CSDN博客

img DarkBasic

Windows XP Professional 和 Windows .NET Server 中的 PKI 增强功能

发表于2004/11/4 14:12:00  2440人阅读

Windows XP Professional 和 Windows .NET Server 中的 PKI 增强功能


第1页(共6页):简介
2001年8月24日
Microsoft Windows XP Professional 和 Microsoft Windows .NET Server 组合在一起,可提供多种 PKI 增强功能,使您能安全地将自己的网络向员工、合作伙伴及客户延伸,同时改进了 Windows 2000 安全体系结构的管理和性能。对于要求使用安全的业务流程和 IT 结构的组织而言,Windows XP Professional 和 Windows .NET Server 可以提供很多 PKI 特有的业务优点。

功能多面性

通过集成虚拟专用网络 (VPN) 服务、基于标准的身份验证及加密技术,Windows .NET Server 使您可以将自己的网络安全地向员工、合作伙伴及客户进行延伸。

灵活的身份验证选项包括:

  • 智能卡
  • X.509 证书
  • Kerberos
  • 基于令牌环的身份验证技术
  • 其它身份验证机制

功能强大的加密服务包括:

  • Internet 协议安全性 (IPSec)
  • 点对点隧道协议 (PPTP)
  • 带 IPSec 的第 2 层隧道协议 (L2TP/IPSec)
  • 安全套接字层 (SSL)
  • 传输层安全性 (TLS)
  • 加密文件系统 (EFS)

便于管理

Microsoft Windows XP Professional 引入了用户证书自动注册功能,允许管理员在无需用户交互的情况下方便地在整个企业内部署证书。

Windows XP Professional 还完全支持下列功能:

  • 全面的 PKI 交叉验证
  • 名称限制、策略限制及策略映射
  • Delta 证书吊销列表 (CRL)
  • 链接证书发行机构 (CA) 配置
  • 委派策略管理
  • 通过 Microsoft Active Directory™ 实现统一用户管理。

可靠性

Windows XP Professional 和 Windows .NET Server 扩展和改进了 Windows 2000 安全体系结构的管理和性能特征。这些改进包括:

  • 更高的 Kerberos 性能
  • PKI 证书的自动用户注册
  • 高效的访问控制列表 (ACL) 评估
  • 简化的身份验证框架及 ACL 编辑器
  • 用于安全的多身份标识的新凭证管理器
  • 管理员的智能卡支持功能
  • 用于标准 802.11 无线网络的可扩展的身份验证协议 (EAP)
  • 集成式 PKI 密钥存档和恢复工具
  • 加密脱机文件(客户方缓存)

业务优点

对于要求使用安全的业务流程和 IT 结构的组织而言,Windows XP Professional 和 Windows .NET Server 可以提供很多 PKI 特有的业务优点。

Windows .NET Server

Windows .NET Server 中包含全功能 PKI,可提供公钥加密功能。其中包括:

  • 安全的公司内部网络和 Extranet
  • 保密而安全的电子邮件
  • 受控的信任解决方案
  • 膝上机及其它存储设备丢失或被窃时的文件保护
  • 跨多种 Web 和应用程序服务器的访问控制及单一身份验证功能
  • 数字签名:确保交易免受干扰、捆绑合法
  • 远程用户受信、按需访问网络资源
  • 远端办公室受信、永久式网络连接
  • 伸缩自如的技术,支持数百万用户和大规模交易

Windows XP Professional

PKI 是 Windows XP Professional 操作系统的有机组成部分。PKI:

  • 无需按证书付费
  • 已集成到常规网络管理任务中
  • 支持网络和应用程序的单一注册功能
  • 提供受控信任功能
  • 通过 CryptoAPI 支持所有应用程序

考虑到第三方 PKI 必须单独购买,且要求按证书支付许可证费用,而管理任务也会增加,因此这绝对属于业务优点。



第2页(共6页):Windows XP Professional PKI 组件
2001年8月24日
Windows XP Professional PKI 是以 Microsoft 久负盛誉、功能强大的随带 PKI 组件为基础而构建的。本文概述了在 Windows .NET Server 的框架内 Microsoft 对这些组件新增的功能及功能的改进。

Windows XP Professional 中主要的 PKI 组件包括:

