《网管员必读——网络安全(第2版)第八章》由会员分享,可在线阅读,更多相关《网管员必读——网络安全(第2版)第八章(21页珍藏版)》请在金锄头文库上搜索。
1、第八章 公钥基础结构,在网络应用中,公钥基础结构是非常重要的安全技术,它与计算机证书技术息息相关。利用它们不仅可以给重要的文件和邮件传输进行加密和数字签名,防止非法用户的打开和使用,还可以对网络访问用户的身份进行识别。微软自Windows 2000系统以后的版本系统就开始全面对公钥技术提供支持,在最新的Windows Server 2003服务器系统中更是得到前所未有的提高。 本章重点如下: 公钥基础结构的作用 Windows Server 2003系统中的公钥基础结构 证书的主要应用 证书申请方法 证书自动注册方法 证书模板用户权限的配置,8.1 公钥基础结构(PKI)概述,PKI是通过使用
2、公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI让个人或企业安全地从事其商业行为。 PKI采用各参与方都信任一个同一CA(认证中心),由该CA来核对和验证各参与方身份的身份这种信任机制。 8.1.1公钥基础结构作用 公钥基础结构的作用因不同的应用环境有不同的体现。在广义的互联网应用方面,通过公钥基础结构(PKI),交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心(CA)进行安全可信的商务交易。典型的作用是采用数字证书的应用软件和CA信任有相同的机制。 在一个单位内部,应用PKI的好处主要体现在:增加安全性、简化管理和满足
3、其他安全需求这三个方面。详细内容参见书本P234页。,8.1.2 Windows Server 2003公钥基础结构,Windows Server 2003家族的公钥基础结构具有以下功能: 证书 证书基本上是颁发机构所颁发的证明证书持有人的身份的数字声明。证书将公钥与拥有相应私钥的个人、计算机或服务绑在一起。 证书服务 在Windows Server 2003 家族系统中,证书服务是用于创建和管理证书颁发机构(CA)的组件。CA负责建立和确定证件持有者的身份。 证书模板 证书是由CA根据证书申请中提供的信息和证书模板中包含的设置来颁发的。证书模板是针对接收到的证书申请应用的规则和设置的集合。,
4、证书自动注册 让计算机自动向企业证书颁发机构提交证书申请并安装颁发的证书,这有助于确保计算机能获得在组织内执行公钥加密操作所需的证书。 Web注册页面 这些网页是证书服务的单独组件,是安装CA时默认安装的,并允许证书申请者使用Web浏览器递交证书申请。 智能卡支持Windows支持通过智能卡上的证书进行登录,以及使用智能卡来存储证书和私钥。 公钥策略 在Windows中可以使用组策略自动给受领人分发证书,建立公共可信的证书颁发机构,以及为EFS(加密文件系统)管理恢复策略。 本节详细内容参见书本P235P236页。,8.2 证书基础,公钥基础结构与计算机证书是两个息息相关的技术,但计算机证书技
5、术的应用范围要比公钥基础结构技术更广。证书其实就是一种数字签名的声明,将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。 8.2.1 证书概述 在微软的Windows系统中,证书是这样定义的:接收证书的实体是证书的“主题”,而证书的颁发者和签名者称为“证书颁发机构”。通常,证书包含以下信息: 主题的公钥值 主题标识符信息(如名称和电子邮件地址)。 有效期(证书的有效时间) 颁发者标识符信息 本节详细内容参见书本P236页。,8.2.2 证书的应用,因为证书通常用来为实现安全的信息交换建立身份并创建信任。证书的应用主要体现在组织和个人应用两个方面。 在组织应用中,很多组织安装有自己的证书颁发
