Windows AD認證服務系列---部署及管理憑證模板(1)

標籤：ad cs

一個認證就是一組小容量的資料，這些資料包含了它自身的幾條資訊。這個資料可以包含自身的Email地址，名字，認證使用類型，有效期間，AIA和CDP位置的URL。認證還可以包含秘鑰對，秘鑰對中的私密金鑰和公開金鑰被用來進行身分識別驗證，數位簽章和加密。當認證在以下條件中使用時會產生秘鑰對：

1. 當內容被公開金鑰加密了，它只能通過私密金鑰來解密

2. 當內容被私密金鑰加密了，它只能通過公開金鑰來解密

3. 一個單獨的秘鑰對中，找不到其他同一關係秘鑰

4. 在合理的時間內，無法通過公開金鑰推匯出私密金鑰，反之亦然

在註冊的過程中，秘鑰對會在用戶端上產生，然後公開金鑰會隨著認證簽名申請一起被發送到CA，接著CA會對認證簽名申請進行驗證，並用CA的私密金鑰對隨認證一起發送過來的公開金鑰進行簽名，最後將簽名後的公開金鑰發回給申請者。這個過程保證了私密金鑰無法脫離系統(或者智慧卡)，並且因為該認證的公開金鑰是經過了CA簽名的，所以該認證是受CA信任的認證。認證為公開金鑰和實體自身所對應的私密金鑰之間提供了一個擷取信任的機制。

我們可以把認證想象成一個駕照，很多公司都認可駕照作為一種身份認證，因為駕照的頒發者是可以信賴的。公司明白某個人想要取得駕照所需要經曆的過程，所以他們信任駕照頒發者對已頒發對象進行的個人的身份認證，因此駕照作為一種有效身份認證也被他們認可，認證信任也建立在這種類似的方式上。

憑證範本

憑證範本允許管理員定製認證的分發方式，定義認證目的，通過認證許可授權使用類型。管理員可以建立模板，然後通過內建的GUI或命令管理工具將模板快速的部署到企業中。

每個模板相關的DACL(動態存取控制列表)，定義了哪個安全性主體有讀取和配置模板的許可權，哪個安全性實體能夠基於模板註冊認證或自動註冊認證。憑證範本和他們的許可權被定義在AD域中，並可在林中生效。如果AD林中有多台企業CA，許可權的修改會影響到所有的CA伺服器。

當你定義了一個憑證範本，憑證範本的定義必須可用於林中的所有CA。這個要求可以用個將憑證範本資訊儲存在AD域的配置分區中來實現，這些資訊的複製與AD域的複製計劃一起執行，在複製完成前憑證範本可能不會在所有CA上生效。認證的儲存和複製都是自動進行的，不需要手動的進行幹涉。

注意：在Windows2008R2之前，只有企業版的伺服器系統才支援憑證範本的管理，在Windows2008R2之後，在標準版中也可以管理憑證模板了。

Windows2012的CA支援四個版本的憑證範本，憑證範本1,2,3這三個版本是之前的伺服器系統中使用的，Windows2012中包含了新的第4版憑證範本。憑證範本的版本與伺服器系統版本是對應的，2000,2003,2008,2012分別對應版本1，版本2，版本3，版本4.

憑證範本除了與伺服器系統版本對應之外，功能上也有一些不同之處：

1. Windows2000進階伺服器系統支援版本1的憑證範本。版本1的憑證範本僅能執行的修改是，允許或者不允許憑證範本註冊的許可權，當你安裝了一台企業CA，版本1的憑證範本會預設被建立。2010年7月13號起微軟已經不再支援Windows2000伺服器作業系統了。

2. Windows2003企業版伺服器系統支援版本1和版本2的憑證範本。在版本2的憑證範本中我們已經能夠自己去定義幾個設定了，預設的安裝後會內建幾個預設的版本2模板。你可以根據企業中的需求新增版本2模板，或者你可以複製版本1模板去建立一個新的版本2模板，然後對建立的版本2模板進行修改和使用權限設定，當新模板被加入到Windows2003企業CA後，它們預設使用的是版本2.

3. Windows2008企業版伺服器系統支援版本3憑證範本，它也支援版本1和版本2的憑證範本。Windows2008企業CA的版本3憑證範本能夠支援幾個功能，例如CNG。CNG支援Suite B密碼編譯演算法，例如橢圓曲線密碼。在Windows2008企業版中，你可以複製預設的版本1和版本2的模板，將他們升級到版本3的模板。

4. Windows2008預設會提供2個新的憑證範本：Kerberos驗證和OCSP響應簽名。Windows2008R2系統同樣能夠支援這些憑證範本，當你使用版本3的憑證範本，你可以為認證請求，憑證發行使用CNG加密和雜湊演算法。

5. Windows2012支援從1到4所有版本的憑證範本。這些憑證範本僅對Windows2012和Win8可用，為了協助管理員去分隔各作業系統版本支援的功能，在憑證範本屬性標籤中新增了一個相容性的標籤。它在憑證範本屬性中標識選項為不可用，這取決於認證用戶端和CA所選的作業系統版本。版本4憑證範本同樣支援CSP和秘鑰儲存提供器，你可以配置他們使用相同的秘鑰去請求續簽。

