CA 维护的 CA 证书和 CRL 可以通过针对内部客户端的内部 位置获得 并被发布到周边网络 URL 重定向确保客户端被连接到内部分发点而不是周边 网络 这样可以减少传出的网络流量 确保计算机不会通过 Internet 取得它们的 CA 证书 和 CRL InternetPerimeterInternal 图 14 选择 CA 证书和 CRL 发布位置 为了使得 CA 证书和 CRL 的供给独立于客户端的位置 CRL 由 CDC 周边网络中的颁发 CA 来 发布和维护 并使用 Active Directory 复制来在内部分发 没有连接到组织内部网络的客 户端可以访问周边网络中可用的 CRL 一个 URL 指向 Active Directory 中的一个 LDAP URL 以便获得 CRL 和 CA 证书 这种选择使得客户端能够从最近的可用域控制器上获得颁 发 CA 经常发布的 CRL 选择选择 CACA 证书和证书和 CRLCRL 发布资源发布资源 CRL 分发点可以使用多种技术来提供 CRL 的可用性 Web 服务器 Active Directory 应用程序模式下的 Active Directory AD AM 在 CDC 情境中 选择 Web 服务器作为根 CA 和中间 CA 的发布资源 这些 CA 的 CA 证书和 CRL 将发布到周边网络中的一个 AD AM 服务器 颁发 CA 将它们的 CA 证书和 CRL 发布到 Web 服务器 以利用 Web 服务器的互操作性优点 此外 CA 证书和 CRL 还会发布到 Active Directory 中 选择分发点顺序选择分发点顺序 如果配置了多个 CRL 分发点 CA 配置可以定义访问这些分发点的顺序 在配置分发点时 外部或内部 URL 均可定义为第一个条目 CDC 情境的设计需要满足不断增长的外部通信需 求 因此需要使用以下顺序 根根CACA和中间和中间CACA 外部客户端将这两种分发点都解析为外部分发点 因此顺序就不再 重要了 内部客户端将第一种分发点解析为内部分发点 将第二种分发点解析为外 部分发点 颁发颁发CACA 分发点的配置循序与根CA和中间 CA 相同 但是提供了 Active Directory 引用作为第三种选择 这个引用指向一个仅可由内部客户端访问的 LDAP 引用 选择分发点选择分发点 URLURL CRL 发布引用 URL 可以是绝对的 使用明确的主机名称作为 URL 的组成部分 或相对的 使用相对于请求主机名称的路径 在 CDC 情境中 一个绝对 URL 指向 CDC 周边网络中的 CRL 分发点 一个相对 LDAP URL 指向 Active Directory 相对 LDAP URL 旨在迫使具有 Active Directory 意识的客户端从可以 在它所在的 Active Directory 站点中找到的域控制器上取得信息 根 CA 和中间 CA 的分发点被定义为 ldap CN CN AIA CN Public Key Services CN Services CN Configu ration DC corp DC contoso DC com 前两个 URL 的 dp1 和 dp2 部分分别代表 分发点 1 distribution point 1 和 分发 点 2 distribution point 2 分发点驻留在一个单独的 DNS 区域中 以使得 DNS 存根区域 stub zone 能够正常工作 Web 服务器提供了一个名为 PKI 的虚拟站点 由于默认的虚拟站点已经在侦听端口 80 因此我们决定为虚拟 PKI 站点配置一个特殊的端口号 注意注意 端口号和虚拟站点名称必须在所有站点上保持相同 选择检索协议选择检索协议 CRL 发布协议的选择就是 HTTP LDAP FTP 和 SMB 之间的选择 在 CDC 情境中 我们选择 HTTP 来从 Web 服务器上的分发点获得 CA 证书和 CRL 内部客户 端可以使用 LDAP 来从 Active Directory 