6、机构,并将证书颁发给内部的设备、服务和雇员,以创建更安全的计算环境。这样,雇员的证书存储区中就可能有多个由各种内部证书颁发机构所颁发的证书,而所有这些证书颁发机构均通过到根证书颁发机构的证书路径共享一个信任连接。当雇员利用虚拟专用网(VPN)从家里登录到组织的网络时,VPN服务器可以提供服务器证书以向用户证实自己的身份。 在个人应用中,可以向商业证书颁发机构购买证书,以便发送经过安全加密或数字签名以证明真实性的个人电子邮件、向其他人传输重要文件。 本节详细内容参见书本P236P238页。,8.2.3 证书颁发机构,当证书作为识别证书持有者(证书的“主题”)的方法递交给某个实体时,只有当收到该证
7、书的实体信任颁发者(通常是指证书颁发机构(CA)时,证书才是有用的。当您信任证书颁发机构时,就意味着您相信证书颁发机构在评估证书请求时有正确的策略,并且它会拒绝将证书颁发给不符合这些策略的实体。此外,您还确信证书颁发机构会通过发布随时更新的证书吊销列表,撤消它认为已不再有效的证书。 对于Windows Server 2003用户、计算机和服务,在拥有受信根证书颁发机构存储区中的根证书副本,以及拥有表示证书路径中的证书没有取消或过期的有效证书路径时才会建立对证书颁发机构的信任。证书路径包括颁发给从属CA到根CA的证书层次中的每个CA的每份证书。 图7-1是一个典型的证书颁发机构组织结构图。,如果
8、您的组织正在使用Active Directory,那么根据系统管理员的决定和设置,通常将自动建立对该组织的证书颁发机构的信任。,图7-1 证书颁发机构组织结构,如果您的组织正在使用与Windows Server 2003家族一起安装的“证书服务”版本以运行其证书颁发机构,证书颁发机构将是以下两种类型之一:企业证书颁发机构或独立证书颁发机构。对于证书用户和申请者来说,Windows Server 2003证书颁发机构的两种标准类型的差异总结如下: 企业证书颁发机构 企业证书颁发机构取决于当前使用的Active Directory,也就是适用于证书颁发机构在域控制器网络中。用户可以使用“证书申请向
9、导”(从“证书”管理单元中启动)以及证书颁发机构网页,向企业证书颁发机构申请证书。 独立证书颁发机构 独立证书颁发机构就是证书颁发机构不是在域控制器上,而在专门配置的服务器上。在这类证书颁发机构中,用户的自动操作能力方面不如企业证书颁发机构,因为它不依赖Active Directory。默认情况下,用户只能通过网页向独立证书颁发机构申请证书。本节详细内容参见书本P239P240页。,8.2.4 证书服务的安装,本节介绍的是Windows Server 2003系统中计算机证书服务的安装步骤,它是通过在“控制面板”中的“添加或删除程序”选项进行的。在此不作具体介绍,具体步骤可参见书本P24024
10、2页介绍。,8.3 证书申请,申请和接收证书的方式取决于颁发该证书的证书颁发机构(CA)所使用的策略和过程。 8.3.1 证书模板 在证书申请时,证书模板是必不可少的,它是用户、计算机申请证书的基础,是企业证书颁发机构(CA)不可缺少的组成部分。它们是某个环境下证书策略的重要元素,是一组用于证书注册、使用和管理的规则和格式。 1. 密钥类型和加密服务提供程序类型 证书包含用来加密或验证信息的数字签名的公钥信息。客户端将该证书存储区在它们的证书存储区中,还存储了用来指明哪个加密服务提供程序(CSP)存储了关联私钥的数据。在密钥类型方面,生成公钥/私钥对时,可以创建几种类型的密钥。在加密服务提供程
11、序类型方面,加密服务提供程序(CSP)是Windows操作系统中提供一般加密功能的硬件和软件组件。,2. 证书模板注册策略 对相应的证书模板至少拥有读取和注册权限的任何接受方都可以请求证书。某些情况下,管理员可能想要对证书请求发出之后所发生的过程设置某些限制。这将让管理员能够控制颁发什么证书,以及如何实现颁发过程。这种类型的限制称为“注册策略”。 3. 有效和续订期 为了进一步保护密钥,不使经过一段时间后,恶意用户可能会破解密钥,并获取受密钥保护的数据,密在此需对所拥有的密钥设定有效期和续订期。 4. 使用者名称 与证书相关的私钥的持有者称为“接受方”。这可以是用户、程序或几乎任何对象或服务。