证书服务

证书服务是核心操作系统的组成部分。它允许公司充当自己的证书发行机构 (CA),可以发行和管理数字证书。Windows XP Professional 支持 CA 层次的多个级别及交叉验证的信任网络。这包括脱机和联机证书发行机构。

Active Directory

Active Directory 是一项核心操作系统服务,可提供单个位置来查找网络资源,并充当 PKI 证书储存库和管理目录。Windows .NET Server 和 Windows XP Professional 具有企业 CA。它与 Active Directory 组合到一起,可提供成本低廉的 PKI 部署方案和管理方便的策略。企业 CA 所控制的操作的示例:

  • SSL 客户映射
  • 智能卡登录
  • 证书自动注册
  • X.509 证书创建

支持 PKI 的应用程序

支持 PKI 的应用程序的示例包括:EFS、Microsoft Internet Explorer、Microsoft Money、Internet Information Server、远程访问服务、Microsoft Outlook® 及 Microsoft Outlook Express。此外,还包括多种与 Windows 2000 PKI 和 Windows XP Professional PKI 协同使用的第三方应用程序。

Exchange 密钥管理服务

Exchange 密钥管理服务 (KMS) 是 Microsoft Exchange 的组件之一,允许对加密电子邮件所用的密钥进行存档和检索。Windows .NET Advanced Server 中还将提供一个工具,用于将现有用户的私钥(位于 KMS 数据库中)迁移到 Windows .NET Advanced Server CA 中。结果:得到整个企业的密钥管理系统,包括用于注册和密钥存档的单个存储库。



第3页(共6页):Windows XP Professional 客户增强功能
2001年8月24日

用户自动注册

使用 Windows 2000

Windows 2000 中的证书服务和 PKI 首先引入了证书自动注册功能。利用 Windows 2000,计算机或域控制器可在 Active Directory 环境下自动注册计算机型的证书。

计算机或域控制器证书的自动注册功能是通过“组策略”和 Active Directory 启用的。计算机证书的自动注册主要用于方便 Windows 2000 路由和远程访问服务 (RRAS) 服务器及其它类似设备的 IPSec 或 L2TP/IPSec VPN 连接。

使用 Windows XP Professional

利用“组策略”设置与版本 2 证书模板的组合,Windows XP Professional 允许用户在登录时自动注册用户型证书。用户证书的自动注册十分快捷方便,并支持 Active Directory 环境中的 PKI 应用程序(智能卡登录、EFS、SSL、S/MIME 等)。用户自动注册将常规 PKI 部署的成本降到了最低。将 Windows XP Professional 客户配置为使用 Active Directory 的情况下,它可以降低 PKI 实现的总拥有成本。

图 1 显示设置证书自动注册时可用的选项。

自动注册设置属性

图 1 自动注册设置属性

挂起证书请求及续订

Windows XP Professional 中的用户自动注册支持挂起证书请求及续订的功能。

您可以从 Windows .NET Server CA 中手动或自动请求证书。在收到管理批准或完成验证过程之前,该请求将被暂挂。批准或发布证书后,自动注册过程将自动结束并安装证书。

续订过期用户证书的过程也利用了自动注册机制。取决于证书模板中的规范,系统将代表用户自动续订证书。

Delta CRL 支持

Windows XP Professional 客户支持 delta CRL 用于吊销状态检查。实际上,它将使用任何已安装并可用于 CryptoAPI 的模块进行吊销状态检查。默认情况下,Windows XP Professional 客户将首先试用 delta CRL,其次是常规 CRL。其它模块(例如其它 Online Certificate Status Protocol (OCSP) 客户)可能会按其优选顺序进行安装。有关更多的信息,请参阅 MSDN®(Microsoft 用户开发人员网络)中的 Platform Software Development Kit (SDK)。

智能卡

Windows 2000 引入了使用智能卡来登录工作站和服务器的功能。除了支持自动注册外,Windows XP Professional 还通过添加下列重要功能而扩充了智能卡功能:

重要工具和实用程序的智能卡支持

管理员需要有能允许自己使用备用凭证的工具和实用程序,这样即可完成常规的业务(以正常的用户权限),而同时又能执行特殊的管理员功能。诸如 Net.exe 和 Runas.exe 等实用程序可以满足该要求。在 Windows XP Professional 中,这些工具可支持智能卡凭证。

