簡介
對于當(dāng)今的任何一個組織來說,,在 Internet、Extranet,、Intranet 上和在應(yīng)用程序之間交換未保護信息都會產(chǎn)生潛在的安全風(fēng)險,。它們所面臨的挑戰(zhàn)是防止未授權(quán)的第三方監(jiān)聽在 Internet 上傳輸?shù)男畔ⅰ窝b成獲得授權(quán)的人員或干擾組織開展業(yè)務(wù)的能力,。
本文提供的分步向?qū)Э芍谶\行 Microsoft® Windows Server™ 2003 操作系統(tǒng)的網(wǎng)絡(luò)上建立一個公共密鑰證書頒發(fā)機構(gòu) (CA),。可以在運行 Microsoft® Windows Server™ 2003, Standard Edition,、Microsoft® Windows Server™ 2003, Enterprise Edition 或者 Microsoft® Windows Server™ 2003, Datacenter Edition 的服務(wù)器上安裝 CA,。
CA 是一項在公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 中用于頒發(fā)和管理電子憑據(jù)或證書的服務(wù)。公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 由數(shù)字證書,、CA 和其他可通過公鑰加密對電子交易中的各方進行授權(quán)有效性驗證的注冊機構(gòu) (RA) 組成,。有關(guān) PKI 的標(biāo)準(zhǔn)目前還在進一步發(fā)展中,但是作為電子商務(wù)中的一個必要元素目前正在被廣泛應(yīng)用,。許多政府代理機構(gòu)和私人團體都已經(jīng)公布了他們自己的 PKI 標(biāo)準(zhǔn),。在執(zhí)行一個 PKI 體系之前,,應(yīng)向律師咨詢以確保該體系不違反所有相關(guān)的本地、州,、聯(lián)邦政府和國際法律法規(guī),。
Windows Server 2003 PKI 可以與 Microsoft® Windows® XP Professional 的客戶端集成在一起,它有助于組織及其雇員,、合作伙伴,、供應(yīng)商和客戶之間的通信安全。運行 Windows Server 2003 證書服務(wù)的服務(wù)器可將公鑰頒發(fā)給個人,、設(shè)備或服務(wù),。證書持有者 PKI 可采用應(yīng)用激活軟件和激活技術(shù)來啟用中心管理的身份驗證,以確保數(shù)據(jù)機密性和數(shù)據(jù)交換的安全性,。Windows Server 2003 本身支持 PKI 激活技術(shù),,這提供了下列技術(shù)及與之相關(guān)的商業(yè)利益的基礎(chǔ):
| • |
數(shù)字簽名。它建立了非拒絕機制,,即可保證發(fā)送者的真實性的能力,。
|
| • |
智能卡應(yīng)用。為智能卡登錄提供雙因子驗證,。雙因子驗證需要用戶提供一個物理對象(智能卡,,它含有一個存有數(shù)字證書和用戶私人密鑰的芯片)外加一個口令或 PIN 才能訪問網(wǎng)絡(luò)資源。
|
| • |
安全電子郵件,。類似于安全/多用途 Internet 郵件擴展 (S/MIME) 的服務(wù)可以為電子郵件提供保密通信功能,,數(shù)據(jù)完整性和非認(rèn)可機制。
|
| • |
軟件代碼簽名 Authenticode® 技術(shù)使軟件發(fā)行者能夠?qū)θ魏涡问降幕顒觾?nèi)容進行數(shù)字簽名,,包括多文件文檔,。這些簽名可以用來驗證內(nèi)容發(fā)行者的身份和下載時內(nèi)容的完整性。
|
| • |
Internet 協(xié)議安全 (IPSec) 該協(xié)議允許對兩臺計算機之間或公共網(wǎng)絡(luò)上一臺計算機和一個路由器之間的通信進行加密和數(shù)字簽名,。
|
| • |
802.11 協(xié)議可提供集中的用戶標(biāo)識,,身份驗證、動態(tài)密鑰管理和用于接入 802 無線網(wǎng)絡(luò)和無線以太網(wǎng)的帳戶驗證,。
|
| • |
文件系統(tǒng)加密支持文件和文件夾的加密和解密,。
|
| • |
使用安全套接字層 (SSL) 或傳輸層安全性 (TLS) 來保證 Web 連接的安全性這些協(xié)議通過類似 Internet 的公共網(wǎng)絡(luò)上的安全通信信道提供服務(wù)器和客戶端驗證。類似于無線傳輸層安全性 (WTLS) 的無線通信協(xié)議版本可用于加強無線網(wǎng)絡(luò)的安全性,。
|
