设为首页 收藏本站
查看: 1102|回复: 0

Windows 2008之PKI实战1:管理

[复制链接]

尚未签到

发表于 2015-5-1 12:00:49 | 显示全部楼层 |阅读模式
Microsoft PKI 在Windows Server 2008中做了很多改进,并增加了许多功能,这些功能中的首要的就是证书生命周期管理,尤其关于计算机和用户证书的自动注册。在Windows Server 2008中,通过使用证书漫游新特性来实现了证书生命周期管理的增强。我们将在后面描述这一特性。   对开发人员来说一个更通用的实践是将PKI基础结构和公司的商业应用紧密联系起来。一个很好的例子就是公司在寻找将智能卡或强身份认证集成到它自己拥有的软件当中。新的证书注册应用程序接口允许该功能更平滑地被集成。
  在服务器端,对于可用性来说增强体现在管理和部署证书服务方面。在证书吊销方面也有显著的增强,尤其是吊销检查方面。
  实例环境
  下面我们举例进行说明:
  我们使用一台名称为SEA-DC-01的服务器,它是域控制器、DNS服务器,接着我们将演示如何安装活动目录证书服务角色。如图1所示:
  
DSC0000.jpg

  
演示Windows Server 2008中的PKI
  Windows Server 2008包含添加角色向导。添加角色向导不仅可以用来安装角色,它也包含角色的配置。为了让角色正常工作而必须被执行的关键配置任务是向导的一部分。展现在添加角色向导中的所有的配置在缺省情况下是安全的,对IT专家来说有默认的智能优化。我们第一步是要打开服务器管理器。服务器管理器显示所有不同的角色从细节方面。目前,活动目录域服务和DNS服务器角色被配置。我们今天要添加的是证书服务。首先我们需要添加IIS角色。
  作为一个最佳实践,我们应该始终为管理员指派一个强密码,设置一个静态IP,并确保操作系统应用了最新的安全更新。
  我们将选择活动目录证书服务,如图2所示。我们的向导将显示个性化的步骤根据我们要增加的角色。
DSC0001.jpg

  
接下来我们可以浏览活动目录证书服务,访问其他基于Windows Server 2008的公钥基础架构的部署和管理信息。
  我们看到证书服务器包含了不同的角色服务。如图3所示。因为我们将使用网络注册,所以我们也必须要增加IIS服务器角色。
  
DSC0002.jpg

  
公钥基础架构由多个组件组成,包含证书、证书吊销列表和证书授权机构或CAs。在大多数情况下,那些依赖X.509证书的应用程序,比如安全 / 多用途 Internet 邮件扩展(S/MIME),安全套接字层、加密文件系统和智能卡,都要求验证证书的状态在执行认证、签名或加密操作的时候。有多种方法可以验证证书吊销状态,最通用的机制是CRLs、增量CRL和联机证书状态协议或OCSP。我们将添加OCSP协议。
  CA能够被安装为企业或独立服务器。它们之间的区别是目录服务是否用于简化管理、发布或证书管理。如图4所示。
  
DSC0003.jpg

  
我们需要该服务器是根CA,因为我们没有其他CAs 来获得密钥。如图5所示。

DSC0004.jpg

  
由于这是一个新的安装,我们将创建一个新的私有密钥被我们的CA使用。该服务器将使用该密钥来生成和颁发证书给用户。如图6所示。
  

  
对于加密服务提供者(CSP)和哈希算法来说有很多选项可以进行选择。缺省的选项被设置为RSA Microsoft Software Key Storage Provider和2048位加密的SHA1 算法。如图7所示。
DSC0005.jpg

  
我们为该CA使用缺省名称。如图8所示。
DSC0006.jpg
每个证书都有一个有效期。在有效期结束以后,证书将不在被认为是可接受或可用的凭据。您可以通过使用您以前使用过的相同密钥或使用一个新密钥集来更新该证书。我们为该设置使用缺省值。如图9所示。
DSC0007.jpg
CA的数据和日志文件位置也能够被更改在安装的时候。如图10所示。
DSC0008.jpg
因为IIS是一个依赖的服务,因此在该演示中也需要安装,我们也需要配置它。我们不需要配置任何特殊的选项在IIS的安装中,如图11所示,因此我们能够使用缺省的设置进行到最后的页面。
DSC0009.jpg
为了回顾该角色的安装选项的小结,我们可以点击打印、e-mail 或保存该链接。这将打开一个Windows Internet Explorer 窗口来现实所有的信息。如图12所示。
  

DSC00010.jpg
我们现实开始安装。如图13所示。当安装结束后,我们的服务器将有能力指派和管理用户证书和密钥。
   DSC00011.jpg
  
   介绍凭据管理服务   我们将介绍凭据管理服务。这些特性能够被分为客户端和服务器角色。
  客户端证书服务由自动注册和凭据漫游组成。自动注册不是新特性,但是在Windows Vista 和Windows Server 2008中它的架构被重新设计用来增强安全性。
  凭据漫游是Windows Server 2003 SP1中引入的新功能,现在是Windows Vista 和Windows Server 2008的一个组成部分。
  服务器端包括活动目录证书服务器角色。首先,我们有委派注册代理,它定义特定的注册权限。
  最后,我们有集成网络设备注册服务,它是用于硬件设备简单证书注册协议的微软部署。
  在Windows中,自动注册并不是一个真正的新组件,但是它已经的架构被重新改写用于减少攻击面。
  

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-62522-1-1.html 上篇帖子: Windows Server 2008 系统上c#读取Excel遭遇“用户代码未处理 ComException”错误 下篇帖子: Windows 7 x64/Windows 2008 : The ‘Microsoft.Jet.OLEDB.4.0′ provider is not regis
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表