中获得 CRL 定义发布机制定义发布机制 CA 证书和 CRL 的发布机制选择取决于 CA 的类型 这可以是以下类型之一 使用可移动介质的手动传输 到共享文件夹的文件拷贝 SMB FTP 传输 WebDAV 传输 CA 退出模块传输 在 CDC 情境中 我们决定离线和在线 CA 将具有不同的发布机制 我们决定 以下步骤将构成用于离线 CA 的 CA 证书发布程序 1 将 CA 证书拷贝到可移动介质 2 使得可移动介质对某台管理工作站可用 3 将 CA 证书添加到 Active Directory 配置 4 把 CA 证书从管理工作站拷贝到内部 Web 服务器群集 5 从管理工作站连接到一台连接到周边网络的终端服务器 6 通过远程桌面协议 RDP 会话把证书从本地工作站拷贝到周边网络中的 Web 服务 器上的共享文件夹 类似地 用于离线 CA 的 CRL 发布程序包含以下步骤 1 将 CRL 拷贝到可移动介质 2 使得可移动介质对某台管理工作站可用 3 把 CRL 证书从管理工作站拷贝到内部 Web 服务器群集 4 从管理工作站连接到一台连接到周边网络的终端服务器 5 通过 RDP 会话把 CRL 从本地工作站拷贝到周边网络中的 Web 服务器上的共享文 件夹 下图显示了离线 CA 的发布流程 InternetPerimeterInternal Removable storage PKI Enterprise Admin C WWWPKIpub FFL NA WEB 0 WWWPKIpub C WWWPKIpub FFL NA WEB 01 WWWPKIpub C WWWPKIpub FFL NA WEB 04 WWWPKIpub C WWWPKIpub FFL NA WEB 03 WWWPKIpub C WWWPKIpub FFL NA WEB 03 WWWPKIpub C WWWPKIpub FFL NA WEB 02 WWWPKIpub C WWWPKIpub FFL NA WEB 01 WWWPKIpub C WWWPKIpub FFL NA WEB 03 WWWPKIpub Offline CA 图 2 离线 CA 证书和 CRL 发布机制 发布机制的配置使得离线 CA 能够执行半自动的 CA 证书和 CRL 发布 CA 能够将更新的 CA 或 CRL 发布到内部 Web 服务器上的文件共享 针对周边网络中的 Web 服务器的发布仍然 是一个手动过程 发布在线 CA 的 CA 证书的程序性步骤如下 6 从管理工作站连接到一台连接到周边网络的终端服务器 7 通过 RDP 会话把 CA 证书从 CA 的 CertEnrollCertEnroll 共享拷贝到周边网络中的 Web 服 务器上的共享文件夹 类似地 用于在线 CA 的 CRL 发布过程包含以下步骤 8 从管理工作站连接到一台连接到周边网络的终端服务器 9 通过 RDP 会话把 CRL 从 CA 的 CertEnrollCertEnroll 共享拷贝到周边网络中的 Web 服务 器上的共享文件夹 下图显示了在线 CA 的发布流程 InternetPerimeterInternal Online CA PKI Enterprise Admin C WWWPKIpub FFL NA WEB 02 WWWPKIpub C WWWPKIpub FFL NA WEB 01 WWWPKIpub C WWWPKIpub C WWWPKIpub FFL NA WEB 0 WWWPKIpub C WWWPKIpub FFL NA WEB 01 WWWPKIpub C WWWPKIpub FFL NA WEB 04 WWWPKIpub FFL NA WEB 03 WWWPKIpub C WWWPKIpub FFL NA WEB 03 WWWPKIpub C WWWPKIpub FFL NA WEB 03 WWWPKIpub 图 3 在线 CA 证书和 CRL 发布机制 CRLCRL 发布委托发布委托 CRL 和离线 CA 