此外,,在有 Windows Server 2003 PKI 的情況下,還可以利用它將證書服務(wù)和 Active Directory® 目錄服務(wù)和組策略集成在一起,。在 Active Directory 環(huán)境下,,Windows Server 2003 CA 可以使用“證書模板”來控制所頒發(fā)證書的內(nèi)容,其中“證書模板”由 Active Directory 頒發(fā)。證書模板可以定義證書中的信息,,并將證書中的技術(shù)細(xì)節(jié)更透明地傳遞給用戶,,從而達到簡化 CA 使用和管理的目的。根據(jù)組織的需要,,可以使用單一用途模板,,這種模板可以針對特定應(yīng)用生成證書;也可以使用多用途模板,,這種模板可以為多種應(yīng)用生成證書,,甚至可以根據(jù)自定義需要生成新的證書模板。
本文檔所提供的指導(dǎo)內(nèi)容包括如何建立企業(yè)根 CA,、如何使用證書模板來啟用客戶端自動注冊功能,、以及如何為無線用戶創(chuàng)建自動注冊功能。特別地,,可以通過它學(xué)習(xí)如何進行如下操作:
| • |
安裝和配置企業(yè)根 CA,。
|
| • |
驗證 CA 安裝。
|
| • |
安裝證書模板,。
|
| • |
創(chuàng)建自定義證書模板,。
|
| • |
為客戶端自動注冊配置證書模板。
|
| • |
為默認(rèn)證書模板授予注冊權(quán),。
|
| • |
將 CA 配置為基于證書模板頒發(fā)證書,。
|
| • |
為無線用戶建立自動注冊功能。
|
要點:本文檔中的屏幕截圖所示為測試環(huán)境,,其信息可能與屏幕上顯示的信息有差別。
在完成這些步驟之后,,網(wǎng)絡(luò)將會含有企業(yè)根 CA,,同時可以通過證書模板管理單元訪問所有可用的證書模板。此外,,客戶端自動注冊功能在驗證過程中會要求無線用戶使用數(shù)字證書,,這可以加強無線用戶的驗證過程。自動注冊功能可以使用戶幾乎無需理會此要求,,原因使此功能使他們能夠自動請求證書,,重新檢索頒發(fā)證書和更新到期證書??梢酝ㄟ^擴展 PKI 的應(yīng)用來放寬 Windows Server 2003 PKI 為網(wǎng)絡(luò)所提供的保護,,以支持其他應(yīng)用,比如前面提到過的數(shù)字簽名,、IPSec 等,。
要點:該文檔中所含的指導(dǎo)步驟都是從安裝操作系統(tǒng)時的默認(rèn)情況下顯示的“開始”菜單開始的。如果您修改過“開始”菜單,則上述步驟可能稍有不同,。
準(zhǔn)備工作
本節(jié)講述了一個企業(yè) CA 的安裝要求,。在安裝 CA 之前必須滿足所有安裝要求,如果達不到這些要求,,會導(dǎo)致安裝失敗或 CA 功能受限,。
此文檔中的說明假定有一個還沒有進行配置的 PKI 系統(tǒng)。但該文檔中所講的解決方案并不能為附加 Microsoft CA 服務(wù)與現(xiàn)有 PKI 的集成提供指南,。
IT 基礎(chǔ)設(shè)施的先決條件
您的組織必須配有下列 IT 基礎(chǔ)設(shè)施:
| • |
已配置的 Active Directory 域結(jié)構(gòu)(帶 Service Pack 3 (SP3) 的 Microsoft® Windows® 2000 Server 或更高版本,,或 Windows Server 2003)。該解決方案中證書服務(wù)的所有用戶應(yīng)該是同一個 Active Directory 林內(nèi)的域的成員,。這種部署假定使用的是 Windows Server 2003 Active Directory 計劃擴展,。
|
| • |
服務(wù)器硬件要足以運行 Windows Server 2003 證書服務(wù)。“Suggested Hardware Specification for Enterprise Root CA Server”表中提供了一個推薦配置,。
|
| • |
Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的授權(quán)協(xié)議,,安裝媒體和產(chǎn)品密鑰。
下面表格給出了在運行 Windows Server 2003, Standard Edition 的服務(wù)器上可進行的操作,,和在運行 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上所要求的操作,。
|
每一步操作中所需的 Windows Server 2003 操作系統(tǒng)的版本
|
安裝和配置企業(yè)根 CA。
|
Standard Edition
|
|
驗證 CA 安裝,。
|
Standard Edition
|
|
安裝證書模板,。
|
Standard Edition
|
|
創(chuàng)建自定義證書模板。
|
Enterprise Edition 或 Datacenter Edition
|
|
為客戶端自動注冊功能配置證書模板,。
|
Enterprise Edition 或 Datacenter Edition
|
|
為默認(rèn)證書模板授予注冊權(quán),。
|
Standard Edition
|
|
配置 CA 以頒發(fā)基于證書模板的證書。
|
如果需要版本 2 的證書模板則是企業(yè)版,,否則就是標(biāo)準(zhǔn)版,。否則,為 Standard Edition
|
|
為無線用戶建立自動注冊功能,。
|
Enterprise Edition
|
