Windows Server 2008 R2 之19 AD RMS基础.docVIP

相对于传统的信息安全保护方案（防火墙、ACL、EFS等），Active Directory 权限管理服务它提供了与应用程序协作（如office 2007)保护数字内容的安全技术，它专门为那些需要保护的敏感文档、电子邮件和WEB内容而设计，可以严格地控制哪些用户可以打开、读取、修改和重新分发等权限。RMS的最大优势在于它能对整个数字信息生命周期进行管理，权限伴随文档。 一、AD RMS的工作过程 AD RMS的工作过程是一个相当复杂的过程。我们可以用下面的四步来简单描述它的工作过程（尽管不够具体、准确）。 作者：1、创建受保护的文档。2、授权并分发内容（作者会身RMS服务器请求发布许可，RMS服务器返回发布许可，支持RMS的应用程序将发布许可合并到受保护的文档） 使用者：当使用都打开受保护的文档时，1、向RMS服务器请求使用许可。2、服务器向使用者返回使用许可，使用者使用使用许可打开文档内容 ? 二、AD Rms证书和许可证服务器许可方证书 (SLC)在群集中的第一个服务器上安装和配置 AD RMS 服务器角色时会创建 SLC。服务器会为自己生成唯一的 SLC，该 SLC 建立该服务器的标识，称为自注册，且有效期为 250 年。这样可以将受权限保护的数据存档较长时间。根群集既处理证书（通过发放权限帐户证书 (RAC)），又处理对受权限保护的内容的授权。添加到根群集的其他服务器共享一个 SLC。在复杂环境中，可以部署仅授权群集，这会生成它们自己的 SLC。SLC 包含服务器的公钥。（注意在Windows Server 2003中，SLC是通过向微软网站注册后而微软创建的）?客户端许可方证书 (CLC)CLC 由 AD RMS 群集为响应客户端应用程序的请求而创建。CLC 在客户端连接到组织的网络时会发送到客户端，并授予用户在客户端未连接时发布受权限保护的内容的权限。CLC 与用户的 RAC 相关联，因此，如果 RAC 无效或不存在，用户将无法访问 AD RMS 群集。CLC 包含客户端许可方公钥以及客户端许可方私钥，该私钥由请求证书的用户的公钥加密。它还包含发放证书的群集的公钥，该公钥由发放证书的群集的私钥签名。客户端许可方私钥用于对发布许可证进行签名。?计算机证书首次使用支持 AD RMS 的应用程序时，会在客户端计算机上创建计算机证书。Windows Vista 和 Windows 7 中的 AD RMS 客户端自动激活并注册根群集，从而在客户端计算机上创建此证书。此证书标识计算机或设备上与登录用户的配置文件相关的密码箱。计算机证书包含已激活计算机的公钥。该计算机的密码箱包含对应的私钥。密码箱是%windir%\system32\SECPRO.DLL文件?权限帐户证书 (RAC)RAC 在 AD RMS 系统中建立了用户的标识。它由 AD RMS 根群集创建，并在首次尝试打开受权限保护的内容时提供给用户。 标准 RAC 在特定计算机或设备环境中使用帐户凭据标识用户，且具有以天数表示的有效时间。标准 RAC 的默认有效时间是 365 天。 临时 RAC 仅基于帐户凭据标识用户，且具有以分钟数表示的有效时间。临时 RAC 的默认有效时间是 15 分钟。RAC 包含用户的公钥，以及用户的使用已激活计算机的公钥加密的私钥。RAC和特定的计算机相关联，每个用户对每个设备都有唯一的RAC。在任何计算机上，RAC的密钥对是相同的。 RAC的产生过程： 1、使用Windows集成身份验证向RMS服务器发送请求 2、RMS服务器查询数据库，可能会使用已有的密钥对或生成密钥对 3、RMS服务器将用户的私钥用计算机的公钥进行加密 4、RMS服务器将用户的公钥和加密后的私钥放在RAC中 5、RAC被RMS服务器用私钥进行数字签署 6、RMS服务器将RAC发送给用户 7、RMS服务器将用户的密钥对存放在RMS数据库中?发布许可证(Publishing License)使用权限保护保存内容时，客户端会创建发布许可证。它指定可以打开受权限保护的内容的用户、用户可以打开内容的条件，以及每个用户对受权限保护的内容所具有的权限。它由RMS授权服务器颁发。发布许可证包含：1、用于解密内容的对称内容密钥，该密钥使用发放许可证的服务器的公钥加密。 2、使用都权限。以Email标识用户和相应的权限，被发放许可证的服务器的公钥加密。 3、发布服务器的URL：使用者通过这个URL向服务器申请使用许可。 4、发布服务器的数字签署：证明发布许可证的有效性，防止篡改。 使用许可证(Usage License)使用许可证在特定的已验证用户的环境中指定应用于受权限保护的内容的权限。此许可证与 RAC 相关联。如果 RAC 无效或不存在，则无法