证书的发布可以委托给企业管理员的安全组的成员或者专门的 PKI 管理员 组 CRL 和离线 CA 证书将发布到 Active Directory 委托选择不仅和 Active Directory 中的权限有关 它们还和诸如 Web 服务器之类的 CRL 发布资源有关 CA 管理员默认没有得到关于那些资源的授权 注意注意 如果在线 CA 自动向某个分发资源发布 CA 证书和 CRL 计算机帐户必须对那些资源的拥有写 权限 而且 当管理员发起发布过程时 它将由 CA 服务帐户执行 在 CDC 情境中 CA 证书和 CRL 的发布被委托给维护 CA 的操作人员 这样把企业管理员 从操作性的 PKI 任务中解放出来 以便他们能够集中精力从事 Active Directory 维护 而且 CA 管理员不需要企业管理员权限就能够执行 CA 操作 一个属于内部森林成员的安全组被准予向 Web 服务器发布 CRL 代表企业 PKI 发布者的域 安全组被准予在内部 Web 服务器上读写文件 此外 CA 的计算机帐户被授予了对映射到内 部 Web 服务器上的虚拟 Web 目录的文件共享的写权限 内部和周边森林配置了单向信任关系 从而允许内部安全组 企业 PKI 发布者 访问周边 网络中的资源 制定制定 CRLCRL 发布计划发布计划 发布间隔频度必须在制定基本的 CRL 发布计划时确定 在 CDC 情境中 我们决定每三个月发布一次根 CA 和中间 CA CRL 每周发布一次颁发 CA CRL 颁发 CA 每天发布一次 delta CRL 仅显示变更 频繁的 CRL 分发间隔允许短期证 书撤销 对于身份验证证书特别有用 但是会导致更多地占用网络 做出这个选择是因 为 VPN 客户端证书 它允许远程用户访问网络 应该能够迅速地撤销 规划规划 CRLCRL 的的存档存档 CRL 存档可以使用 CA 内置的 CRL 存档功能 或者使用一个中央 CRL 存储库 由于所发布的证书的类型 CDC 情境中无需提供证书撤销时间 此外 由于 CA 的数量相对 较少 所有 CRL 都在 CA 数据库中维护 选择客户端证书服务提供者选择客户端证书服务提供者 客户端需要安装一个或多个证书服务提供者 以便它们能够生成和维护与证书相关联的密 钥 CDC 情境使用了默认的 Windows 证书服务提供者 设计证书注册设计证书注册 在 CDC 情境中 定义证书注册机制是必要的 为此 可以做出以下选择 执行请求接收执行请求接收 证书请求可以由预期的证书拥有者提交 或者通过一个注册代理来提交 在 CDC 情境中 我们决定不使用注册代理 对于相关的证书类型 不存在围绕代理来构建 注册过程的强有力理由 选择请求接收方法选择请求接收方法 可用于执行证书接收的方法包括 手动证书注册 自动注册 使用脚本来注册 在 CDC 情境中 我们决定挑选对应于证书类型的请求接收方法 如下表所列 证书类型请求接收方法 用于 L2TP IPSec 的计算机证书 自动注册 为了使计算机能够使用 L2TP IPSec 来连接到组织的网络 用于可扩展身份验证协议 TLS 的用户 证书 自动注册 用户已经使用他们的凭证来经过身份验证 并且必须是某个 VPN 用户安全组的成员 VPN 服务器手动证书注册 这些服务器没有在 Active Directory 森林中注册 IAS 服务器自动注册 因为 IAS 服务器是森林成员 这些服务器将从某个企业 CA 自动 注册证书 不属于森林成员的 Web 服务器的 SSL 服务器证书 手动证书注册 这些服务器没有在 Active Directory 中注册 因此 它们不能通 过证书自动注册获得好处 属于森林成员的 Web 服务器的 SSL 服 务器证书 自动注册 Web 服务器从在相同的森林中可用的某个企业 CA 自动注册证书 CA 证书手动证书注册 CA 证书是手动从离线 CA 请求的 表 2 CDC 接收方法设计选择 选择请求接收工具选择请求接收工具 有以下请求接收工具可供选择 证书 MMC Web 注册支持 自动注册 