企業(yè) CA 要求
要使用 Windows Server 2003 有效安裝企業(yè) CA,,必須進行如下操作:
| • |
將 Windows Server 2003 Domain Name Service (DNS) 安裝在網(wǎng)絡(luò) DNS 服務(wù)器上。
|
| • |
將 Windows Server 2003 Active Directory 安裝在網(wǎng)絡(luò)的域控制器上,。將企業(yè)策略信息輸入到 Active Directory 內(nèi),。
|
| • |
將企業(yè)根 CA 所在主機連接到 Active Directory 域上。
|
| • |
在 DNS,、Active Directory 和 CA 服務(wù)器上配置有企業(yè)管理員特權(quán),。這一點尤其重要,原因是安裝程序要在不止一個地方修改信息,,其中有些需要管理員特權(quán),。
|
企業(yè)根 CA 只需要一個服務(wù)器就可以創(chuàng)建,。
下表在 Windows Server 2003 建議的基礎(chǔ)上給出了企業(yè)根 CA 服務(wù)器的推薦硬件配置。但是如果硬件在有些方面符合 Build Guide 2-Implementing the Public Key Infrastructure(英文)中略述的標(biāo)準(zhǔn),,則不必再購買新的硬件,。若要了解 Microsoft Server 2003 企業(yè)根 CA 推薦硬件配置的更多信息,可在 TechNet 網(wǎng)站 http://go.microsoft.com/fwlink/?LinkId=22696 上參考“創(chuàng)建指南 2 - 公鑰基礎(chǔ)結(jié)構(gòu)的實施”,。
企業(yè)根 CA 服務(wù)器的推薦硬件配置
|
CPU
|
單 CPU,,733 MHz 或更高
|
|
內(nèi)存
|
256 MB
|
|
硬盤空間
|
IDE (集成電路設(shè)備)或 SCSI (小型計算機系統(tǒng)接口),RAID (獨立硬盤冗余陣列)控制器,。2 x 18 GB (SCSI) 或 2 x 20 GB (IDE) 配置為 RAID 卷 1(驅(qū)動器 C),。
本地可拆卸存儲設(shè)備(用于備份的 CD-RW 或磁帶)和用于數(shù)據(jù)轉(zhuǎn)移的 1.44-MB 磁盤驅(qū)動器。
|
選擇要用的 CA 類型
有些組織使用外部商業(yè) CA,,而其他組織都使用自己的 CA,。由于 CA 是一個組織中最重要的信任點,因此大多數(shù)組織都有自己的 CA,。本文檔假定的組織使用自己的 CA,。
Windows Server 2003 提供兩種級別的 CA,一個是“企業(yè)”CA,,另一個是“獨立”CA,,選擇哪一種取決于安裝過程中使用的策略模塊。策略模塊決定了 CA 收到證書請求時所進行的操作,。
通常,,如果組織為 Windows Server 2003 域的一部分,若對此組織內(nèi)部的用戶或計算機頒發(fā)證書,,應(yīng)安裝企業(yè) CA,。如果組織為 Windows Server 2003 域的一部分,若對此組織外部的用戶或計算機頒發(fā)證書,,應(yīng)安裝獨立 CA,。
企業(yè) CA 要求所有請求證書的客戶端在 Active Directory 中都有一個條目,而獨立 CA 不需要,。此外,在頒發(fā)用于登錄 Windows Server 2003 域的證書時,,企業(yè) CA 比獨立 CA 更簡便,。
在企業(yè) CA 和 獨立 CA 級別內(nèi)部,有兩種類型的 CA,,一個是“根”CA,,另一個是“從屬”CA。根 CA 是組織信任的根基,。在必要的情況下,,根 CA 證書可通過啟用從屬 CA 來實施策略和向終端用戶頒發(fā)證書,。本文檔將向您展示如何安裝和配置沒有從屬 CA 的企業(yè)根 CA。
若要了解企業(yè) CA,、獨立 CA,、根 CA、從屬 CA 和密鑰 PKI 設(shè)計決策的更多信息,,請在 TechNet 網(wǎng)站上參考 MSA Enterprise Design for Certificate Services 的“Determining CA Roles & Types”(英文)主題,,其位置是 http://go.microsoft.com/fwlink/?LinkId=22671。
開始之前需了解內(nèi)容
| • |
Windows Server 2003 中的證書服務(wù)提供了一組 CA Web 頁面,。這些 Web 頁面允許您通過 Web 瀏覽器與 CA 建立連接并執(zhí)行普通任務(wù),,比如向 CA 發(fā)出證書請求、請求 CA 證書,、提交證書請求,、檢索 CA 證書吊銷列表 (CRL),或執(zhí)行智能卡證書注冊操作,。對于獨立 CA,,Web 頁面是證書請求者與 CA 之間的主要接口方式,原因是證書管理單元不能用于從獨立 CA 請求證書,。企業(yè) CA 可通過證書管理單元或 Web 注冊頁面接受證書請求,。
|
| • |