用于终端服务器的智能卡

Windows XP Professional 允许将智能卡和智能卡阅读器连接到终端服务器客户机上,并在终端服务器计算机上执行智能卡操作。为实现该功能,必须在 Windows .NET 终端服务器上运行 Windows .NET Server 和 Windows XP Professional,而在 Windows .NET 终端服务器客户机上运行 Windows XP Professional。Windows .Net 终端服务器客户端软件也可在 Windows 2000 计算机上运行。

加密文件系统

增强的 EFS 明显提高了 Windows XP Professional 客户的功能。

在以加密数据文件和文件夹为基础部署安全性解决方案方面,Windows XP Professional 为公司用户提供了更大的灵活性。这些新功能包括:

  • 完全支持系统所用证书的吊销检查
  • 加密文件的备用颜色支持(绿色)
  • 支持加密脱机文件夹(客户方缓存)
  • 外壳用户界面 (UI) 中加密文件的多用户支持
  • 外壳 UI 中的文件夹。
  • 所有新增的 EFS 功能都只在 Windows XP Professional 客户上可用。

对加密文件的多用户支持

Windows XP Professional 现在支持单个加密文件在多个用户之间进行文件共享。尽管不支持组共享,但通过向加密文件添加用户,EFS 文件共享功能却提供了另一个进行数据恢复和业务协作的机会。对于想利用加密文件实现用户间协作而不必共享私钥的情况,加密文件共享不失为一种方便有用的方法。

文件共享的启用是通过高级文件属性 UI 上新的详细资料按钮实现的。该按钮在文件加密的情况下可用。只有首先加密并保存文件,才能添加其他用户。

若要添加用户,请选择加密文件的“高级属性”,然后单击详细资料按钮。单个用户可以从本地计算机或 Active Directory 中添加其他用户(但不能是组),但前提是所添加的用户具有有效的 EFS 证书。

有关加密属性的图示,请见图 2。

加密属性

图 2 加密属性

WebDAV 上的 EFS

基于 Web 的分布式制作和版本 (WebDAV) 是一种用“可扩展标记语言”(XML) 描述的文件访问协议。它使用超文本传输协议 (HTTP) 并在现有的 Internet 体系结构(例如防火墙和路由器)上运行。

EFS 与 WebDAV 文件夹组合在一起,可提供简单而安全的方式来跨网络共享敏感数据。WebDAV 下的 EFS 免去了购买专门软件来确保安全地共享加密文件的必要。EFS 强大的加密功能与 Windows XP Professional 中的文件共享功能组合起来,将简化共享敏感数据的过程。您可以将文件存储到通用文件服务器上(或某个 Internet 社区内,例如 Microsoft Network),以便于访问,同时又通过 EFS 保持强大的安全性。

对于希望使用简单的安全性解决方案而不部署复杂结构或昂贵技术的组织而言,EFS 与 WebDAV 文件夹的组合可以提供多种协作环境。

加密脱机文件(客户方缓存)

Windows 2000 引入了客户方缓存的功能,也称为“脱机文件”。这是一种 Microsoft IntelliMirror™ 管理技术,允许网络用户访问网络共享上的文件(即使是在客户机断开网络连接的情况下)。

当移动用户在断开网络连接的情况下查看共享时,由于文件已缓存到客户机上,因此用户仍将能浏览、读取和编辑这些文件。当用户稍后连接服务器时,系统将用服务器上旧版本的文档来复原更改内容。

Windows XP Professional 客户现在允许使用 EFS 对脱机文件和文件夹进行加密。对于旅途中需要脱机工作并保持数据安全的人士而言,该功能格外有吸引力。

有关加密脱机文件数据库的选项的图示,请见图 3。

加密脱机文件数据库

图 3 加密脱机文件数据库

其他算法支持

Windows XP Professional 客户现在支持比默认的数据加密标准 (DESX) 算法功能更为强大的可选 EFS 加密算法。客户现在可以使用兼容 Federal Information Processing Standards (FIPS) 140-1 的算法,例如 3DES 算法(已随带于 Windows XP Professional)。

