Windows AD認證服務系列---認證的功能概述(1)

標籤：ad cs

SSL安全技術可用於大部分的網站，它主要用來處理重要的安全資料。SSL在伺服器和用戶端之間建立了一條安全的加密串連，最常見的是WEB伺服器和瀏覽器或者用戶端電腦上的Email用戶端之間的串連。SSL被公認為一種安全性協議，因為它為加密串連指定了密碼編譯演算法和必要變數，使用SSL的安全連線的目的，就是為了使資料在伺服器和用戶端之間傳遞的時候受到保護，比如信用卡號，登入憑證，以及其他的一些重要資料。

想用SSL建立一個受保護的串連，就必須在伺服器上安裝認證，內部CA和公用CA都可以給SSL頒發認證。對於面向internet的網站，通常會使用公用CA機構頒發的認證，因為它們頒發的認證是預設被信任的，但是你使用本地CA頒發的認證也是可以使用的。這兩種CA頒發的認證都能夠保障網站的安全性，但是大多數的用戶端訪問網站的時候，他們是無法信任使用內部CA頒發的認證的。實際上不受信任的認證仍然會對串連進行保護，但是它會在用戶端串連到網站的時候發送一個警告資訊給他們，很多公司都不想訪問網站時出現這個警告資訊，所以對於面向Internet的網站最好是使用公用認證。互連網的瀏覽器都會預先安裝一個受信任CA的列表，它們會將這個列表中的CA儲存到可信任的根憑證授權單位中。

在我們選擇購買公用認證的時候需要注意，不是任何公用認證都保證能夠自動被所有用戶端信任的，所以在購買之前要確保你選擇的認證供應商提供的認證是全球信任的，並且它的CA認證會在用戶端預裝的可信任的根憑證授權單位中。

使用SSL認證來保護串連

每個認證在被頒發後都會有一個配對秘鑰，配對秘鑰由一個公有秘鑰和一個私人秘鑰組成，這兩個秘鑰在加密處理的時候都會被用到，用公有秘鑰加密的資料只能用它對應的私人秘鑰解密，反之亦然，每個配對秘鑰都是唯一的。

每個認證除了有配對秘鑰以外，還會有它的對象名，這個對象名用於標識出認證安裝在哪台伺服器或網站上。當使用網頁瀏覽器去訪問一個受保護的網站的時候，用戶端和伺服器會建立一個SSL串連，這個SSL串連是在SSL握手期間建立的，這個握手動作的具體步驟如下：

1. 使用者在網頁瀏覽器中輸入一個HTTPS的URL

2. 網頁瀏覽器串連到網站，並且請求伺服器去驗證它的身份

3. WEB伺服器發送它的SSL認證給用戶端，認證中包含了該認證的公開金鑰

4. 用戶端對伺服器的認證進行檢查，它會檢查認證的對象名，並將對象名與訪問伺服器的URL進行比較，它還會檢查認證是否是根信任憑證授權單位頒發的，並且在憑證撤銷清單發佈點中確認是否此認證已被吊銷。

5. 如果所有的檢查都通過了，用戶端會產生一個對稱式加密密鑰，用戶端和伺服器通過這個對稱式加密密鑰來解密資料，因為公開金鑰和私密金鑰的配對秘鑰在對大量資料進行加密和解密的操作時效率不高，所以用戶端會產生一個對稱秘鑰，然後通過伺服器的公開金鑰將這個對稱秘鑰進行加密，最後用戶端會把這個加密好的對稱秘鑰發送給伺服器。

6. 伺服器使用它的私密金鑰去解密收到的對稱秘鑰，現在伺服器和用戶端都有相同的對稱秘鑰，資料就可以在兩者之間進行安全的傳輸了。

上面的過程包含了幾個非常重要的檢查，首先伺服器出示它的SSL認證用於提供自身的身份標識給用戶端，如果認證中的伺服器名稱和用戶端請求的URL相匹配，並且該認證是由一個受信任的頒發機構頒發的，用戶端會信任並將伺服器認為是一個有效身份標識。另外用戶端還會檢查認證的有效性，它會去檢查認證的生命週期，以及在憑證撤銷清單中檢查是否有與該認證匹配的對象。所以建立一個SSL會話不僅僅是對加密進行管理，而且需要執行從伺服器到用戶端的驗證動作。

注意：用戶端驗證不包含在常規的SSL握手動作中，意思就是用戶端可以不將自己的身份標識提交給伺服器，但是你可以將你的網站配置成要求用戶端進行驗證，用戶端也可以使用一個認證來驗證自己。

在伺服器上配置一個SSL認證

想要通過SSL去保護伺服器和用戶端之間的通訊，你必須在伺服器上安裝認證。你有多種方法來安裝認證，但是在你安裝認證之前，你必須定義認證的名稱或者認證所支援的名稱。例如假設你想保護URL為www.adatum.com的網站，你需要頒發通用名稱為www.adatum.com的認證。

注意：認證可以只根據伺服器名稱或者別名頒發，不需要使用完整的URL。比如通用名為www.adatum.com的認證同樣可以保護URL為www.adatum.com/sales或相似的網站。

在某些時候你可能需要在同一台伺服器上使用多個伺服器名稱的認證，最典型的案例就是Exchagne的Client Access Server(CAS),CAS安裝的認證必須支援它的公用名稱，比如mail.adatum.com和autodiscover.adatum.com，由於這兩個名字都關聯了同一個網站，但是一個網站只能綁定一個認證，所以你必須一個能支援多名稱的認證，這個認證也被稱為對象可選名稱認證，該認證可以使用多個名稱，Windows 2012的CA和公用CA都可以頒發這種認證。

