Windows AD認證服務系列---認證發布與吊銷(1)

標籤：ad cs

憑證註冊方式

在Windows2012中，我們可以使用多種方式為使用者或電腦註冊認證，認證的註冊方式與所在的環境有關，例如，我們最希望通過自動註冊來批量的將認證部署給大量的使用者或電腦，然而在某種情況下，我們又需要通過手動註冊將認證部署到專門的安全性主體。

下面描述了這幾種方法的不同之處：

1. 自動註冊。使用自動註冊，管理員需要為憑證範本定義許可權和配置。這些定義協助申請者去自動的申請，擷取和續簽認證，它不需要與終端使用者互動。此方法用於AD域的電腦，必須通過組策略來實現自動註冊認證。

2. 手動註冊。手動註冊時裝置會產生私密金鑰和一個認證請求，然後認證請求被傳遞到CA產生一個請求的認證，接著產生的認證會被傳回給裝置並安裝，在申請者不能與CA直接聯絡或裝置不支援自動註冊時可以使用這種方法來註冊認證。

3. CA Web註冊。我們可以啟用一個網站CA以便使用者能夠獲得認證，要使用CA Web註冊，我們必須在ADCS中安裝IIS和Web註冊角色。通過web註冊申請認證，申請者需要登入到網站，選擇合適的憑證範本，然後提交申請，如果使用者有註冊認證的許可權，那麼認證會自動的被頒發。Web註冊一般用在無法使用自動註冊頒發認證的時候。

4. 註冊代理。要使用這種方式，CA管理員需要為使用者建立一個註冊代理帳號，使用這個帳號使用者擁有註冊代理許可權，可以代表其他的使用者來註冊認證。如果你需要一個管理者去為新員工在智慧卡上預先載入登入認證，那麼久可以使用這種方法。

自動註冊是如何工作的？

在AD域環境中部署認證最常用的方法就是自動註冊，它能夠自動的去將認證部署到使用者和電腦。我們可以在符合特定需求的環境中使用自動註冊，例如在AD域中可以通過憑證範本和組策略來實現。但是有個很重要的地方需要注意，獨立CA是無法使用自動註冊的，我們必須有一個與AD整合的企業CA用於自動註冊。我們可以使用自動註冊去自動的將基於公開金鑰的認證部署給企業中的使用者和電腦，認證服務管理員複製憑證範本，然後將該模板的註冊和自動註冊許可權開放給需要擷取認證的使用者和電腦。基於域的組策略能夠啟用和管理自動註冊。

在你重啟電腦或登入使用者的時候組策略會預設被應用，此外組策略在域成員上預設90分鐘重新整理一次，我們的這個組原則設定被命名為"認證服務用戶端自動註冊".

在上次自動註冊啟用後的每隔8小時會定時觸發自動註冊任務，憑證範本會根據每個請求與指定的使用者進行互動，例如有一個請求在使用者登入後會彈出一個60s的顯示視窗。

很多認證分發時不需要用戶端，即便已經知道註冊正在發生。大多數頒發給計算和服務的認證類型都包屬於這種情況，很多頒發給使用者的認證也在其中。

在域環境中為用戶端自動註冊認證必須滿足以下幾點：

1. 必須是Domain Admins或Enterprise Admins的成員或相同層級的許可權，這是設定自動註冊的最基本要求

2. 為憑證範本配置自動註冊許可權

3. 為網域設定一個自動註冊的策略

認證漫遊

認證漫遊能夠讓企業將認證和私密金鑰儲存在AD域中，它與應用程式狀態或配置資訊是分開儲存的。無論使用者什麼時候登入，認證漫遊會使用現有的登入和自動註冊機制將認證和秘鑰下載到本機電腦，如果有需要的話還可以在使用者登出時移除認證和秘鑰。此外在任何條件下這些認證都能保持自身的完整性，例如當認證更新或者使用者在同一時間登入多台電腦的情況，這樣能夠避免使用者登入到每一台新電腦時都會自動註冊認證。

任意時間一個私密金鑰或認證在使用者的本地憑證存放區中變更時，認證漫遊都會被觸發，無論使用者什麼時候鎖定或解鎖電腦，以及組策略的重新整理時間。

所有本機電腦組件之間和本機電腦與AD域之間認證相關的通訊都是被簽名和加密的，Win7及更高版本的作業系統能夠支援認證漫遊功能。

註冊代理

在Windows2012CA中，它可以代表其他使用者去配置憑證註冊，要實現這個，我們必須頒發一個特定的認證，這個認證是基於註冊代理模板產生的。當使用者擷取了這個基於註冊代理模板的認證時，他就能夠代表其他的使用者去註冊認證。與Cert Manager不同的是，註冊代理只能處理註冊請求，它不能批准掛起的請求或吊銷已頒發的認證。

注意：註冊代理是一種高安全性風險的認證，擁有註冊代理認證的人可以冒充他人，因為他可以代表其他使用者去頒發認證，所以你需要確保這個憑證範本有良好的保護機制。

Windows2012包含了下面的三種憑證範本，他們允許不同類型的註冊代理：

1. 註冊代理。被用來代表其他對象去申請認證

2. 註冊代理(電腦)。被用來代表其他電腦對象去申請認證

3. 交換註冊代理(離線請求)。被用來代表其他對象申請認證，並提供請求中的對象名稱。NDES(網路裝置註冊服務)使用這個模板作為它的註冊代理認證。

當你建立一個註冊代理時，你可以更進一步的改進代理的註冊能力，它可以通過群組和憑證範本代表其他使用者註冊認證。例如，我想部署一個受限的註冊代理，它只能夠註冊智慧卡的登入認證，並且只嗯呢該為特定的辦公室成員或某個基於安全性群組建立的OU。

在舊版的Windows CA中，是無法讓註冊代理僅為某一個特定群組中的使用者註冊的，它能實現的只會是每個使用者都有註冊代理認證，他們都可以代表企業中的其他使用者註冊認證。

Windows2008企業版作業系統引入了受限註冊代理功能。這個功能允許我們去限制使用者的許可權，這個使用者是被指派為註冊代理的使用者，他可以代表其他使用者或註冊智慧卡認證。

在企業中通常會有一個或多個個體被指派為註冊代理。這些註冊代理需要被頒發註冊代理認證，讓他們能夠代表其他使用者去註冊認證。註冊代理一般是企業安全性群組，IT安全性群組，案頭組的成員，因為這些個體都是掌控安全防護資源的對象。在一些企業中，例如有多個支行的銀行，案頭組和安全性管理者不方便本地的去執行這個任務，這種情況下，我們可以指派分部的經理或其他可信賴的僱員作為註冊代理，讓他去代表各地的使用者申請智慧卡認證。

在Windows2012 CA,首先註冊代理功能允許一個註冊代理被用於一個或多個憑證範本。在每個憑證範本中，我們可以選擇註冊代理能夠代表註冊的使用者或安全性組。我們不能將註冊代理所代表的對象用特定域OU或容器來約束，只能使用安全性群組來約束。

注意：使用受限註冊代理會影響到CA的效能，想要最佳化CA效能，我們需要最小化註冊代理的帳號數量，最小化註冊代理的憑證範本ACL的帳號數量，推薦使用群組帳號取代單獨的使用者帳號作為他們的帳號。

本文出自 “乾涸的海綿” 部落格，請務必保留此出處http://thefallenheaven.blog.51cto.com/450907/1617121

Windows AD認證服務系列---認證發布與吊銷(1)