管理证书的一个主要目标是获得企业安全的一种高级水平。应当认真对待身份和访问管理问题。在本文中,笔者将简要地讨论认证授权,然后探讨使用特定的证书监视工具(如PKIView.msc和certutil.exe)的重要问题。知道证书如何影响单位的安全状况以及证书要求维护(例置换等)至关重要。到期的证书显示出单位的安全脆弱性或根本就不存在。或者说,到期的证书在很多情况下就是在招致或鼓动***。这还表明出用户并没有认真地关注更新,并且没有定期(例行)维护,并且不能接收实时的电子邮件或文本警告,甚至更糟。该文将谈到使用证书的重要性,并且讨论在Windows Server 2008中如何监视证书的使用。
证书与安全
单位应当在架构的全部层次上考虑安全问题,从最基本的局域网到Web服务器如何准许外部用户通过SSL连接访问网页都要考虑。安全的每一个方面都需要仔细检查。在部署证书授权或公钥架构(PKI)时,亦是这样。在单位的网络和系统上提升安全性有助于防护威胁、风险和可能的***。通过Windows Server 2008,我们可通过不同的方法来提高安全性,包括安全证书、各种形式的加密以及系统提供的多种工具和技术。我们可使用系统的“添加角色”向导在系统上配置证书授权。
安装活动目录证书服务
用户可通过运行“添加角色”向导来安装和配置证书服务。通过从服务器角色列表中选择“Active Directory证书服务”,用户就可以使系统充当证书授权服务器。活动目录证书服务用于创建认证授权,用于发布和管理各种应用程序的证书。
其实,我们会发现,许多基于Windows的安全服务都可依靠活动目录的证书服务来运行。为监视证书,用户需要理解正在监视的对象是什么。
什么是公钥架构?
微软也称公钥架构为公钥基础结构。无论何时,一个单位只要使用智能卡、Ipsec、SSL、数字签名、加密文件系统(EFS)等技术,或使用其它的依赖于使用加密的特定等级的技术时,它就需要创建一个加密和验证的公钥系统。而公钥架构用于帮助确保使用某个系统的所有人员都经过授权才能访问它。使用公钥架构可准许在经认证的可信任的实体之间使用数字证书。证书只不过是一个电子的正式文档,它有助于帮助客户端检查证书,检查主机的真实性。使用证书系统的最常见理由是SSL,它验证用户身份并可保障数据安全地传输。公钥架构中的证书用于保障数据的安全并管理单位内部和外部资源的确认凭证信息。证书颁发机构(证书授权)是公钥架构的一部分,它为验证证书、发布证书、撤消证书负责。在最低的水平上,使用微软的活动目录证书服务的单位必须至少拥有一个可发布和撤消证书的证书颁发机构(服务器)。为实现冗余性,单位内部通常要部署不只一个证书颁发机构。此外证书颁发机构可以是内部的也可以是内部的,并且存在于不同的级别中,可充当根CA(即证书颁发机构)或仅能发布的CA。在部署证书颁发机构时,存在着许多不同的方法,所以在部署之前理解自己的需要是很明智的。
使用证书监视工具
Windows Server 2008的两个重要的证书监视工具是PKIVIew.msc和certutil.exe工具。
首先看一下PKIVIew.msc。在使用此工具时,就会打开公钥架构的管理控制台。此命令将启动公钥架构健康工具,准许用户监视关于当前公钥架构的活动和健康状态。此工具还可以监视AIA(授权信息访问)和CDP扩展,可保障一切运行正常,并且服务中不存在违规的情况。PKIView.msc最初出现在Windows Server 2003的资源工具中。用户可从微软的网站下载。此工具可帮助检查用户的公钥架构的状态,并监视其健康和总体活动。有多个可视化的指示工具可帮助你知道公钥架构的总体状况。例如,绿色的检查标志指明你的PKI是正常的。而×××的警告标志指明证书或数字证书吊销表快到期了。红色的错误指明数字证书吊销表或授权信息访问(AIA)的位置无法到达。红色的错误还可指明认证授权不可信。
PKIView最初是Windows Server 2003 Resource Kit的一部分,被称为PKI健康诊断工具。其最新版本(一个本地的MMC管理单元)现在是最新操作系统的一部分,并支持统一字符编码标准。
其次是certutil.exe 。命令行工具certutil.exe是一个证书实用程序,它可通过两个开关让管理员决定所发行证书的合法性:
certutil -verify –urlfetch
使用–verify –urlfetch开关准许用户看到每个证书的URL输出。如果成功,将显示一个验证通过的消息。如果失败,就显示一个错误。
certutil –viewstore准许用户看到一个特定活动目录域服务存储或对象的内容,让用户选择查看这个存储中的所有证书。如下图所示:
如果该命令无法正确地工作,或者你没有什么证书,将收到一个命令失败的错误消息。
数字证书吊销表是一种重要的功能。显然,谁都不想在没有正确替换证书的情况下就让一个证书到期。数字证书吊销表是需要吊销的证书列表。数字证书吊销表检查用于查看一个被信任的证书是否合法。该工具对于精确地决定证书的健康状态极为关键,这样做很有必要,因为该命令可以验证证书颁发机构的数字证书吊销表。
小结
在本文中我们讨论了Windows Server 2008如何使用证书服务,并讨论了用哪些工具可以监视证书服务。我们还探讨了使用PKIView.msc控制台和基于命令行的certutil.exe工具的一些问题。
文章如转载,请注明转载自【网管小王的独立博客】:http://www.5iadmin.com/
转载于:https://blog.51cto.com/shanzhai/920449