注意：在同一個域中，我們還可以通過頒發萬用字元認證來替代多名稱認證，比如使用*.adatum.com的通用名頒發認證，這個認證對所有網域名稱尾碼為adatum.com的名稱都有效，但是考慮到安全性的原因並不推薦使用這種認證。

通過內部CA頒發一個SSL認證，可以通過以下的方式：

1. 使用伺服器上的CA控制台向CA提交一個認證申請。這種方法可以為認證指定任意的額外屬性，例如認證目標或者對象可選名稱，但是在安裝了認證之後，你必須手動的將認證指派給適用的網站。

2. 使用IIS控制台。在IIS控制台中，你可以直接向CA申請認證，但是這種方式申請的認證是無法選擇憑證範本的，它會預設使用web伺服器模板，並且你不能指定對象可選名稱。不過這種方法也有它的優勢，它是最簡單的方法用於網站上安裝認證。

3. 使用CA Web註冊。這種方法適合於將憑證發行給那些未加域的伺服器，使用這種註冊類型，你首先需要有一個認證請求檔案(.reg格式的)，然後將這個檔案在CA Web註冊頁面中提交，這種方法可以指定憑證範本以及添加對象可選名稱。

如果你購買了公用信任的SSL認證，這些過程會有些不同，在你選擇一個認證供應商之後，你首先要通過一個管理過程，這個管理過程用於驗證你公司的身份和網域名稱所有權，在你完成這個過程之後，你要在你的伺服器上建立一個認證簽約請求(CSR Certificate Signing Request),這個CSR會建立私密金鑰和一個CSR資料檔案，然後你將CSR發送給憑證發行器，CA會使用CSR資料檔案建立一個公開金鑰去匹配你的私密金鑰，而不需要將秘鑰破解。除了在配置了認證歸檔的時候，CA永遠都不會去查看認證的私密金鑰或者憑證發行之前的操作，但是即使配置了認證歸檔，秘鑰也是被加密的。

數位簽章中的認證使用

認證除了能夠保護通訊之外，還可以用於保護內容和驗證內容作者的身份。當你收到一個機密內容的資訊時，有兩個很關鍵的事情我們需要確認：首先，這個資訊在傳遞的時沒有被修改；其次，作者的身份是可驗證的。你可以使用認證去保護和驗證內容，以及驗證作者的身份，最常見的例子就是使用者對文檔進行數位簽章。

數位簽章：

當某人在應用程式中對一個文檔進行數位簽章時，他會確認這個文檔是可靠的。可靠在這裡的意思是文檔的建立者是已知的，並且這個文檔在建立和簽名之後沒有通過任何方式改動過。PKI能夠實現這個層級的安全性，和我們之前說的web伺服器憑證相比，使用者同樣會有一個配對秘鑰，這個認證會在資料簽名的過程中使用。

當一個作者對文檔或者資訊進行數位簽章的時候，他的電腦作業系統會建立一個資訊密碼摘要，這個資訊密碼摘要是一個128bit-256bit長度的數字，作業系統通過對整個資訊執行一個雜湊演算法來產生這個數字，然後這個數字被作者的私密金鑰加密後添加到文檔或資訊的末尾。

當文檔或資訊被收件者接收時，收件者的作業系統也會對文檔或資訊運行一次雜湊演算法，來產生資訊密碼摘要，這個雜湊演算法與在作者端執行的雜湊演算法是完全一樣的。接著收件者會使用作者的公開金鑰將已收文檔中的密碼摘要進行解密，然後這個解密出來的密碼摘要會和收件者產生的密碼摘要進行比較，如果兩者是相同的，那麼說明這個文檔或資訊在傳輸過程中沒有被修改過。另外如果收件者能夠使用作者的公開金鑰去解密密碼摘要，說明這個密碼摘要是使用作者的私密金鑰進行加密的，同時這也相當於驗證了作者的身份。最後收件者還會去驗證用於表明作者身份的認證，它同樣是去檢查認證的有效期間，CRL,對象名稱和憑證鏈結信任。

部署數位簽章：

想要在內部通訊中部署數位簽章，你需要基於使用者模板來頒發認證，你必須將憑證發行給所有使用數位簽章的使用者，如果使用自動登記去發布認證就不需要使用者幹涉。使用者必須使用一個可以支援內容簽名的應用程式，例如你可以使用word和outlook預設的數位簽章。

在你頒發了認證並配置好應用程式之後，就可以使用數位簽章了，但是如果你想將經過數位簽章的內容發送到公司外部，你可能會遇到CA的信任問題，例如收件者和作者不在同一個AD域，所以收件者是不會信任由作者所在域的CA頒發的用於數位簽章的認證的，儘管在內容保護方面這種數位簽章仍然是有效，但是收件者使用這個應用程式的時候會產生一個警告資訊，無法訪問受保護的內容。

如果你需要將數位簽章的內容發送給公司外部的收件者，最好使用全球信任的公用CA頒發的認證。

本文出自 “乾涸的海綿” 部落格，請務必保留此出處http://thefallenheaven.blog.51cto.com/450907/1590183

Windows AD認證服務系列---認證的功能概述(1)