CA 的 Web 接口需要運行 Active Server Pages。在開始工作之前,,可通過 Internet 信息服務(wù) (IIS) 啟用 Active Server Pages,,否則系統(tǒng)會提示您激活它們。
|
| • |
選擇 CA 有效期將決定 CA 證書何時到期或何時需要續(xù)訂,。在低安全性環(huán)境下,,可以采用較長的有效期和續(xù)訂期。在高安全性環(huán)境下,,通常采用較短的有效期和續(xù)訂期,。
|
| • |
CA 服務(wù)器是組織中最敏感的服務(wù)器之一。因此在部署期間和每天的操作期間都必須做好高度的安全計劃,。要對 CA 進行物理訪問限制,,只允許最可信員工管理此服務(wù)器。此外,,務(wù)必完成 Security Guidance Kit 中文檔“Securing Windows Server 2003 Domain Controllers”(英文)提到的步驟,,以確保安裝 CA 服務(wù)器的安全。
|
CA 部署之后哪些內(nèi)容不能更改
| • |
在安裝時需提交的一些基本信息(比如 CA 名稱),,在 CA 安裝完成之后不能再更改,。
|
| • |
在安裝證書頒發(fā)機構(gòu)之后,不能更改計算機的域設(shè)置,,比如:加入一個域或?qū)⒎?wù)器提升為域控制器,。
|
| • |
如果以企業(yè)管理員或委派用戶的身份安裝企業(yè) CA,,則在卸載企業(yè) CA 時必須使用企業(yè)管理員或委派用戶的帳戶。
|
安裝和配置企業(yè)根 CA
證書服務(wù)根的安裝過程會生成一個根 CA 證書,,該證書中含有 CA 的公鑰和由根的私鑰所創(chuàng)建的數(shù)字簽名,。本節(jié)提供了有關(guān)建立企業(yè)根 CA、使用證書模板啟用客戶端自動注冊和建立自動注冊的分步指導(dǎo)信息,。
| • |
安裝和配置企業(yè)根 CA,。
|
| • |
驗證 CA 安裝。
|
| • |
安裝證書模板,。
|
| • |
創(chuàng)建自定義證書模板,。
|
| • |
為客戶端自動注冊配置證書模板。
|
| • |
為默認(rèn)證書模板授予注冊權(quán),。
|
| • |
將 CA 配置為基于證書模板頒發(fā)證書,。
|
安裝和配置企業(yè)根 CA
現(xiàn)在需要以企業(yè)管理員的身份登錄,例如以 Enterprise Admins 組和根域的 Domain Admins 組的成員帳戶登錄,。
要求
| • |
憑據(jù):必須以 Enterprise Admins 組和根域的 Domain Admins 組的成員帳戶登錄,。
|
| • |
工具:Windows 組件向?qū)А?/p>
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成,。
|
| • |
安裝和配置企業(yè)根 CA
|
1.
|
作為 Enterprise Admins 組和根域的 Domain Admins 組的成員登錄,。
|
|
2.
|
單擊“開始”,再單擊“控制面版”,,再單擊“添加和刪除程序”,,然后單擊“添加 Windows 組件”。
|
|
3.
|
在“Windows 組件向?qū)?#8221;中,,選中“證書服務(wù)”復(fù)選框,。然后會出現(xiàn)一個對話框,通知您在證書服務(wù)安裝之后計算機不能被重新命名以及計算機不能加入域或從域中刪除,。單擊“是”,。
注意: 如果要使用證書服務(wù)的 Web 組件,應(yīng)單擊“應(yīng)用服務(wù)器”(但不要選中它的復(fù)選框)以確保“IIS”復(fù)選框已選中,,然后單擊“詳細(xì)信息”,,選中“Internet 信息服務(wù) (IIS)”,然后單擊“確定”,。
單擊“下一步”
|
|
4.
|
在“CA 類型”頁面上,,選擇“企業(yè)根 CA”,然后單擊“下一步”,。
![Windows 組件向?qū)А? src=]()
注意: 私鑰總是存儲在本地服務(wù)器上,除非使用加密硬件設(shè)備,。在公鑰被存放在證書上的情況下,,私鑰被存儲在設(shè)備上,。公鑰位于證書中。
|
|
5.
|
在“CA 信息標(biāo)識”頁面提供適于您的站點和組織的信息標(biāo)識,。
|
1.
|
在“此 CA 的公用名稱”中,,輸入證書頒發(fā)機構(gòu)的公用名稱。
CA 名稱(或公用名稱)很重要,,因為要用它來標(biāo)識在 Active Directory 中創(chuàng)建的 CA 對象,。
|
|
2.
|
在“有效期”中選擇接受5年的默認(rèn)選項,然后單擊“下一步”,,
其中“有效期”是 CA 有效的時間,,即安全和管理之間的權(quán)衡。請記住,,在每次根證書到期的時候,,管理員必須更新所有信任關(guān)系,并要采取一些管理性步驟把 CA 轉(zhuǎn)移到新的證書上,。在大多數(shù)企業(yè)環(huán)境中,,通常的時間期限是 5 年或更多,但是要符合正式的 IT 策略和程序,。同時向您的律師咨詢,,以確保 CA 配置符合所有法律要求。
![Windows 組件向?qū)А? src=]() |
|
|
6.