命令行 CDC 情境基于证书的类型选择了以下请求接收工具 证书类型请求接收工具 用于 L2TP IPSec 的计算机证书自动注册 用于可扩展身份验证协议 TLS 的用户证书自动注册 VPN 服务器命令行 Certreq exe IAS 服务器自动注册 证书类型请求接收工具 不属于森林成员的 Web 服务器的 SSL 服务器证书手动 IIS 证书请求向导 属于森林成员的 Web 服务器的 SSL 服务器证书自动注册 CA 证书手动 CA 安装程序生成请求 表 3 MSA CDC 请求接收工具设计选择 选择请求接收模式选择请求接收模式 这个选择在在线请求接收模式和离线请求接收模式之间进行 CDC 情境基于证书的类型选择请求接收模式 如下表所示 证书类型注册方法 用于 L2TP IPSec 的计算机证书在线 用于可扩展身份验证协议 TLS 的用户证书在线 VPN 服务器离线 IAS 服务器在线 不属于森林成员的 Web 服务器的 SSL 服务器证书离线 属于森林成员的 Web 服务器的 SSL 服务器证书在线 CA 证书离线 表 4 MSA CDC 请求模式设计选择 定义请求权限定义请求权限 企业 CA 的请求权限可以在 CA 级或模板级定义 在 CDC 情境中 我们决定允许经过身份验 证的森林任何用户或计算机连接到 CA 模板级的权限是针对每种类型的证书定义的 证书类型模板级请求权限 用于 L2TP IPSec 的计算机证书所有域计算机都拥有计算机证书的注册和自动注册权限 用于可扩展身份验证协议 TLS 的用户证书属于特定 VPN 用户安全组成员的用户拥有注册和自动注册 证书来远程访问组织的网络的权限 VPN 服务器VPN 管理员组的成员拥有注册 VPN 服务器的证书的权限 IAS 服务器基于它们在 RAS 和 IAS 服务器内置组中的默认成员关系 IAS 服务器拥有注册和自动注册权限 不属于森林成员的 Web 服务器的 SSL 服务器 证书 Web 服务器管理员拥有注册 Web 服务器的证书的权限 属于森林成员的 Web 服务器的 SSL 服务器证 书 基于它们在自定义安全组中的成员关系 Web 服务器拥有注 册和自动注册权限 CA 证书CA 证书仅从离线 CA 注册 能够物理地访问离线 CA 控制 台的管理员可以注册 CA 证书 表 5 模板级 MSA CDC 请求权限 选择密钥长度选择密钥长度 证书的密钥长度与需要提供的安全级别有关 介于 512 位和 1024 位之间的密钥长度主要 用于用户和计算机证书 介于 2048 位和 4096 位之间的密钥长度首选用于 CA 证书和高 度安全的证书 在 CDC 情境中 我们决定对根 CA 证书使用 4096 位长度的密钥 对中间 CA 证书使用 2048 位的密钥 为用户和计算机证书定义的密钥长度是 1024 位 选择证书有效期选择证书有效期 CDC 情境决定把根 CA 的有效期定义为 16 年 把中间 CA 的有效期定义为 8 年 而把颁 发 CA 的有效期定义为 2 年 最终实体证书的有效期被设置为 1 年 到到 ActiveActive DirectoryDirectory 的证书发布的证书发布 在双方之间建立通信所需要的证书应该发布到 Active Directory CDC 情境中使用的证书类型不需要双方之间的安全通信 因此不需要通过 Active Directory 获得 逻辑设计小结逻辑设计小结 下图显示了建立在为 CDC 情境选择的方案基础上的逻辑设计 该设计结合了以下 CA 两个在线企业颁发 CA CA111和 CA112 它们注册CDC 设计中需要的所有类 型的证书 一个中间CA CA11 如果需要 它可以注册未来的颁发CA 的 CA 证书 根CA CA1 是已经注册了颁发CA 证书的独立信任锚点 根CA 可用于注册未来的 颁发CA 证书 图中的实线表明该层次结构中的信任链 虚线表明 CA 要把它们的 CRL 发布到何处 这个设计为 CRL 提供了两个 Web 服务器群集 一个群集在周边网络中可用 另一个群集在 