CA技术白皮书.docVIP

第 14 章 证书服务 MSA 2.0 规划指南 MSA 实施工具包 Microsoft 机密。? 2003 Microsoft Corporation。保留所有权利。这些资料属于 Microsoft 公司的机密信息，同时被当作商业秘密。这些资料中的信息仅面向 Microsoft 授权的接收者。对于这些资料的使用、散发或公开讨论，以及任何反馈均以所附的许可协议条款为依据。您可以通过向 Microsoft 提供这些资料的任何反馈，表示同意该许可协议的条款。如果该许可协议已被删除，请在使用这些资料之前，在/licensing/specs/agrmt02.asp 上阅读有关条款。 摘要 本章提供 MSA 2.0 企业数据中心（Corporate Data Center，CDC）和卫星分公司（Satellite Branch Office，SBO）中的证书服务设计选择及需求的详细分类。本文档遵循“MSA 参考体系结构工具包”中的“服务蓝图”指南的“证书服务”章节介绍的设计过程和指导方针。  本文档中的信息（包括 URL 及其他 Internet 网站参考资料）可能随时变更，恕不另行通知。使用本文档的全部风险或因此导致的后果均由用户自行承担。 除非另外注明，否则此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、人员、地点和时间纯属虚构，绝不意指，也不应由此臆测任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人员、地点和时间。 遵守所有适用的版权法律是用户应尽的责任。在不对版权法所规定的权利加以限制的情况下，如未得到 Microsoft Corporation 明确的书面许可，不得为任何目的、以任何形式或手段（电子的、机械的、影印、录制等等）复制、传播本文的任何部分，也不得将其存储或引入到检索系统中。 Microsoft 可能拥有本文档主题涉及到的专利、专利申请、商标、版权或其他知识产权。除非在 Microsoft 的任何书面许可协议中明确表述，否则获得本文档不代表您将同时获得这些专利、商标、版权或其他知识产权的许可证。 ? 2003 Microsoft Corporation。保留所有权利。 Microsoft、Active Directory、MSDN 和 Windows 是 Microsoft Corporation 在美国和/或其它国家或地区的注册商标或商标。 此处提到的实际公司和产品名称可能是其各自所有者的商标。 Microsoft Corporation ? One Microsoft Way ? Redmond, WA 98052-6399 ? USA 00  目录 简介 1 目标读者 1 必备知识 1 针对 CDC 情境的证书服务设计 2 服务设计 2 确定安全应用程序的需求 2 确定实体之间的连接 2 确定用户、计算机和服务的证书需求 3 逻辑设计 3 设计根 CA 3 设计信任锚点（Trust Anchor） 3 根 CA 证书的分发 3 选择内部 CA 与非 Microsoft CA 5 确定CA角色和类型 5 应用认证操作声明 6 集成目录基础结构 7 确定CA的地理位置 7 确定CA的域和森林成员关系 7 确定 CA 的网络保护 7 选择证书服务提供者 8 设计CA拓扑 8 选择扩展的 CA 基础结构配置 8 确定颁发CA的数量 8 部署证书服务器 9 选择CA证书和CRL发布位置 9 选择CA证书和CRL发布资源 10 选择分发点顺序 11 选择分发点 URL 11 选择检索协议 12 定义发布机制 12 CRL 发布委托 14 制定CRL发布计划 14 规划CRL的存档 15 选择客户端证书服务提供者 15 设计证书注册 15 执行请求接收 15 选择请求接收方法 16 选择请求接收工具 16 选择请求接收模式 17 定义请求权限 17 选择密钥长度 18 选择证书有效期 18 到 Active Directory 的证书发布 18 逻辑设计小结 18 硬件需求 19 可用性 20 本地存储可用性 20 网卡配置类型 20 安全性 21 安全锁定 21 可扩展性 21 可管理性 21 基于角色的管理 22 系统管理 22 创建证书管理计划 22 选择证书模板和证书类型 23 批准证书 23 撤销证书 24 恢复证书 24 续订证书 24 检验证书 25 性能 25 合并 25 服务相关性 25 针对 SBO 情境的证书服务设计 27 服务设计 27 确定用户、计算机和服务的证书需求 27 记载证书策略和操作 27 逻辑设计 27 为公钥基础结构定义信任锚点 27 根CA证书分发 28 选择内部 CA 与非 Microsoft CA 28 确定 CA 角色和类型 28 应用