|
在“證書數(shù)據(jù)庫設(shè)置”頁面,,單擊“下一步”接受證書數(shù)據(jù)庫的默認(rèn)存儲路徑和證書數(shù)據(jù)庫日志,,然后確認(rèn)“將配置信息存儲在共享文件夾內(nèi)”沒有選中。
注意: 安裝程序可能會給出“不能創(chuàng)建共享文件夾”的警告信息,,這是預(yù)料中的,,因為所有網(wǎng)絡(luò)接口都已禁用。安全的做法是忽略這一警告,,繼續(xù)進行后面的操作,。此外一定要將證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志存儲在本地 NTFS 驅(qū)動器上。
![Windows 組件向?qū)? src=]() |
|
7.
|
如果 IIS 正在運行,,將會有信息提示您停止該設(shè)備,。單擊“是”停止 IIS。必須在 Web 組件安裝之前停止 IIS,。
注意: 如果沒有安裝 IIS,,則不會顯示該消息,Web 注冊也不可用,,除非已安裝 IIS,。
然后,可選組件管理器將安裝證書服務(wù)組件,。如果需要 Windows Server 2003 安裝媒體 (CD),,請將 Windows Server 2003 產(chǎn)品 CD 插到 CD 驅(qū)動器中,。
|
|
8.
|
單擊“確定”完成安裝。單擊“完成”關(guān)閉向?qū)А?/p>
|
|
安裝 CA 后,,請將證書模板添加到 CA 中,,并對 CA 進行配置以允許主題能夠請求基于模板的證書。
注意:如果自己建議或者計劃采用指南中的建議來加強組織內(nèi)域控制器的安全性,,需要修改域的組策略設(shè)置以啟用證書服務(wù),。若要了解完成此項任務(wù)的更多信息,請在 Security Guidance Kit 中參考文檔“Securing Windows Server 2003 Domain Controllers”(英文),。
驗證 CA 安裝
驗證 CA 安裝是否成功的最簡單的方法是輸入 net start ,,看 CA 是否運行。
如要進一步驗證或要處理中間出現(xiàn)的故障錯誤,,還可以在 systemroot\certocm.log 中查看 CA 安裝日志,。
還可以采用以下的步驟
要求
| • |
憑據(jù):必須以 Enterprise Admins 組和本地管理員組的成員帳戶在運行 CA 的計算機上登錄。
|
| • |
工具:CA 管理單元,。
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition,、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成。
|
| • |
驗證根 CA 已正確安裝
|
1.
|
單擊“開始”,,再單擊“控制面版”,,然后單擊“管理工具”,然后再單擊“證書頒發(fā)機構(gòu)”,。
|
|
2.
|
確認(rèn)“證書服務(wù)”已啟動,,然后可以查看 CA 的屬性。還可以查看用選中標(biāo)記列出的 CA,。
|
|
3.
|
用右鍵單擊 CA,,然后單擊“屬性”。
|
|
4.
|
在“常規(guī)”選項卡上選中“CA 證書”列表中的 Certificate #0 ,,然后單擊“查看證書”,。
|
|
5.
|
單擊 CA 證書中的“詳細(xì)信息”選項卡,然后驗證顯示的值與以下表中的值是否相匹配,。
證書詳細(xì)信息默認(rèn)設(shè)置
|
版本
|
V3
|
|
頒發(fā)者
|
應(yīng)當(dāng)與“主題”相同,,并且顯示整個 CA 公共名稱和安裝過程中提供的唯一的名稱后綴。
|
|
有效期起始時間
|
安裝企業(yè) CA 根服務(wù)器的日期,。
|
|
有效期至
|
安裝企業(yè) CA 根服務(wù)器的日期外加5年,。
|
|
主題
|
要和“頒發(fā)者”一致,要顯示整個 CA 公共名稱,,外加安裝過程中提供的可分辨名稱后綴,。
|
|
公鑰
|
RSA (2048 Bits)
|
|
基本約束條件
|
Subject Type =CA
Length Constraint=None
|
注意: 基本約束條件主題類型的存在非常重要。該值可將 CA 證書與最終實體證書區(qū)分開來,此外,,不應(yīng)列出任何 CDP 或 AIA 的擴展名,。
如果前面的值不是預(yù)期的,可以重新啟動證書服務(wù)的安裝程序,。
如果需要重新運行證書服務(wù)的安裝程序,則會收到私鑰已存在的警告,。如果確定沒有用該密鑰頒發(fā)任何證書,,可以安全地忽略它,重新生成一個新密鑰,。如果 CA 已經(jīng)頒發(fā)證書(除測試證書之外),,不能重新安裝證書服務(wù)直到安全備份完早期密鑰和證書為止。
要了解有關(guān) CDP 或 AIA 擴展名或早期密鑰和證書的更多信息,,請在 TechNet 網(wǎng)站上參考 Operations Guide 2 - Managing the Public Key Infrastructure(英文),,其位置是 http://go.microsoft.com/fwlink/?LinkId=22675;或在 TechNet 網(wǎng)站上參考 Windows Server 2003 PKI Operations Guide(英文),,其位置是 http://go.microsoft.com/fwlink/?LinkId=22673,。
|
|
6.
