管理证书的主要目标之一是提高企业的安全级别其中身份验证和访问权管理都应该加以重视在本文中我们首先将简要地概括CA的定义然后将重点探讨Windows Server 与专业证书监测工具(PKIViewmsc和 certutilexe等)结合应用的问题对于企业而言非常有必要弄清楚证书是如何影响企业安全状态以及证书是否有效或者需要维护(如替换)等问题因为过期的证书表明企业安全状况很差很容易招致攻击另外也表明企业没有及时更新证书没有例行维护没有实时状态警报或者邮件提示本文将探讨在Windows Server 中使用证书的重要性以及如何监测证书情况 证书和安全 安全不是一个小问题事实上基础设施的方方面面都需要考虑安全问题从最基本的LAN到Web服务器如何通过SSL(Secure Sockets Layer安全套接字层)允许外部用户访问web网页等都需要安全保护并且安全的各个方面都要加以重视特别是当部署CA或者PKI(公钥基础设施)的时候当然安全带来的好处也是不言而喻的提升企业网络和系统的安全状态能够保护企业免受各种攻击和安全威胁的困扰Windows Server 的安全性可以通过很多不同的方式来实现包括使用安全证书不同形式加密以及Windows Server 中的工具包和各种功能等你也可以使用Add Role Wizard在Windows Server 中配置CA 安装ADCS 用户可以通过运行Add Roles Wizard来安装和配置Certificate Services证书服务通过删除Server Roles列表的Active Directory Certificate Services (ADCS)让Windows Server 充当CA或者说Certificate Authority(证书授权中心)ADCS是用来创建CA或者证书授权中心以为不同的应用程序发布和管理证书 图配置Active Directory Certificate Services 你会发现很多基于Windows的安全服务都能与ADCS结合应用要想监测证书你必须弄清楚哪些需要监测下面我们将讨论公钥基础设施 什么是PKI? 当企业开始使用智能卡IpsecSSL(Secure Sockets Layer安全套接字层)数字签名加密文件系统(EFS)或者其他依赖于专业加密级别的技术时企业都需要建立一个加密和身份验证的公共系统PKI或者也称公共密钥基础设施是用来确保所有使用同一系统的人能够进行验证来访问系统使用PKI可以让验证实体通过电子证书来完成身份验证电子证书其实就是电子版的证明文件它可以帮助客户端通过证书来验证主机的身份最常见的使用证书系统的技术是SSLSSL通过验证用户身份来安全传输数据而在PKI中使用证书是为了保护数据安全和管理企业内部及外部资源的访问验证机制证书授权中心是公共密钥基础设施的一部分CA负责验证证书发布证书以及证书吊销等从最低限度来看任何使用微软Active Directory Certificate Services (ADCS)的企业至少拥有一个证书授权中心以进行证书发布和吊销有的企业也会部署一个以上的证书授权中心另外CA既可以部署在公司内部也可以部署在外部并且可以设置不同的级别root CA或者仅发布证书的CA有很多种部署CA的方式企业最好先了解自己的需求再开始部署 使用证书监控工具 Windows Server 中有两个重要的实用的证书监控工具那就是PKIViewmsc 和复杂的certutilexe工具 PKIViewmsc 使用PKIViewmsc工具的时候用户需要为PKI打开MMC这个命令将会启动PKI Health工具以确保对所有与现有PKE相关的活动和状况进行监控PKIView 同样还会监控Authority Information Access (AIA)以及CRL distribution (CDP) 扩展功能以保证监控服务顺利进行不会出现中断PKIViewmsc最开始出现在Windows Server Resource Kit中你可以从微软官网下载并安装PKIView可以帮助用户查看PKI的状态监测PKI的整个活动还有多种视觉的指示器帮助用户全方位地了解PKI的情况例如绿色标志显示PKI状态良好而黄色警告标志则说明证书或者证书吊销列表(CRL)已经快过期红色错误标志表明CRL或者Authority Information Access (AIA)位置不可用同时还可以指示CA不可信赖 注意 PKIView最开始是Windows Server Resource Kit的一部分也被称为PKI Health工具新版本(原本是MMC模块)已经是该操作系统的一部分新版本同样支持 Unicode certutilexe 验证工具(certutilexe)命令可以通过两个参数来判断签发的证书的有效性 certutilverify–urlfetch 使用–verify –urlfetch文件名可以让用户看到每个证书URL的输出如果成功验证会显示verified输出如果失败则会显示错误输出 certutilviewstore –viewstore输出可以让用户查看特定Active Directory Domain Services 存储或者对象的内容这能让用户选择查看所有存储中的证书情况 如果certutil命令不能正确执行或者你没有证书都会获得错误提示信息 CRL检查是证书监测的重要功能也是主要功能显然你不希望在证书被替换或者升级前出现证书过期的情况CRL或者又称为证书吊销列表正如其名指的是那些需要被吊销的证书的列表CRL检查是为了查看证书是否有效这个工具是确保证书有效性的重要工具使用该工具有着重要的意义因为certutilexe将会检查CA的CRL而 Certificate MMC SnapIn 则不会检查证书的CRL 使用certreq Certreq可以用于请求证书你可以使用 certreq来查询CA并为证书创建新的请求 本文中我们讨论了Windows Server 与专业证书监测工具(PKIViewmsc和 certutilexe等)结合应用的问题以及监控工具的使用等我们同时还讨论了 PKIViewmsc控制台和certutilexe工具命令行的用法希望可以对网友的企业IT管理有所帮助 |