通过更改 Active Directory“本地策略”或“组策略”中的 Default algorithm policy for FIPS compliant applications(FIPS 兼容应用程序的默认算法策略)选项,即可选定 3DES 算法。为此,请沿下列路径执行:“安全设置” > “本地策略” > “安全选项”。

禁用数据恢复

Windows XP Professional 客户的功能与 Windows .NET Server 的 Active Directory 增强功能组合在一起,为企业提供了更为灵活的数据恢复策略。

在 Windows XP Professional 中,数据恢复代理 (DRA) 已不再是 EFS 的必需项。对于已部署密钥存档和恢复策略而不需要 DRA 的机构而言,现在可以禁用 Windows XP Professional 客户“组策略”中的数据恢复。

CAPICOM

CAPICOM 是一种支持自动功能的“组件对象模式”(COM) 客户。它利用 Microsoft ActiveX® 和 COM 对象执行加密。

在用多种不同编程语言(例如 Microsoft Visual Basic®、Microsoft Visual Basic Scripting Edition 和 Microsoft Visual C++®)创建的应用程序中,CAPICOM 可用于执行基本的加密任务。

例如,Visual Basic 应用程序可使用 CAPICOM 对象对数据进行数字签名,验证数据数据签名,为实现保密而封装数据,以及对任意数据进行加密和解密。基于 CAPICOM 的应用程序使用最常规的参数作为默认的属性设置,但也可以设置高级签名或加密属性。

CAPICOM 和 CryptoAPI

CAPICOM 使用 PKI 并以 CryptoAPI(一种应用程序编程接口)为基础。它所提供的服务使应用程序开发人员能使用加密功能来增强应用程序的安全性。

CryptoAPI 中包含的功能可以加密和解密用于简单及复杂消息处理的数据,用于创建和验证数字签名的数据,也可加密和解密用于通过数字证书进行身份验证的数据。由于 CAPICOM 使用 CryptoAPI,因此数字签名应用程序可以通过 CSP 界面充分利用支持 CryptoAPI 的智能卡及其它硬件设备。

根 CA 自动更新

在 CA 使用新的根证书(根)之前,它必须等待它的客户库来安装它。过去,根是随主要产品发布一起提供的。例如 Microsoft Internet Explorer 和 Windows 2000 在发布时就包含根证书。

由于无法自动将新的根证书发布给这些用户,因此,在升级到包含新根的软件产品前,CA 必须等待。升级后,它们才能根据新的根证书提供证书服务。

Windows Update

Windows XP Professional 可及时提供最新的 CA 根证书信息。您可到 Windows Update Web 站点上下载它们。

当用户访问安全的 Web 站点(使用超文本传输协议 [HTTPS])、读取使用“安全/多用途 Internet 邮件扩展”(S/MIME) 的安全电子邮件或者是下载一个使用新根证书的 ActiveX 控件时,Windows XP Professional 证书链验证软件就会检查 Windows Update 并下载所需的根证书。该过程是无缝的。下载过程将自动在后台进行。

受信根证书

Windows XP Professional 为管理员提供了对其客户所信任的根证书更大的控制能力。所有第三方根证书都被移动到独立的逻辑证书库中,并由根证书的自动更新功能进行定期更新。Windows .NET Server 域的管理员可以通过组策略禁用该库。

对于其它希望使自己的根 CA 证书能通过自动更新功能而得到的根证书发布机构,应将请求提交至:casubmit@microsoft.com。

软件限制策略

Windows XP Professional 中的软件限制策略提供了一种策略驱动的方法,用于识别软件并控制其运行能力。管理员将定义规则来控制允许软件运行的时间。这些规则包含在组策略中,这样即可在站点、域或组织单位 (OU) 上设置这些规则。

软件限制策略中包含用于决定软件是否应被允许运行的默认规则及默认规则的例外情况。它允许管理员定义一个用于指定是否所有软件都运行的策略。例如:某个默认选项是除指定的程序组之外所有软件都运行。而另一个默认选项则是除指定的程序组之外所有软件都不运行。

有关软件限制策略设置的图示,请见图 4。

软件限制策略-本地安全设置

图 4 软件限制策略-本地安全设置

软件识别规则

管理员可以通过下列规则之一来识别软件:

散列规则

软件限制策略的 Microsoft 管理控制台 (MMC) 单元允许管理员浏览文件并通过计算其散列值来识别该程序。散列值就是唯一识别程序或文件的数字指纹。文件可以进行重命名,可以移动到另一个文件夹或计算机上,但它仍具有相同的散列值。

路径规则

路径规则可以通过下列两种方式来识别软件:完整的路径名(例如 C:/Program Files/Microsoft Office/Office/excel.exe),或是引导至包含文件夹的路径名(例如 C:/Windows/System32)。(这将引用该目录及其子目录中的所有文件。)

路径规则也可使用环境变量,例如 %userprofile%/Local Settings/Temp。

证书规则

证书规则通过用于对软件进行数字签名的发行者证书来识别软件。例如,管理员可以配置这样的证书规则:仅允许使用得到 Microsoft 签名或已安装其 IT 机构的软件。

区域规则

区域规则可识别来自 Internet、本地内部网络、受信站点或受限站点区域的软件。

控制数字签名软件

软件限制策略通过下列方式提高了管理员控制数字签名软件的能力:

限制 Active X 控件

利用列有受信软件发行者证书的软件限制策略,管理员可以为特定的域指定在 Internet Explorer 上运行的 ActiveX® 控件。如果 ActiveX 控件的发行者位于受信发行者列表中,其软件即可在下载后自动运行。软件限制策略还可以列出不允许的发行者。这样可以自动防止得到这些发行者签名的 ActiveX 控件运行。

利用软件限制策略有时还可以控制由谁对未知发行者(未明确是信任还是不信任的发行者)信任与否做出决定。软件限制策略可以设置为只允许本地管理员或域管理员来决定所信任的发行者,并禁止用户做出上述决定。

使用 Windows Installer

使用 Windows Installer 安装的程序可以进行数字签名。利用软件限制策略,管理员可要求只安装得到特定发行者数字签名的软件。在计算机上安装软件之前,Windows Installer 会核查是否存在得到认可的签名。

Visual Basic 脚本的数字签名

Visual Basic 脚本文件可以进行数字签名。管理员可以对软件限制策略进行配置,从而使 Visual Basic 脚本文件 (.vbs) 必须有得到认可的软件发行者的数字签名才能运行。



第4页(共6页):Windows .NET Server 中的新增功能
2001年8月24日

版本 2 证书模板

Windows 2000 和 Windows XP Professional PKI 使用 Active Directory 中存储的证书模板。这些模板可提供企业 CA(相对于使用独立 CA)证书请求的默认内容。Active Directory 环境中的策略管理是通过使用证书模板来完成的。

企业 CA 使用证书模板来确定身份验证、证书格式、加密服务提供商 (CSP)、密钥大小及 X.509 扩展的要求。考虑到注册机构、CA 官员及其它许可,Windows XP Professional 模板已进行扩充,合并了发行证书所需的签名和身份验证要求。

版本 1 和版本 2 证书模板

版本 1 模板

Windows 2000 Server 和 Windows 2000 Professional 客户支持 Active Directory 中的一组默认证书模板。这些模板无法进行自定义或添加。它们就是版本 1 模板。版本 1 模板只能按定义和复制时的设置使用。

版本 2 模板

Windows .NET Server 对版本 1 模板中可进行配置的属性范围进行了扩展。这些扩展包含:

  • 创建新证书模板
  • 复制现有模板
  • 替换已使用的模板

利用 Windows .NET Server 可以对版本 2 模板进行编辑,以满足应用程序或企业的需要。复制版本 1 模板时,它将自动进行更新并成为版本 2 模板。

版本 2 中的注册和证书颁发

版本 2 模板中新增了下列功能。它们将在注册和证书颁发的过程中提供附加的功能,例如:

  • 自定义注册策略
  • 证书发行
  • 域身份验证
  • 证书管理员
  • 注册代理签名
  • 密钥创建
  • 密钥类型和 CSP 类型
  • 证书内容
  • 验证、颁发和应用程序策略-及密钥使用
  • 密钥存档