|
單擊“確定”兩次,然后關(guān)閉 CA,。
|
|
安裝證書模板
該步驟將向您演示如何安裝和查看默認(rèn)證書模板,。若要了解每個默認(rèn)證書模板的說明,請在 TechNet 網(wǎng)站上參考 Implementing and Administering Certificate Templates in Windows Server 2003 的“Default Templates”(英文)主題,,其位置是 http://go.microsoft.com/fwlink/?LinkId=22669,。
要求
| • |
憑據(jù):必須以 Enterprise Admins 組和根域的 Domain Admins 組的成員帳戶登錄。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition,、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成,。
|
| • |
安裝和查看默認(rèn)證書模板。
|
1.
|
單擊“開始”,,再單擊“運行”,,然后在“運行”對話框中輸入 certtmpl.msc,然后單擊“確定”,。
|
|
2.
|
如果是第一次在 CA 上運行證書模板管理單元,,將會收到需要安裝證書模板的提示消息,每一個消息都單擊“是”,。
|
|
3.
|
在控制臺樹上單擊“證書模板”,。所有證書模板都將顯示在詳細(xì)信息窗格內(nèi)。
![certtmpl - [Certificate Templates]](http://image6.360doc.com/DownloadImg/2009/12/3012/2083882_4.jpg) |
|
4.
|
關(guān)閉“證書模板”,。
|
|
創(chuàng)建自定義證書模板
證書模板允許對證書服務(wù)所頒發(fā)的證書(包括證書的頒發(fā)方式和所含內(nèi)容)進行自定義,。證書模板是對傳入的證書請求所應(yīng)用的一組規(guī)則和設(shè)置。
可通過復(fù)制現(xiàn)有模板或使用現(xiàn)有模板屬性作為新模板的默認(rèn)屬性,來創(chuàng)建新的證書模板,。通過復(fù)制與所需要的新模板最接近的現(xiàn)有證書模板,,可以大幅減少工作量。
要求
| • |
憑據(jù):必須以 Enterprise Admins 組的成員帳戶登錄,。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition,、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成。
|
| • |
利用現(xiàn)有模板創(chuàng)建自定義模板
|
1.
|
單擊“開始”,,再單擊“運行”,,然后在“運行”對話框中輸入 certtmpl.msc ,然后單擊“確定”,,打開“證書模板”,。
|
|
2.
|
在詳細(xì)信息窗格上,右鍵單擊要復(fù)制的模板,,然后單擊“復(fù)制模板”
|
|
3.
|
為證書輸入一個新名稱,。
|
|
4.
|
進行所要的改動然后單擊“確定”。新模板將在底部列表中出現(xiàn)并在“自動注冊”欄顯示“已允許”,。
|
|
5.
|
關(guān)閉“證書模板”,。
|
|
為客戶端自動注冊配置證書模板
在 Windows XP 和 Windows Server 2003, Enterprise Edition 中,自動注冊是一個非常有用的證書服務(wù)功能,。有了自動注冊,,就可以將客戶端配置為在無需客戶端參與的情況下自動注冊證書、檢索頒發(fā)的證書和更新到期證書,??蛻舳瞬恍枰私庾C書的任何操作,除非您將證書模板配置為需要與客戶端交互,。
本節(jié)講述了修改證書模板的一種方法:客戶端自動注冊,。若要了解有關(guān)自動注冊的更多信息,請在 TechNet 網(wǎng)站上參考 Certificate Autoenrollment in Windows Server 2003(英文),,其位置是 http://go.microsoft.com/fwlink/?LinkId=22668,。
要正確配置客戶端自動注冊功能,需對證書模板或要采用的模板進行適當(dāng)?shù)挠媱?。證書模板中的幾個設(shè)置會直接影響客戶端注冊的行為,。
要求
| • |
憑據(jù):必須以 Enterprise Admins 組的成員帳戶登錄。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition,、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成,。
|
| • |
為客戶端自動注冊配置證書模板
|
1.
|
單擊“開始”,再單擊“運行”,,然后在“運行”對話框中輸入 certtmpl.msc ,,然后單擊“確定”。
|
|
2.
|
在“證書模板”的詳細(xì)信息窗格中,右鍵單擊剛創(chuàng)建好要進行自動注冊功能配置的證書模板,,然后單擊“屬性”,。
|
|
3.
|
在“安全”選項卡要進行自動注冊功能配置的“組或用戶名稱”列表中單擊用戶,計算機或組,。
如果用戶,,計算機或組的名稱不在“安全”選項卡中,單擊“添加”,。在“選擇用戶,、計算機或組”對話框中輸入要添加的名字,然后單擊“確定”,。
|
|
4.
|
在“ObjectName 權(quán)限”列表中,在“允許”列下方,,選中“讀取”,、“注冊”和“自動注冊”復(fù)選框,然后單擊“應(yīng)用”,。對每個要配置自動注冊功能的用戶,、計算機或組,重復(fù)步驟 3 和 4,,然后單擊“確定”,。
|
|
5.
