Windows 2008之PKI實戰(zhàn)1:管理

　　對開發(fā)人員來說一個更通用的實踐是將PKI基礎結(jié)構(gòu)和公司的商業(yè)應用緊密聯(lián)系起來。一個很好的例子就是公司在尋找將智能卡或強身份認證集成到它自己擁有的軟件當中。新的證書注冊應用程序接口允許該功能更平滑地被集成。

　　在服務器端，對于可用性來說增強體現(xiàn)在管理和部署證書服務方面。在證書吊銷方面也有顯著的增強，尤其是吊銷檢查方面。

　　實例環(huán)境

　　下面我們舉例進行說明：

　　我們使用一臺名稱為SEA-DC-01的服務器，它是域控制器、DNS服務器，接著我們將演示如何安裝活動目錄證書服務角色。如圖1所示：

演示W(wǎng)indows Server 2008中的PKI

　　Windows Server 2008包含添加角色向?qū)АＬ砑咏巧驅(qū)Р粌H可以用來安裝角色，它也包含角色的配置。為了讓角色正常工作而必須被執(zhí)行的關鍵配置任務是向?qū)У囊徊糠帧Ｕ宫F(xiàn)在添加角色向?qū)е械乃械呐渲迷谌笔∏闆r下是安全的，對IT專家來說有默認的智能優(yōu)化。我們第一步是要打開服務器管理器。服務器管理器顯示所有不同的角色從細節(jié)方面。目前，活動目錄域服務和DNS服務器角色被配置。我們今天要添加的是證書服務。首先我們需要添加IIS角色。

　　作為一個最佳實踐，我們應該始終為管理員指派一個強密碼，設置一個靜態(tài)IP，并確保操作系統(tǒng)應用了最新的安全更新。

　　我們將選擇活動目錄證書服務，如圖2所示。我們的向?qū)@示個性化的步驟根據(jù)我們要增加的角色。

接下來我們可以瀏覽活動目錄證書服務，訪問其他基于Windows Server 2008的公鑰基礎架構(gòu)的部署和管理信息。

　　我們看到證書服務器包含了不同的角色服務。如圖3所示。因為我們將使用網(wǎng)絡注冊，所以我們也必須要增加IIS服務器角色。

公鑰基礎架構(gòu)由多個組件組成，包含證書、證書吊銷列表和證書授權(quán)機構(gòu)或CAs。在大多數(shù)情況下，那些依賴X.509證書的應用程序，比如安全 / 多用途 Internet 郵件擴展（S/MIME），安全套接字層、加密文件系統(tǒng)和智能卡，都要求驗證證書的狀態(tài)在執(zhí)行認證、簽名或加密操作的時候。有多種方法可以驗證證書吊銷狀態(tài)，最通用的機制是CRLs、增量CRL和聯(lián)機證書狀態(tài)協(xié)議或OCSP。我們將添加OCSP協(xié)議。

　　CA能夠被安裝為企業(yè)或獨立服務器。它們之間的區(qū)別是目錄服務是否用于簡化管理、發(fā)布或證書管理。如圖4所示。

我們需要該服務器是根CA，因為我們沒有其他CAs 來獲得密鑰。如圖5所示。

由于這是一個新的安裝，我們將創(chuàng)建一個新的私有密鑰被我們的CA使用。該服務器將使用該密鑰來生成和頒發(fā)證書給用戶。如圖6所示。

對于加密服務提供者（CSP）和哈希算法來說有很多選項可以進行選擇。缺省的選項被設置為RSA Microsoft Software Key Storage Provider和2048位加密的SHA1 算法。如圖7所示。

我們?yōu)樵揅A使用缺省名稱。如圖8所示。



每個證書都有一個有效期。在有效期結(jié)束以后，證書將不在被認為是可接受或可用的憑據(jù)。您可以通過使用您以前使用過的相同密鑰或使用一個新密鑰集來更新該證書。我們?yōu)樵撛O置使用缺省值。如圖9所示。

CA的數(shù)據(jù)和日志文件位置也能夠被更改在安裝的時候。如圖10所示。

因為IIS是一個依賴的服務，因此在該演示中也需要安裝，我們也需要配置

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學習有所幫助,可以手機掃描二維碼進行捐贈