12、Windows可自动生成使用者名称,或要求接受方手动进行提供。如果它自动提供使用者名称,则Windows将从Active Directory中获得该信息;如果配置为手动提供使用者名称,则接受方将在证书申请中提供该信息。 Windows Server 2003附带的预配置证书模板见书中表7-1。 本节详细内容参见书本P243P245页。,8.3.2 使用证书申请向导申请证,用户和管理员可以使用“证书”管理单元向Windows 2003和企业证书颁发机构申请新的证书。另外,用户还可以从证书存储区查找、查看、导入和导出证书。但是在大多数情况下,用户不必亲自管理他们的证书和证书存储区。而是通过管理员、
13、策略设置以及使用证书的程序来完成。 在 Windows Server 2003 系统中有两种明确申请证书的主要方法:(1)使用证书申请向导申请证书;(2)使用Windows Server 2003证书服务网页申请证书。使用“证书”管理单元中的“证书申请向导”向Windows Server 2003企业证书颁发机构申请证书时,需事先要注意好以下几个事项: 选择要向其提交申请的证书颁发机构 选择合适的证书模板以便用于新证书 可使用证书申请向导中的“高级选项” 本节详细内容参见书本P245P250页。,8.3.3使用 Windows Server 2003 证书服务网页,默认情况下,每一个 Wind
14、ows Server 2003 证书颁发机构都有可供用户和管理员使用的网页。这些页面可用于执行与申请证书相关的多种任务。这些网页位于http:/servername/certsrv,其中 servername 是主持证书颁发机构的服务器名称。对于向独立证书颁发机构申请证书的用户,网页是“唯一”的申请途径。对于要向企业证书颁发机构申请证书的用户,则是可选的。如果已被授予访问权限,则可以从网页执行以下任务: 申请基本证书 使用高级选项申请证书 在高级证书申请中可供用户选择的选项包括: 加密服务提供程序(CSP)选项 密钥生成选项和其他选项 具体申请步骤参见书本P250P254页介绍。,8.4 证书
15、的自动注册,上节其实我们介绍的证书申请、安装方式是一种用户手动注册过程。其实在大型网络管理中,通常不是采取这种手动注册方式。网络管理员经常需要证书用户和计算机保留一个或多个证书。用户手动证书注册过程在某种程度上很容易混淆,并且很费时间。管理员可能没有对于注册过程的控制权,因此,许多用户或计算机可能获取无用或不正确的证书。不进行干预而获取、存储和更新主题证书的过程是很理想的。这样一来管理员很难管理好整个企业网络中的用户、计算机和服务证书,所以通常是采取自动注册方式。 证书自动注册是一个允许客户端自动向证书颁发机构提交证书申请,也允许检索和存储颁发的证书的过程。该过程是由管理员来控制的,因此,证书
16、是由具有正确设置的适当主题获取的。客户端计算机将定期检查可能需要的任何自动注册任务,并执行这些任务。这包括申请新证书、检索完成的证书颁发机构的申请或续订现有证书。,8.4.1 规划自动注册部署,在Windows XP和Windows Server 2003 Standard Edition中,自动注册是证书服务的一项很有用的功能。自动注册允许管理员将接受方配置为自动进行证书注册、检索已颁发的证书、并续订过期证书,而不需要接受方进行交互。接受方不需要知道任何证书操作,除非将证书模板配置为与接受方交互。 要正确配置接受方自动注册,管理员必须规划要使用的一个或多个合适的证书模板。证书模板中的几个设置直接影响接受方自动注册的行为。 具体规划步骤参见书本P255P258页介绍。,8.4.2 “用户”模板复制,
