HOWTO部署层次性的公钥基础结构.docVIP

原创----HOWTO部署层次性的公钥基础结构（PKI） 第一部分 By wei huang（MSN:huangwei20#） I．简介 作为MS产品的爱好者，我一直想写篇关于证书服务的帖子（来论坛很久了，大部分时间处在潜水状态，论发帖量只能算是“新兵”，呵呵）。网上关于证书服务的资料虽多，但我发现，关于如何部署层次性的公钥基础结构（PKI）的文章却很少。考虑到安全原因，我推荐大家在企业里部署层次性的公钥基础结构，即部署根CA和颁发CA两层结构。根CA平时脱机，保证物理安全。颁发证书的任务由颁发CA负责。如果颁发CA私钥泄漏，不会从根本上影响我们的公钥基础结构。总之，该方案兼顾安全性和颁发的灵活性。当然，部署这种方案也会给我们ITpro的技术能力带来一点挑战。呵呵，相信大家都喜欢做有挑战性的事情吧：） 在去年，我们公司结合“MS安全无线局域网解决方案”部署了WPA＋802.1x的无线网络。该方案的核心之一是使用了windows2003（以下简称win2k3）的证书服务构建层次性的公钥基础结构。在“MS安全无线局域网解决方案”一文中，详细介绍了如何部署、管理该结构。但里面很多环节涉及到使用脚本，对初学者多有不便，同事们也为此苦恼过。该方案确实也够长的，通读一遍恐怕需要不少功夫：）因此，结合我的工作实践，这篇文章以图文结合方式指导大家如何利用证书服务快速部署该结构。 II．安装要求 在我们的试验环境里面，根CA安装为独立根CA。颁发CA安装为企业从属CA。颁发CA将 用作注册颁发机构，且可以自动将已颁发的证书发布到该目录Ip地址 备注 DC.contoso.msft 使用dcpromo把该机提升为DC。AD域为contoso.msft RootCA 卸载“更新根目录证书”。不需要加入域。配置、管理CA均以本地管理员身份进行。 IssueCA.contoso.msft 安装IIS，仅需web服务。 卸载“更新根目录证书”。 加入contoso域。 配置、管理CA均以域管理员身份进行。 注：以上机器的操作系统均为windows2003企业版（集成了SP1）。虚拟机使用的是VMWARE5.5。如何使用虚拟机请参考网上其他文章。考虑到试验的流畅性，各虚拟机内存至少应为256MB。各虚拟机均使用相同类型的网络连接，在我的环境里面，使用的是Vmnet6。 III 安装顺序 创建AD域。 安装根CA。配置它的参数。关闭根CA的网络连接，将根CA服务器脱机。 将根CA的CRL和AIA信息发布到AD的相关区域和颁发CA的web目录中。此步骤是整个安装计划的关键。 安装颁发CA。向根CA申请证书。 将根CA批准的证书导回到颁发CA。启动颁发CA的服务。 配置颁发CA上的相关参数。 使用工具检查层次性的PKI。 IV 实战部分 按前面的内容准备试验环境。因为内部CA不需要从外网更新根证书，因此MS推荐在windows组件里把该功能卸载。 登陆到RootCA服务器上，为根证书安装准备CApolicy.inf文件。该文件提供了即将安装的CA相关参数。Version栏表明这是windows提供的证书服务。Certsrv_server栏各参数依次表示CA的私钥长度（该数字越大，表明越不容易被破解。但是，长度太长，会有兼容性问题）、有效期（以年计算，在我的测试环境里面指定的是16年）。Crldistributionpoint 和AuthorityInforationAccess栏为空，是因为根CA本身不需要CRL和AIA信息。该文件用记事本编辑好之后，放在C:\WINDOWS目录中。关于这些概念的详细说明请参见windows的帮助文件。 在组件向导中选择安装“证书服务”。在出现的提示画面中如下选择： 点击“下一步”。 点击“下一步”，配置根证书名（CONTOSO-RootCA）和有限期（16年）。 点击“下一步”，其他参数接受默认即可，使得安装全部完成。当这个步骤结束后，我们便可以检查、配置根CA的参数了。根CA启动后，界面如下。我们可以通过点击证书选项卡从而检查各基本参数是否正确。比如，在这里我们可以确认它的有效期确实是16年。 根CA的大部分配置信息在注册表HKLM\ SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CONTOSO-RootCA\中。在MS的方案中，是使用脚本来完成参数配置的。在这里，我们可以使用windows2003自带的certutil工具来达到同样的配置目的。该工具在cmd窗口下使用，详细使用参数说明请参见帮助文件。首先，我们必须明确一个概念，即我们需要把根CA的相关信息（AIA、CRL）发布到AD中。然后，利用这些信息，才能完成层次性证书结构部署。所