管理证书的主要目标之一是提高企业的安全级别,其中身份验证和访问权管理都应该加以重视。在本文中我们首先将简要地概括CA的定义,然后将重点探讨Windows Server 2008与专业证书监测工具(PKIView.msc和 certutil.exe等)结合应用的问题。对于企业而言,非常有必要弄清楚证书是如何影响企业安全状态以及证书是否有效或者需要维护(如替换)等问题。因为过期的证书表明企业安全状况很差,很容易招致攻击,另外也表明企业没有及时更新证书,没有例行维护,没有实时状态警报或者邮件提示。本文将探讨在Windows Server 2008中使用证书的重要性,以及如何监测证书情况。
证书和安全
安全不是一个小问题。事实上,基础设施的方方面面都需要考虑安全问题,从最基本的LAN到Web服务器如何通过SSL(Secure Sockets Layer,安全套接字层)允许外部用户访问web网页等都需要安全保护。并且,安全的各个方面都要加以重视,特别是当部署CA或者PKI(公钥基础设施)的时候。当然,安全带来的好处也是不言而喻的,提升企业网络和系统的安全状态能够保护企业免受各种攻击和安全威胁的困扰。Windows Server 2008的安全性可以通过很多不同的方式来实现,包括使用安全证书、不同形式加密以及Windows Server 2008中的工具包和各种功能等,你也可以使用Add Role Wizard在Windows Server 2008中配置CA。
安装ADCS
用户可以通过运行Add Roles Wizard来安装和配置Certificate Services证书服务。通过删除Server Roles列表的Active Directory Certificate Services (ADCS),让Windows Server 2008充当CA或者说Certificate Authority(证书授权中心),ADCS是用来创建CA或者证书授权中心以为不同的应用程序发布和管理证书。
图1:配置Active Directory Certificate Services
你会发现很多基于Windows的安全服务都能与ADCS结合应用,要想监测证书,你必须弄清楚哪些需要监测。下面,我们将讨论公钥基础设施。
什么是PKI?
当企业开始使用智能卡、Ipsec、SSL(Secure Sockets Layer,安全套接字层)、数字签名、加密文件系统(EFS)或者其他依赖于专业加密级别的技术时,企业都需要建立一个加密和身份验证的公共系统。PKI,或者也称公共密钥基础设施,是用来确保所有使用同一系统的人能够进行验证来访问系统。使用PKI可以让验证实体通过电子证书来完成身份验证,电子证书其实就是电子版的证明文件,它可以帮助客户端通过证书来验证主机的身份。最常见的使用证书系统的技术是SSL,SSL通过验证用户身份来安全传输数据,而在PKI中使用证书是为了保护数据安全和管理企业内部及外部资源的访问验证机制。证书授权中心是公共密钥基础设施的一部分,CA负责验证证书、发布证书以及证书吊销等。从最低限度来看,任何使用微软Active Directory Certificate Services (ADCS)的企业至少拥有一个证书授权中心以进行证书发布和吊销,有的企业也会部署一个以上的证书授权中心。另外,CA既可以部署在公司内部也可以部署在外部,并且可以设置不同的级别,root CA或者仅发布证书的CA。有很多种部署CA的方式,企业最好先了解自己的需求再开始部署。
使用证书监控工具
Windows Server 2008中有两个重要的实用的证书监控工具,那就是PKIView.msc 和复杂的certutil.exe工具。
PKIView.msc
使用PKIView.msc工具的时候,用户需要为PKI打开MMC。这个命令将会启动PKI Health工具以确保对所有与现有PKE相关的活动和状况进行监控。PKIView 同样还会监控Authority Information Access (AIA)以及CRL distribution (CDP) 扩展功能以保证监控服务顺利进行不会出现中断。PKIView.msc最开始出现在Windows Server 2003 Resource Kit中,你可以从微软官网下载并安装。PKIView可以帮助用户查看PKI的状态,监测PKI的整个活动。还有多种视觉的指示器帮助用户全方位地了解PKI的情况。例如,绿色标志显示PKI状态良好,而黄色警告标志则说明证书或者证书吊销列表(CRL)已经快过期,红色错误标志表明CRL或者Authority Information Access (AIA)位置不可用,同时还可以指示CA不可信赖。
注意:
PKIView最开始是Windows Server 2003 Resource Kit的一部分,也被称为PKI Health工具,新版本(原本是MMC模块)已经是该操作系统的一部分,新版本同样支持 Unicode。
certutil.exe
验证工具(certutil.exe)命令可以通过两个参数来判断签发的证书的有效性:
certutil-verify–urlfetch
使用–verify –urlfetch文件名可以让用户看到每个证书URL的输出,如果成功验证,会显示“verified”输出,如果失败,则会显示“错误”输出
certutil-viewstore
–viewstore输出可以让用户查看特定Active Directory Domain Services 存储或者对象的内容,这能让用户选择查看所有存储中的证书情况。
如果certutil命令不能正确执行,或者你没有证书,都会获得错误提示信息。
CRL检查是证书监测的重要功能,也是主要功能。显然,你不希望在证书被替换或者升级前出现证书过期的情况。CRL,或者又称为证书吊销列表,正如其名,指的是那些需要被吊销的证书的列表。CRL检查是为了查看证书是否有效,这个工具是确保证书有效性的重要工具。使用该工具有着重要的意义,因为certutil.exe将会检查CA的CRL,而 Certificate MMC Snap-In 则不会检查证书的CRL。
使用certreq
Certreq可以用于请求证书,你可以使用 certreq来查询CA并为证书创建新的请求。
本文中我们讨论了Windows Server 2008与专业证书监测工具(PKIView.msc和 certutil.exe等)结合应用的问题,以及监控工具的使用等。我们同时还讨论了 PKIView.msc控制台和certutil.exe工具命令行的用法。希望可以对网友的企业IT管理有所帮助。