|
關(guān)閉“證書模板”。
|
|
為默認(rèn)證書模板授予注冊權(quán)
此步驟將配置在“為客戶端自動注冊配置證書模板”步驟中已被自動注冊的客戶端要使用的默認(rèn)模板,。
要求
| • |
憑據(jù):必須以 Enterprise Admins 組的成員帳戶登錄,。
|
| • |
工具:證書模板 (certtmpl.msc)
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成,。
|
| • |
允許客戶端請求基于模板的證書
|
1.
|
單擊“開始”,,再單擊“運行”,然后在“運行”對話框中輸入 certtmpl.msc ,,然后單擊“確定”,。
|
|
2.
|
在“證書模板”的詳細(xì)信息窗格中,右鍵單擊剛創(chuàng)建好要更改的證書模板,,然后單擊“屬性”,。
|
|
3.
|
在“安全”選項卡添加所要的組、計算機或用戶,。
|
|
4.
|
在“組或用戶名”中,,單擊其中某個新對象,然后在“ObjectName 權(quán)限”列表 中,,在“允許”列下方,,選中“讀取”、“注冊”和“自動注冊”復(fù)選框。
|
|
5.
|
對每個新對象都重復(fù)上面的步驟,。
|
|
注意:若要禁止主題請求基于模板的證書,,請采用此過程中同樣的步驟清除“讀取”和“注冊”復(fù)選框。
配置 CA 以頒發(fā)基于證書模板的證書
此步驟向 CA 添加將由該 CA 頒發(fā)的新證書模板,。
要求
| • |
憑據(jù):必須在運行證書服務(wù)的計算機上以本地管理員組的成員帳戶登錄,。
|
| • |
工具:CA 管理單元。
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition,、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成,。
|
| • |
向 CA 添加證書模板
|
1.
|
單擊“開始”,再單擊“控制面版”,,然后單擊“管理工具”,,然后再單擊“證書頒發(fā)機構(gòu)”。
|
|
2.
|
擴展企業(yè)根 CA,。
|
|
3.
|
右鍵單擊“證書模板”容器,,單擊“新建”,然后單擊“要頒發(fā)的證書模板”,。
|
|
4.
|
在“啟用證書模板”對話框中,,選中要在該 CA 上啟用的證書模板,然后單擊“確定”,。已啟用的證書模板將在證書模板容器中出現(xiàn),。
|
|
5.
|
關(guān)閉 CA。
|
|
從 CA 刪除證書模板
在定義和配置完計劃采用的證書模板之后,,最佳做法是將不用的證書模板全部從 CA 上刪除,。刪除證書模板只是斷開與 CA 的連接,而不是將它從證書模板存儲中物理刪除,。如果將來需要將證書模板刪除,,可重復(fù)“安裝證書模板”中的步驟以執(zhí)行該任務(wù)。
要求
| • |
憑據(jù):必須以 Enterprise Admins 組的成員帳戶登錄,。
|
| • |
工具: CA 管理單元,。
|
| • |
此任務(wù)只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成,。
|
| • |
從 CA 刪除證書模板
|
1.
|
單擊“開始”,,再單擊“控制面版”,然后單擊“管理工具”,,然后再單擊“證書證書頒發(fā)機構(gòu)”,。
|
|
2.
|
展開企業(yè)根 CA。
|
|
3.
|
右鍵單擊“證書模板”容器,。
|
|
4.
|
在詳細(xì)信息窗格中,,右鍵單擊要從 CA 中清除的證書模板,,然后單擊“刪除”。
|
|
5.
|
在“禁用證書模板”對話框中單擊“是”,。
證書模板不再出現(xiàn)在詳細(xì)信息窗格中,。
|
|
證書服務(wù)實現(xiàn)示例:為無線用戶建立自動注冊功能
要將服務(wù)器配置為提供用戶和計算機證書的自動注冊功能,請執(zhí)行以下操作:
| • |
為無線用戶創(chuàng)建證書模板,。
|
| • |
為客戶端自動注冊配置證書模板,。
|
| • |
配置 CA 以頒發(fā)基于證書模板的證書。
|
要求
| • |
憑據(jù):必須以 Enterprise Admins 組的成員帳戶登錄,。
|
| • |
工具:證書模板 (certtmpl.msc) 管理單元和 CA 管理單元,。
|
| • |
此示例中的任務(wù)只能在運行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服務(wù)器上完成,。
|
為無線用戶創(chuàng)建證書模板
| • |
為無線用戶創(chuàng)建證書模板
|
1.
|
單擊“開始”,,再單擊“運行”,然后在“運行”對話框中輸入 certtmpl.msc ,,然后單擊“確定”,。
|
|
2.
|
在“證書模板”的詳細(xì)信息窗格中,單擊“用戶”模板,。
|
|
3.
|
在“操作”菜單中,單擊“復(fù)制模板”,。
|
|
4.
|
在“新模板屬性”頁面的“常規(guī)”選項卡上,,在“模板顯示名”框中,輸入“無線用戶證書模板”,。
 |
|
5.
