CA认证的流程和原理

CA认证的流程和原理

ADCS（活动书目证书服务）是微软的公钥基础结构（PKI）的实现。PKI处理颁发并管理用于加密

和身份验证的的数字证书的组件及过程。ADCS颁发的数字证书可以用于加密文件系统、电子邮

件加密、平安套接字层SSL和身份验证。安装了ADCS的服务器成为证书颁发机构CA。

StrongNetworkVPNWirelessEncryptingFileWeb

AuthenticationAccessSecuritySystem(EFS)Server

Protection(HS)

SmartCards

(NAP)Signed/

IdentityEncryptedMail

LifecycleEAP-TLS(S/MIME)

Manager(ILM)

IPSec802.1XSSL

UserCertificatesKeyArchival/RecoveryCertificateValidation

PKIMachineCertificatesCredentialRoamingAuto^nrollment

Users/GroupsCryptography

ActiveOperating

DirectoryCertificateTemplatesSystemSmartcardSubsystem

一

1.数字证书

数字证书是一种电子凭据用于验证个人，组织和计算机。证书颁发机构颁发和认证证书。数

字证书供应了一种方法来验证证书持有者的身份。证书运用加密技术来解决两个实体之间的问

题C

数字证书都用于非对称加密，它须要两个密钥，第一个密钥是私钥，它由被颁发了数字证书

的用户或计算机平安地存储，其次个密钥是分发到其它用户和计算机的公钥。由一个密钥加密的

数据只能由另一个密钥解密。这种关系确保对加密数据的爱护。

一张证书包含下面的数据：

1.公用密钥证书主题的公钥和私钥对。这样可以运用证书来验证拥有私钥的个人或计算机

的标识.例如，一台web服务器的数字证书包括web服务港的主机名和IP地址

2.有关申请证书的运用者的信息

3.有关CA颁发证书的具体信息，包括证书有效性的信息，包括如何运用证书以及它的有

效期。例如，可能限制一个证书只用于加密文件系统，证书只在特定时间期有效，通常是两

年或更短，证书过期之后就不能再运用它了。

EnhancedKeyUsage是证书的一个可选的扩展属性，这个属性包含一个目标标识符（OID）,用于

应用程序或者服务。每个OID是一个独特的数字序列。

KeyUsage:证书允许主体执行特定任务。为了帮助限制证书在其预定的目的以外的运用，限制自

动放置在证书。密钥用法（KeyUsage）就是一个限制方法来确定一个证书可以被用来干什么。它

允许管理员颁发证书，它只能用于特定任务或用于更广泛的功能。假如没有指定密钥用法，证书

可以用于任何目的。

对于签名，keyusage可以有下列一个或者多个用途：

1.数字签名

2.签名一种起源的证据

3.证书签名

4.CRL签名

2.CA证书颁发机构

CA是向用户和计算机颁发数字证书的PKI组件，当组织实现数字证书时，他们必需考虑是运用

ADCS还是一个外部CA来实现。内部CA的主要优点是成本，对于颁发的每个证书都没有额外成

本。而假如运用外部CA（三方CA）,每个颁发的证书都有肯定费用。

CA的主要作用如下：

1.验证证书恳求者的身份：当一张证书颁发给一个用户、计算机或者服务的时候，CA会验

证恳求者身份来确保证书只方法给正确的用户或机器

2.将证书方法给用户和计算机

3.管理证书吊销状况：CA会定期发布CRL,CRL包含证书的序列号以及被吊销的状况。

3.恳求和颁发证书的过程

用户、计算机和服务恳求和接收来自CA的证书。恳求和接收证书的过程被称为注册「通常，

用户或计算机启动注册通过供应独特的信息，如电子邮件地址或通用名称，和一个新生成的公

钥。在产生证书之前CA运用此信息来验证用户的身份。

1.生成密钥对。申请人生成一个公钥和私钥对，或被组织的权威指定一个密钥对。申请人

将密钥对存放在本地存储的磁盘上或如智能卡的硬件设备

2.申请人供应恳求的证书模板所需的证书信息恳求，并将它发送到CA0证书恳求包括公共

和私人密钥对的公钥生成恳求的计算机

3.证书管理器检查证书恳求验证信息。基于这些信息，证书管理器颁发证书或拒绝证书恳求

4.CA创建并颁发证书给恳求者。由CA签名证书，以防止修改，包括恳求者的身份信息和提

交的公共密钥作为颁发的证书的属性。

DomainClientCertificatesinActiveDirectory

Security

GroupDomainAdmin

Policy

applied.

GroupPolicy

distribution,

certificate

publication,ActiveDirectoryKeyDistributionCenter

certificatemappingtoDomainController

useraccounts,andso

forth.