创建和自定义证书模板

您可以创建和自定义证书模板,以满足特殊业务的要求及使用的需要。由于能用一个模板替换另一个模板,因此模板的创建或自定义较为方便。通过提供更新的证书,可以自动续订用户或计算机。您所要做的只是应用用户自动注册并将一个模板替换为另一个模板。如果只是替换现有的模板,则可以快捷方便地修改证书部署。该功能免除了在部署证书时因担心该证书在正常过期之前可能需要进行修改或更新而引起的顾虑。

密钥存档和恢复

比较 Windows 2000 Server 和 Windows .NET Server

Windows 2000 Server

对于数据恢复而言,Windows 2000 Server 使用数据恢复代理对 EFS 加密文件进行解密。

Exchange Server 密钥管理服务器使用的是 S/MIME 加密电子邮件(安全/多用途 Internet 邮件扩展)的密钥恢复方法。

Windows .NET Server

对于 Windows .NET Server,可能会使用 CA 来存档和恢复与单个证书请求有关的私钥。私钥恢复功能不会恢复任何数据或消息。它只是使用户能检索丢失或损坏的密钥,或者允许管理员承担用户数据访问或数据恢复的职责。通常,如果不首先进行密钥恢复,也就无法进行数据恢复。

密钥存档和恢复过程

密钥存档和恢复过程的步骤包括:

  1. 企业 CA 使用证书模板定义来确定客户证书请求是否还应包含私钥存档。
  2. 客户生成公钥-私钥对,并将证书请求发送给 CA。客户将证书管理协议及加密消息语法 (CMS) 用于证书请求。(该协议也称为 CMC)。
  3. 证书管理协议(使用 CMS)请求的有效负载中包含用户的加密私钥。用户的私钥将利用 CA 的公钥进行加密。
  4. CA 首先解密请求中的公钥,然后以加密形式验证用户的私钥是否对应了证书请求的公钥。企业 CA 也将对 Active Directory 中的证书模板进行验证,以确保私钥适合于存档。
  5. CA 将生成随机的 3DES(数据加密标准)对称密钥,以对用户的私钥进行加密。

密钥恢复代理

以策略设置为基础,保护用户私钥的对称密钥将与密钥恢复代理 (KRA) 的一个或多个公钥一起进行加密。该过程的结果将在证书请求中存为恢复块,位于 CA 数据库中。

密钥存档过程允许 CA 管理员配置能解密用户私钥的最小 KRA 数。KRA 必须能容纳使用它的 CA 上可能发行(也可能不发行)的特殊证书类型。CA 管理员有时也可以决定是否允许顺序循环选择 KRA。

CA 存档和恢复属性的一个重要方面是:CA 上没有用于解密受密钥恢复代理保护的私钥的私钥信息。只有公钥证书被用于加密最终实体的私钥,而恢复则可能在管理控制台上进行。这样可以确保任何人都无法危及存档密钥的安全。

多个密钥恢复代理可以同时使用。使用多个密钥恢复代理可确保单个 KRA 将无法利用特定 CA 所发行的证书来恢复所有私钥。利用第三方 CSP 可以分拆密钥对。

Delta 证书吊销列表

在 Windows 2000 中,证书发行机构将通过发布完整的 CRL(定义见 RFC 2459)而负责提供证书状态信息。CRL 可按预先定义的间隔进行手动或自动发布。在 Windows .NET Server 中(定义见 RFC 2459),CA 可能还会发布 delta CRL。

Delta CRL 与完整 CRL 的比较

delta CRL 列表中仅包含自编译上一个完整的(基本)CRL 以来状态已发生变化的证书。相对于标准 CRL 发布而言,Delta CRL 有几点主要优势:

  • 对象大小远小于完整的 CRL
  • 可经常发布,对客户机或网络体系结构有很小的影响或无影响
  • 非常小的吊销状态延迟
  • 对体系结构或网络的影响最低

合格从属

在证书发行机构层次中创建从属 CA 后,父系 CA 可以对其功能进行限制。合格从属也允许使用 Windows .NET Server CA 强大的交叉验证功能。

在 Windows 2000 中,基于默示策略,从属都是合格的。在这种委派模式下,所有从属 CA 的功能都没有限制。Windows XP CA 却具有提供合格从属的功能。

