Deploy_Safe_PKI_In_Win_Svr_2003.ppt

部署安全 PKI 環境的最佳實務 時　間：200/2/15 (二 ) PM13:30~16:30 主講人：唐任威 精誠公司恆逸資訊教育訓練中心 系統產品部 認　證：MCT 、MCSE、MCSA、TCSE 議題大綱 規劃 PKI 環境所應有之考量 憑證授權單位（CA）之安全性考量 AD 環境之安全性考量 安全的憑證授權單位管理 規劃 PKI 環境所應有之考量 規劃 PKI 環境之流程 找出商業上之需求 憑證政策(CP)與憑證作業準則(CPS)的制訂 決定 CA 之階層架構 制訂憑證之申請、核發及更新流程 CA 管理計畫之制訂 現行 Windows 環境之憑證應用 PKI 之商業需求 PKI 環境將運用於何處？企業內部、外部或商業間的合作環境 PKI 環境將提供多少的可用性？全時段可用或特定地點(區)可用 PKI 環境將提供之法律責任？保證範圍、否認聲明與其他除外條款 憑證政策與憑證作業準則的制訂 決定 CA 之階層架構 單一階層設計 是根 CA 也是發行 CA 隨時保持上線狀態 可為企業 CA 或獨立 CA 適合小型環境 優點：簡單、容易管理 缺點：安全性、可用性與延展性較差 二階層設計 根 CA 與次級 CA 根 CA 為獨立 CA 且保持離線 次級 CA 為發行 CA負責核發憑證可為企業 CA 或獨立 CA 適合小至中型環境 優點：較具彈性與安全性 缺點：架構不夠完整 三層或以上設計 根 CA、中繼 CA 與發行 CA 根 CA 為獨立 CA 且保持離線 中繼 CA /政策 CA為獨立 CA 且保持離線 發行 CA 負責核發憑證可為企業 CA 或獨立 CA 適合中至大型環境 以憑證應用作為規劃 以地區作為規劃 以組織架構作為規劃 究竟需要多少及多大的 CA CA 的數量，取決於階層架構之多寡 藉由多部 CA 提升可用度 減少不必要 CA 的數量可簡化金鑰的管理與回復的問題 CA 的效能將不會是 PKI 的主要考量 每一張憑證的大小約 16 ~ 32k CA 的高可用度問題 並不是主要議題 關於註冊服務 使用時機：新使用者、憑證更新 架設額外的 CA，並使用相同的憑證範本 憑證撤銷資訊 (CRLs) 有可能造成某些服務無法正常運作如智慧卡登入、VPN、IPSec… 藉由硬體容錯機制可降低此風險如 RAID-5、Mirror 等… PKI 環境的架設 獨立根 CA 的架設 編輯 CAPolicy.inf 修改及發佈根憑證、憑證撤銷清單與授權資訊存取等相關資訊 certutil -setreg CA\DSConfigDN … certutil -setreg CA\CRLPublicationURLs … certutil -setreg CA\CACertPublicationURLs … certutil -dspublish -f CRLName.crl certutil -dspublish -f CertName.crt 企業次級 CA 的架設 提交次級 CA 憑證要求 安裝次級 CA 憑證並啟動服務 CAPolicy.inf [Version] Signature=$Windows NT$ [PolicyStatementExtension] Policies=LegalPolicy [LegalPolicy] OID=..9.10 NOTICE=憑證作業準則 (CPS) - http://SubCA.bppki.local/LegalPolicy/rootcps.htm URL=http://subca.bppki.local/LegalPolicy/rootcps.htm [certsrv_server] renewalkeylength=4096 RenewalValidityPeriodUnits=20 RenewalValidityPeriod=years CRLPeriodUnits=26 CRLPeriod=weeks CRLDeltaPeriodUnits=26 CRLDeltaPeriod=days [CRLDistributionPoint] Empty=True [AuthorityInformationAccess] Empty=True 離線根 CA 的架設 離線前的準備 – 修改 AIA, CDP 路徑 離線前的準備 – 發佈 AIA, CDP 路徑 企業次級 CA 的架設 憑證授權單位之安全性考量 憑證授權單位（CA）之安全性考量 實體安全性 有安全控管的機房、武裝警衛、門禁管理… 避免在 CA 上安裝不必要的元件及應用程式 網路安全性 無法藉由封鎖服務連接埠來提升安全性 用戶端藉由 DCOM 與 CA 溝通 Windows Server 2003 作業