CertDomain

Serviceslogonprocess

Certificate^

enrollment,

renewal,and

revocation.Domain

Client

4.证书链

链建立是建立信任链的过程或者证书路径，从最终证书以及平安实体信任的根证书。

证书链的建立将会通过检查从最终证书到根CA的每个证书路径。会从中级证书颁发机构存储

区，受信任的根证书颁发机构存储区，或从一个证书的AIA属性中指定的URL中检索证书。假如

加密应用程序接口发觉一个路径中的证书有问题，或者假如它找不到证书，证书路径是会作为一

个不受信任的证书路径丢弃。

证书链引擎生成全部可能的证书链。然后完全的证书链就生成了并根据链的质量排序。对于

给定的最终的质量最好的证书链作为默认的链返回给调用应用程序。每个链都是通过结合证书存

储的证书和发布的URL位置的证书。链中的每个证书安排一个状态代码。状态代码指示证书是否

符合下面的条件：

1.签名是否有效

2.时间是否合法

3.证书是否过期

4.证书是否已经被吊销

5.时间嵌套

6.证书上的其他限制

每个状态代码都有一个安排给它的优先级。例如，过期的证书具有更高的优先级比吊销的证

书。这是因为过期的证书不检查吊销状态。证书链中的全部证书都会被检查是否吊销。不管是什

么过程来检查证书的合法性，只要证书链中的状态检查失败，这个证书链就会被拒绝。

对链中的每个证书，证书链引擎必需选择一个颁发CA的证书。这一过程被称为验证路径，重

复验证直到达到一个自签名证书（通常，这是根CA证书）。加密应用程序接口对待根证书作为肯定

信任的信任。

5.CertificateService组件的工作原理

CA服务包括如下组件以及功能，请参考：

出

ClientModule•Active

[CertclldllDirectory

CryptoAPI

CertificateServicesInterfaces

ClientModule:负责提交证书申请

CertificateServicesEngine:负责处理证书申请恳求，负责创建和颁发证书给有效的申请者

Policymodule:负责验证恳求者是否有权获得证书

CryptoAPIandcryptographicserviceproviders：负责创建私钥并分发给申请者的受爱护的证书存储

exitmodule：负责分发证书给有效的客户端，在网页、公共文件夹、AD中发布证书，负责向AD

中定期发布CRLs

CryptoAPI：负责管理全部加密操作的私钥

certificatesdatabase:负责存储全部的证书交易以及审计

CA服务所运用的协议有DCOM和LDAP

DCOM:用来进行证书注册

LDAP:用来进行域AD之间的交互

证书创建的过程如下：

•ThisprocessappliestomostcommonPKCS#10requestsorCertificateManagement

protocolusingCMSrequests.

1.Whenauserinitiatesacertificaterequest,EnrollmentControl(Xenroll.dll)usesa

cryptographicserviceprovider(CSP)ontheclient'scomputertogenerateapublickeyand

privatekeypairfortheuser.当用户初始化证书恳求的时候，CSP会创建出一个公钥和

私钥对。

2.Afterakeypairhasbeengenerated,Xenrollbuildsacertificaterequestbasedonacertificate

template.密钥对创建之后，会基于模板创建出一个证书恳求

3.Theuser'spublickeyissentwiththeuser'sidentifyinginformationtotheCertificate

Servicesengine.用户的公钥以及身份信息会被发送给证书服务引擎

4.Meanwhile,acopyoftherequestisplacedintherequestfolderfortherequester.Inihecase

ofauser,thisfolderis:同时，在本地保存一份恳求

C:\DocumentsandSettings\〃se/7?Me\Application

Data\Microsoft\SystcmCcrtificatcs\Rcqucst\

5.TheCAauthenticatestheuser.CA须要对用户进行验证

6.TheCertificateServicesenginepassestherequesttothepolicymodule,whichmightperform

anadditionalaccesscheckbyqueryingActiveDirectoryoranotherreliablesourcesuchas

ns.证书服务引擎将恳求爱ik给policymodule,policymodule负责到AD中恳求进行检

查。

7.ThepolicymodulealsocheckstheregistryforalistofcertificatetemplatesfortheCA.The

policymodulechecksthelistforversionnumberstoverifythatithasthemostrecent

versionsofallcertificatetemplates.Iftherequestreferencesamorerecentversionofthe

certificatetemplatethaniscurrentlyavailable,therequestfails.Policymodule负责检查证

书模板中的注册表信息。

8.Iftheaccesscheckissuccessful,theCertificateServicesenginecreatesanewrowinthe

RequestandCertificatestableofthecertificatesdatabase.ArequestIDisenteredintothe

databasetohelptracktherequest.访问检查胜利之后，恳求号被存储在数据库中

9.Additionalattributesofthecertificaterequest,suchastheextensionsassociatedwiththe

request,areenteredintotheappropriatefieldsinthedatabase.证书的其它相关属性被写入

CA的数据库中

10.TheCertificateServicesenginevalidatesthedigitalsignatureusedtosignthecertificate

request.Thisvalidationprocessinvolvescomparingallthecertificatesinthechainleading

uplotherootCAtoareliablesource,suchasActiveDirectoryorIIS.Thisvalidation

processalsoinvolvesconfirmingthatnoneofthecertificatesinthechainhasbeenrevoked.