合格从属允许管理员为 CA 证书添加限制。这些限制将转换为已发行的证书中的证书扩展,并在创建最初的证书时添加进去。利用 CMS 数据结构,证书管理协议将随即把它们捆绑到原请求中。之后,将由管理员签发使用 CMS 请求的新证书管理协议。签名证书也可采取类似的限制。这些限制构成了该委派模式的基础。

合格性扩展

下表中列出了可使从属合格的扩展,同时还包含可在 RFC 2459 中找到的参考。

合格性扩展表
扩展的名称 RFC 2459 合格性
名称限制 4.2.1.11 仅 DNS 名(例如:DNS、电子邮件、UPN)
策略 4.2.1.5 指定 CA 可以使用的颁发策略
策略限制 4.2.1.12 仅抑制策略映射
策略映射 4.2.1.6 将发布者的颁发策略映射为对象的颁发策略
基本限制 4.2.1.10 仅限制路径长度
应用程序策略 目前没有 指定 CA 可能发行的应用程序策略

名称限制

“名称限制”限制了 CA 及其从属所允许或不允许的名称的有效范围。Windows .NET PKI 提供有多种进行限制的名称。其中包括:域名系统 (DNS);DNS 名称、Internet 协议 (IP) 地址及电子邮件的名称;通用主要名称 (UPN)。

策略

策略定义了可接受的颁发策略的列表,由对象识别符(也称为 OID)进行识别。所用的对象识别符与实现有关,可能会因应用程序或实现的不同而不同。

策略限制

策略限制定义了是否能映射链中的策略。如果能映射,向哪映射。它们还允许在证书链中强制实施颁发策略。

策略映射

策略映射允许将一个域的策略映射到另一个域的策略上。这是交叉验证的基本组成部分。策略映射还可用于林间的从属。

基本限制

基本限制可限制 CA 层次中路径的长度。这样可以防止一个从属 CA 为另一个从属 CA 签名。

应用程序策略

应用程序策略定义了可以使用或接受的证书。它类似于“扩展密钥用法”的扩展。但是,应用程序策略考虑了可能映射其它策略限制的策略限定符。

通用标准角色分离

Windows .NET 证书服务器需要 CA 中支持通用标准要求的角色分离。角色分离的目的,在于确保没有人能危及 CA 的服务或实施。角色分离也支持任务委派。

请查阅 CA 角色表(在新窗口中打开)。

审核

在 Windows 2000 和 Windows .NET Server 中,CA 数据库用于审核所有 CA 事件。该数据库可提供重大事件和操作的详细资料及历史记录。

审核增强功能

Windows .NET Server CA 在 NT 事件日志中还提供了其它审核增强功能。审核日志生成两种事件:

  • 访问检查
  • 系统事件

系统事件

生成的系统事件主要有 7 种类别:

  • CA 服务
  • 备份和恢复
  • 证书请求
  • 证书吊销
  • CA 安全
  • 密钥存档和恢复
  • CA 配置

安全套接字层 (SSL)

SSL 和传输层协议 (TLS) 服务已进行了几项重大改进,可以提高性能,增加功能。

SSL/TLS 上基于 PKI 的身份验证

版本 2 证书模板、名称限制和自动注册组合在一起,可基于 SSL/TLS 提供功能强大、免于管理、基于 PKI 的身份验证。

利用任何 CA,Windows .NET Server Active Directory 都允许用户的 X.509 证书直接映射到 Active Directory 中的用户帐户上。完成该工作无须导出或导入各个证书,也不用提供用户名和密码。通过 S-channel Security System Provider Interface(S 通道安全系统提供商界面)(SSPI) 进行的证书映射可被诸如 Internet Information Server、Commerce Server、远程访问服务及其它许多应用程序所使用。

无与匹敌的性能,更多 SSL 握手

Windows XP Professional 和 Windows .NET Server 都可提供支持 SSL/TLS 的电子商务 Web 站点,且性能无可匹敌。S 通道的改进扩展了 Windows 2000 可靠的性能,并使 Windows .NET Server 能提供前所未有的软件加密功能。