憑證範本的升級只能是在CA升級的環境下進行的，例如從Windows2008R2升級到Windows2012的CA，在CA升級完成後，開啟CA管理器控制台然後在升級提示中點擊"是"對憑證範本進行升級。

配置憑證範本許可權

要配置憑證範本許可權，你需要在每個憑證範本的安全性標籤上定義DACL。憑證範本被指派的許可權可以定義使用者或群組對此憑證範本執行讀，修改，註冊或自動註冊動作。

我們可以為憑證範本指派以下許可權：

1. 完全控制。完全控制許可權運行一個安全性主體去***模板的所有屬性，包括憑證範本自身的許可權以及憑證範本的安全性解說符。

2. 讀取。讀取允許使用者或電腦在註冊認證時查看憑證範本，認證伺服器也需要有讀取的許可權，以便在AD域中尋找憑證範本。

3. 寫入。寫入允許使用者或電腦***模板的屬性，包括模板自身被指派的許可權。

4. 註冊。註冊允許使用者或電腦基於該憑證範本去註冊認證，但是要註冊認證你必須還要有該憑證範本的讀取許可權。

5. 自動註冊。自動註冊允許使用者或電腦通過自動註冊來接收認證，自動註冊許可權要求使用者或電腦還必須擁有該憑證範本的讀取和註冊許可權。

憑證範本的最佳賦權方式是將許可權僅賦給全域或萬用群組，因為憑證範本對象是儲存在AD域的配置命名內容中的，你應該盡量避免將許可權賦給單獨的使用者或電腦。

另外我們最好給Authenicated Users群組開放憑證範本的讀取許可權，這樣AD域中的使用者和電腦就能夠查看到憑證範本了，它同時還能在指派認證時允許以電腦帳號的系統上下文上啟動並執行CA查看憑證範本，但是不要給這個群組賦予註冊許可權，這樣配置就不會有安全上的問題。

配置憑證範本的設定項

除了給憑證範本配置安全性設定外，你還可以為每個憑證範本配置幾個其他的設定。但是要注意，可配置選項的數目取決於憑證範本的版本，比如版本1的憑證範本是不允許修改除安全性以外的設定的，然而更高版本的憑證範本則可以配置更多的可用選項。

Windows2012會內建幾個預設的憑證範本，主要是為了這些目的：程式碼簽署(用於數位簽章軟體)，EFS(用於加密資料)，使使用者能夠用智慧卡註冊。如果想在企業中自定一個模板，你需要複製模板，然後***配置。例如你可以配置以下的設定：

1. 根據認證的用途配置認證的格式和內容。注意：基於被要求使用PKI的安全性部署的類型，認證的用途可能與使用者或電腦相關
   

2. 配置建立和提交一個有效認證申請的過程

3. CSP 支援

4. 秘鑰長度

5. 有效期間

6. 註冊過程或註冊申請

同樣你也可以在認證設定中定義一個認證用途。憑證範本能夠有以下2種類型的用途：

1. 單用途。單用途認證使用於單一的目的，例如允許使用者使用智慧卡註冊。企業使用單用途認證，是為瞭解決當被部署的認證中的配置與其他的認證不相同的情況。例如，如果所有的使用者都收到了一個認證用於智慧卡登入，但是有部分群組收到一個認證用於EFS，企業通常會將這些認證和模板分隔開，以確保使用者只會收到需要的認證。

2. 多用途。一個多用途的認證可同時用於多個目的，這些目的通常是不相關的。有些模板預設就是多用途的，比如使用者模板，企業經常會根據某些新目的去修改模板，例如，如果企業打算頒發3種用途的認證，就可以將這些用途組合到一個憑證範本中，這樣就能夠簡化管理和維護的工作。

憑證範本更新的選擇

大多數企業的CA架構每個工作功能有一個憑證範本，例如一個憑證範本用於檔案加密，另一個用於程式碼簽署。此外還可能有一些模板可以為大多數一般的群組對象涵蓋多個功能。

作為IT管理員，我們可能會去修改一個已存在的憑證範本，因為這個憑證範本可能設定不正確，或者在最初頒發的時候有一些問題。有時我們還可能需要將多個現存的模板合并到一個單獨的模板中。

我們可以通過修改或替代現有的模板來對憑證範本進行更新：

1. 修改初始憑證範本。在修改版本2，版本3，版本4的憑證範本時，我們需要對此模板做出修改並應用到模板，處理完成之後，CA所有基於此模板頒發的認證都會包含你所修改的配置。

2. 替代現有憑證範本。企業的CA架構中可能會有多個憑證範本去提供相同或類似的功能性。在這種情況下，我們可以用一個單獨的憑證範本替代或替換多個憑證範本。我們只需要在憑證範本控制台指定使用新的憑證範本去替換現存的憑證範本，替換模板的另一個好處就是當認證到期時會使用新的認證。

本文出自 “乾涸的海綿” 部落格，請務必保留此出處http://thefallenheaven.blog.51cto.com/450907/1616360

Windows AD認證服務系列---部署及管理憑證模板(1)