验证数字证书，检查证书链

11.Thepolicymoduleappliesacertificatetemplatetofilloutthedataassociatedwiththe

request.Thisprocessaddsinformationsuchasusagerestrictionsandvalidityperiods,aswell

assubjectnameformat,tothedataintheoriginalrequest.Someofthisdataisfixedand

thereforecopieddirectlyfromthetemplate,somecomesfromthecertificaterequest,and

someisconstructedonaperuserbasis(concatenatingthefriendlynameoftheuserinto

commonnameformat,forexample).

Note

oWhenacertificateisbeingrenewed,datathatisnotbeingmodifiedissimplyreused.

12.Ifacertificatetemplatehasbeensettopending,anadministratormustverifyrelated

informationintherequest—suchastheidentityoftherequester—whichisnotcontrolled

bythepolicymodule.检查证书模板

13.ThepolicymodulereturnstherequesttotheCertificateServicesengine,notingwhetherthe

requestshouldbeissued,shouldbedenied,orispending.检查该证书是否应当被颁发

14.Iftherequesthasbeenapproved,theCertificateServicesengineconstructsthecertificate

withtheappropriatesubject,validityperiod,andextensions.假如恳求被批准，则将相关的

信息放置在证书中生成一张证书

15.TheCertificateServicesengineencodes,signs,andvalidatesthecertificatefrominformation

inthedatabasetoverifythatthecertificateisvalidfortheentirecertificatechainandall

definedpurposes,andperformsanotherrevocationcheckbeforeitissuesthecertificate.

16.Theissuedcertificateissenttotheexitmodule,whichsavesthecertificatetothecertificates

databaseand,dependingonthetemplateconfiguration,publishesittothedirectoryservice.

Note

oIfthisisalocalforest,thecertificateispublishedtotheuserobject.Ifthisisaforest

trust,thecertificateispublishedtothecontactobject.

17.Theexitmoduleconstructsandsignsaresponse,whichisreturnedtoXenroll.dllonthe

client.Thisresponsecaninclude:

oACMSresponse.

oAcertificateBLOB.

oAmessageindicatingwhetherthecertificaterequesthasbeenapproved,hasbeen

denied,orispending.

oAnerrormessage.

oRequestID.

Xenrollplacesthecertificateinthefollowingfolder:

C:\DocumentsandSettings\〃w〃a"?e\Application

Data\Microsoft\SystemCertificates\My\Certificates

具体的过程请参考官方文档：

HowCertificateServicesWorks

s://technet.microsoft/en-us/library/cc783853(v=ws.10).aspx

WindowsServer2023R2CA的部署过程

在域环境中，企业Ca的安装还是比较简洁的，基本不须要手动配置，在Windowsserver2023上略

有不同，须要先安装，在配置。

首先打开服务器管理器，选择"添加角色和功能”，如图。

国仪衰修

i本吨务81

ii所指眼务ai

o配置此本地服务器

2添加角色和功能

3添加要管理的其他服务器

4创戏服务器组

m色蛆

m&OIBMM：11i

li所有限第M1

性ie

BPAQUS

20:32

2O1V11/8

在选择角色服务界面，勾选"证书颁发机构

服”器管理器•仪表板•©1rWKM)XJUT)MKV)

I

ii年S怒工3

呻ADDS

&DNS

安装向导完成后，还须要后续进入Ca的配置向导，这是和Windows2023之前的Ca安装不同的地

方（在Windows2023之前，Ca的安装和配置均在一个向导里），如图。

设置类型保持默认为企业Ca,如图。

口正西？sit现as一。x।

CA类型保持默认为根Ca上如图。

乙3g务sma»___________-®x।

服务器管理器•仪表板•@)1JEZ)如i・f

在指定私钥类型界面，保持默认，如图。

E_________________mana一。«li

在指定加密选项界面，保持默认，如图。

戊及a»-。」|

在指定Ca名称界面，保持默认，如图。

W（3）-服务都!器,仪5MftM)JJUD«B(V)

ma

ADC

ADD

DHCF

DNS

IIS

BPAM

在指定Ca的有效期界面，保持默认，如图。

艮s«a«ifa

在指定Ca数据库位置界面，保持默认，如图。

K-__________RMWMi-i«»xl|

在摘要界面，确认设置没有问题后，选择"配置"，如图。

配置完成后，如图所小。

服务器管理器•仪表板•(§)1仄1rahM5111m

本他■

痴彳雨

ADC

AOD

DNS

ns

■：-：*

另外Ca安装胜利之后，为了简化管理，我们还可以配置一下Ca根证书的自动颁发。

打开组策略管理工具，右击编辑默认的域策略，如图。

a文区E*t<A)MKV)«C<w)MKH)

*♦Xc©

aDefaultDomainPolicy

AM：<w<xom«««]»«

-

,fe«Lcoman

-J由t&S内赛方WB9(U：fe«Ucr>

»qDo«n«inCoMroaersTW8OOX

»qMkrotoltfiance

>◎m”<aaMM

»二“食fwLctxnfi■

»,JSorterGPO

D由骷W

安全mm

ItGPOfBMTFBWMI激渣"indows

绽开到自动证书申请设置，如图。

文林(F)BfTCA)*S(V)IHE