在单个 750 兆赫兹 (MHz) 的 CPU 上,Windows .NET Server 支持大约每秒 75 次 SSL 握手。对于有更高性能要求的站点,Microsoft 一直在同独立软件供应商 (ISV) 合作伙伴进行密切合作,旨在提供最佳性能的硬件加密。利用可分担加密操作的硬件,运行 Internet Information Server 的 Windows .NET Server 每秒可以处理 550 多个新 SSL 连接,且使用的是经济实惠的双处理器 800-MHz 计算机。

共享 SSL 会话

SSL 会话现在可实现进程间共享,以改进用户的操作性能并支持 Microsoft .NET 应用程序。由于 Web 服务器上负载的减少,您的工作效率将得以提高,而经济上也有意想不到的收益:对于代价较大的 SSL 握手,每个客户只需进行一次(即使服务器收到多个应用程序的请求)。



第5页(共6页):依存
2001年8月24日
为充分利用 Microsoft Windows 中新的 PKI 功能,您需要升级为 Windows XP Professional 客户和 Windows .NET Server 配置。有些基于服务器的 CA 功能只在 Windows .NET Advanced Server 上可用。具体要求将在后面的章节中进行详细说明。

版本 2 模板

若要使用版本 2 模板,必须首先将 Active Directory 架构扩充到目录林中的 Windows .NET Server 架构。

Windows .NET Advanced Server

若要发布版本 2 模板,需要有运行证书服务的 Windows .NET Advanced Server。

Windows .NET Standard Server

运行证书服务的 Windows .NET Standard Server 无法为版本 2 模板发布证书。

Windows XP Professional 客户

Windows 2000 客户不能使用 MMC 来注册版本 2 模板。但是,Windows 2000、Windows 98 和 Windows Millennium Edition (Windows Me) 客户却可使用 Web 注册页来注册版本 2 模板。

密钥存档和恢复

密钥存档和恢复与版本 2 模板是否可用有关:这包括 Windows .NET Server/ Windows XP Professional 架构和作为企业 CA 运行的 Windows .NET Advanced Server。

Windows .NET Advanced Server

密钥存档和恢复过程只能在运行证书服务的 Windows .NET Advanced Server 上进行。

Windows XP Professional 客户

客户必须支持证书管理(使用 CMS)注册协议。Windows 2000 和 Windows Me 客户可通过 Windows .NET Server 企业 CA 上的注册页来使用证书管理(使用 CMS)协议。通过 Web 注册页,Windows 2000 和 Windows Me 客户可做出申请私钥存档的证书请求。

用户自动注册

用户自动注册仅在 Windows XP Professional 客户上可用,且要求 Windows .NET Server 架构域控制器来验证客户。该功能还需要 Windows .NET Advanced Server(作为企业 CA 运行)来支持版本 2 模板。

Delta CRL

Delta CRL 需要 Windows XP Professional 客户和 Windows .NET Server CA。

合格从属

合格的从属(有名称限制)需要 Windows XP Professional 客户和 Windows .NET Server 架构。Windows .NET Server Internet Information Services (IIS) 及支持 PKI 的应用程序服务器在设计主旨上就是最大程度地利用合格从属。

通用标准

通用标准是 Windows .NET Server (CA) 的特有功能,仅在 Windows .NET Advanced Server 上可用。

客户依存

若要使用本文所述的功能,您需要有 Windows XP Professional 客户。该要求的例外之处是版本 2 模板的 Web 注册。

任何 Microsoft Web 客户都可以下载最新版本的 Xenroll.dll ActiveX 控件并注册版本 2 模板。



第4页(共6页):摘要及相关链接
2001年8月24日

摘要

Windows XP Professional 客户和 Windows .NET Server 提供了一些增强功能,几乎可以满足所有希望部署 PKI 结构(或支持 PKI 的应用程序)的用户的要求。灵活的用户证书自动注册、版本 2 证书模板及密钥存档功能,使您可以方便地部署 PKI,且与其它业界解决方案相比成本要低很多。

Windows XP Professional 客户和 Windows .NET Server 支持新的业界标准,允许您在 Windows 平台上利用 PKI 并入某个混杂的环境中。这包括部署公钥技术组件,作为企业对企业和企业对用户解决方案的组成部分。


详细信息

有关 PKI 如何与 Windows XP Professional 及 Windows .NET Server 协同工作的更多信息,请访问下列 Web 页:

阅读全文
0 0

相关文章推荐

img
取 消
img