|
單擊“應(yīng)用”繼續(xù)下一步操作,。
|
|
為客戶端自動注冊配置證書模板
| • |
為客戶端自動注冊配置證書模板
|
1.
|
在“無線用戶證書模板屬性”頁面的“常規(guī)”選項卡上,確保“在 Active Directory 中發(fā)布證書”復(fù)選框被選中,。
|
|
2.
|
單擊“安全”選項卡,。
|
|
3.
|
在“組或用戶名”列表上單擊“域用戶”。
|
|
4.
|
在“域用戶權(quán)限”列表的“允許”列下方,,選中“讀取”,、“注冊”和“自動注冊”復(fù)選框。
 |
|
5.
|
單擊“主題名稱”選項卡,,清除“在接受方名稱中所含電子郵件名”和“電子郵件名稱”,,然后單擊“確定”。
要點: 在此示例中,,出于實驗?zāi)康?,沒有在 Active Directory 用戶和計算機管理單元中為 WirelessUser 帳戶輸入電子郵件名稱,所以這兩個選項都被禁用,。為了自動注冊要分發(fā)給客戶端的用戶證書,,您需要輸入 WirelessUser 帳戶的電子郵件地址,,或者不選中這兩個電子郵件框。
|
|
6.
|
單擊“確定”,,然后關(guān)閉“證書模板”,。
|
|
配置 CA 以頒發(fā)基于證書模板的證書
| • |
配置 CA 以頒發(fā)基于證書模板的證書
|
1.
|
單擊“開始”,指向“所有程序”再指向“管理工具”,,然后單擊“證書頒發(fā)機構(gòu)”,。
|
|
2.
|
在控制臺樹上展開企業(yè)根 CA,然后單擊“證書模板”,。
 |
|
3.
|
在“操作”菜單上,,指向“新建”,然后單擊“要頒發(fā)的證書”,。
|
|
4.
|
如果需要,,請向下滾動,然后選中“無線用戶證書模板”,。
 |
|
5.
|
單擊“確定”,。
|
|
6.
|
單擊“開始”,指向“所有程序”,,再指向“管理工具”,,然后單擊“Active Directory 用戶和計算機”。
|
|
7.
|
如果需要,,請在控制臺樹上雙擊“Active Directory 用戶和計算機”,,然后右鍵單擊 Contoso.com 域,然后單擊“屬性”,。
|
|
8.
|
在“組策略”選項卡上,,單擊“默認(rèn)域策略”,然后單擊“編輯”,,這將打開組策略對象編輯器管理單元,。
|
|
9.
|
在控制臺樹上展開“計算機配置”、“Windows 設(shè)置”,、“安全設(shè)置”,、“公鑰策略”,然后單擊“證書自動請求設(shè)置”,。
 |
|
10.
|
右鍵單擊“證書自動請求設(shè)置”,,指向“新建”,然后單擊“自動證書請求”,。
|
|
11.
|
在“歡迎使用證書自動請求安裝向?qū)?#8221;頁面上,,單擊“下一步”。
|
|
12.
|
在“證書模板”頁面上,,單擊“計算機”,,然后單擊“下一步”,。
![證書自動請求安裝向?qū)?src="http://pubimage.360doc.com/wz/default.gif"]() |
|
13.
|
在“證書自動請求安裝向?qū)瓿?#8221;頁面上,單擊“完成”,。然后“計算機”證書類型會在組策略對象編輯器管理單元的詳細(xì)信息窗格中顯示,。
 |
|
14.
|
如果需要,請在控制臺樹中向下滾動,,然后展開“用戶配置”,、“Windows 設(shè)置”、“安全設(shè)置”和“公鑰策略”,。單擊“公鑰策略”,。
|
|
15.
|
在詳細(xì)信息窗格中,雙擊“自動注冊設(shè)置”,。
|
|
16.
|
單擊“自動注冊證書”,,選中“續(xù)訂到期證書,更新未決證書和刪除吊銷的證書”復(fù)選框,,然后選中“更新使用證書模板的證書”復(fù)選框,,然后單擊“確定”。
|
|
17.
|
關(guān)閉組策略對象編輯器和 Active Directory 用戶和計算機,。
|
|
當(dāng)已升級的默認(rèn)域組策略對象有效的時候,,客戶端必須重啟計算機,然后通過一個允許使用新組策略設(shè)置的有線連接和一個要頒發(fā)的證書登錄,。需通過客戶端計算機的證書管理單元來對證書進行驗證,,以查看用戶和計算機的個人證書存儲。
如需了解有關(guān)無線網(wǎng)絡(luò)選項的更多信息,,請參考 Microsoft 網(wǎng)站上的 Microsoft Solution for Securing Wireless LANs(英文),,位置為 http://go.microsoft.com/fwlink/?LinkId=22676,。
相關(guān)信息
有關(guān)創(chuàng)建企業(yè)根 CA 的更多信息,,請參考以下內(nèi)容:
有關(guān)公鑰基礎(chǔ)結(jié)構(gòu)以及如何在中小型企業(yè)配置和管理 CA 的更多信息,請參考以下內(nèi)容:
|