内部网络中可用 内部和外部 Web 服务器之间是通过 DNS 存根区域内外的不同名称解析来 区分的 DNS 存根区域用于确保内部客户端能够将 CRL URL 解析为一个内部引用 而外部 客户端则将相同的 URL 解析为外部引用 Internet Corporate Data Center Perimeter Border Internet Data Center Extranet Data Center IIS CA1 Root CA111 Issuing IIS Domain Controller CA11 Intermediate CA112 Issuing 图 4 MSA CDC 证书服务逻辑设计 硬件需求硬件需求 硬件容量规划是一个依赖以下因素的选择 证书请求者的数量 注册机制 证书的有效期 CDC 使用了能够在 12 小时内自动注册所有客户端证书的证书服务器 下表显示了为 CDC 环境定义的证书服务器容量规划 对于颁发 CA 还应该为未来的增长 分配附加的磁盘空间 硬件估计 准备者CA 拥有者日期 1 1 03 CA 拥有的角色CA 名称 CPU 磁盘空间 RAM 根 CA CA12 x 1 4 GHz1 x 18 GB RAID 1 1 7 GB 中间 CA CA112 x 1 4 GHz1 x 18 GB RAID 1 1 7 GB 颁发CA CA1112 x 1 4 GHz1 x 18 GB RAID 1 1 x 36 GB RAID 1 1 x 18 GB RAID 1 2 GB 颁发CA CA1122 x 1 4 GHz1 x 18 GB RAID 1 2 GB 表 6 硬件估计的例子 注意注意 根和中间 CA 可以在比表中所示的更低的系统上运行 离线 CA 必须可靠 但是不需要很强大 因为它们仅发行很少的证书 可用性可用性 用于颁发 CA 的可靠硬件和网络连接能够确保一定级别的可用性 使用多个 CA 来发行相 同类型的证书也会提升服务的可用级别 在 CDC 环境中 我们选择了可靠的硬件和一对颁发 CA CRL 重叠时间 overlap time 被 设置为允许有足够的时间来进行 CA 恢复和 Active Directory 复制 即使 CRL 在故障 发生时已经过期 本地存储可用性本地存储可用性 对于 CA 上的本地存储 存在使用本机磁盘系统或 RAID 子系统的选择 CDC 设计在颁发 CA 上的本地存储配置中使用 RAID 1 镜像 我们没有选择 RAID 0 条带化 是因为它没有提供应对磁盘驱动器故障的保护措施 网卡配置类型网卡配置类型 对于网络可用性 可以使用冗余网络或者容错网络适配器组 CDC 情境选择了容错网络适配器组 每个颁发 CA 的配置方式是使得适配器组中的每个网 络适配器连接到一个不同的交换机 如果某个交换机失败 仍然还有通过第二个交换机到 达服务器的路径 安全性安全性 PKI 需要具有并行工作的多层安全性 物理安全性和 CA 维护过程的实施对于保持 PKI 的 健康都很重要 安全锁定安全锁定 安全锁定首先从物理安全性开始 你可以决定以在线或离线状态运行 CA 在任一种情况下 CA 都应该保管在安全的保险库中 在 CDC 情境中 对 CA 控制台的物理访问是受保护的 并且只安装了运行证书服务所必需 的最少软件 此外 CDC 环境还选择定义了一个可应用于中间 CA 的 pathlenpathlen 约束 确保 中间 CA 最多只允许一个子层次 颁发 CA 对于颁发 CA 则应用组策略来锁定操作系统默认配置 颁发 CA 的配置使得只有本地管理 员组才拥有 CA 上的管理权限 域和企业管理员从所有本地管理员组中删除了 可扩展性可扩展性 在 CDC 环境中 CA 被设计运行在允许 20 个并发数据库会话的默认数据库配置之下 可管理性可管理性 CA 的可管理性直接受到用于每个 CA 的域成员关系选项的影响 对于 CDC 情境 我们决定在不属于 Active Directory 成员的服务器上运行根和中间 CA 这样做的原因是为了通过