Windows AD認證服務系列---部署CA(2)

標籤：ad cs

AD CS中以角色為基礎的系統管理使得管理員可以將使用者和群組委派給預先設定好許可權的內建CA角色。每個角色能夠執行某個或某類已設定好的任務，下表中標識出了基於角色管理的角色和群組的詳細資料：

角色/組	用途	資訊
CA管理員	管理CA	在CA控制台指派
憑證管理員	頒發和管理憑證	在CA控制台指派
備份操作員	備份與還原檔案及目錄	作業系統角色
審計員	管理審計和安全性方面的事件記錄	作業系統角色
註冊者	讀取和註冊	有許可權申請認證

以角色為基礎的系統管理結合了作業系統角色和AD CS角色，為CA提供了一個完整的，分段式的管理解決方案。你不再需要將本地管理員權限指派給多個IT人員去管理CA，你只需要指派角色來達到滿足任務的最小許可權，從而提高了企業的安全性。

以角色為基礎的系統管理還減少了管理員在為其他管理者授權時的工作量，因為所有的授權過程只需要將使用者加入到對應的組或者角色即可。

管理CA安全性

為了管理和配置CA的基於角色管理，並在管理CA的安全性，你可以在certsrv.msc命令開啟的管理主控台中選擇認證授權機構的屬性，並通過其中的安全性列表進行管理。下列類型是我們可以在CA對象層次設定的安全性許可權：

1. 讀取。指派此許可權的安全性主體能夠在AD域中找到CA，如果部署的是獨立CA，該安全性主體則能夠通過Web控制台或服務訪問這台CA。

2. 頒發和管理憑證。指派此許可權的安全性主體能夠對掛起狀態的認證請求進行批准和拒絕，同時他們還擁有吊銷和頒發認證、指定吊銷理由、取消吊銷狀態的許可權，以及讀取所有頒發的認證並將這些認證匯出到檔案的許可權。

3. 管理CA。指派此許可權的安全性主體可以管理和配置CA層級的選項，但是他們不能管理憑證，只能夠管理CA。

4. 請求認證。指派此許可權的安全性主體能夠對這台CA發出認證請求，但是這並不意味著他們能夠註冊認證，是否能夠註冊到認證，是在憑證範本層級上指定的。

權限類別型可以參考：

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/59/72/wKioL1TTOAPzfiQ1AAVIpUaUPjs929.jpg" title="QQ圖片20150205172434.jpg" alt="wKioL1TTOAPzfiQ1AAVIpUaUPjs929.jpg" />

可以看到administrators群組擁有頒發和管理憑證以及管理CA的許可權。

結合CA對象的存取控制清單上定義的安全性許可權，你還可以運用CA屬性視窗中的Cert Manager選項，在你配置安全性主體時限定它們只可以在特定的憑證範本上頒發和管理憑證。例如如果你想給使用者Bob僅指派許可權去頒發和系統管理使用者認證，你需要將Bob加入到ACL中，並將頒發和管理憑證許可權指派給Bob，但是你需要通過Cert Manager選項去限制Bob的許可權只能應用在使用者憑證範本，因為你不想Bob能夠頒發和管理所有認證，如所示：

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/59/75/wKiom1TTNZewV6lFAAZ2mr2-qMQ303.jpg" title="QQ圖片20150205171801.jpg" alt="wKiom1TTNZewV6lFAAZ2mr2-qMQ303.jpg" />

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/59/72/wKioL1TTN5CyJZgyAAVXqf5U3s4822.jpg" title="QQ圖片20150205172245.jpg" alt="wKioL1TTN5CyJZgyAAVXqf5U3s4822.jpg" />

配置CA策略和結束模組

CA結構更進階的部署是將CA與另一個PKI相關的服務整合在一起，這要求在CA上配置和管理策略和結束模組。無論是獨立CA還是企業CA，任何一台CA都擁有策略和結束模組，每台CA使用預設的策略和結束模組，一般我們不需要對這些模組進行配置。如果想管理原則和結束模組，我們可以通過CA系統管理員主控台來實現，不過遇到比較複雜的配置，我們還是需要使用certutil命令來進行配置。

什麼是原則模組？

原則模組決定了在CA收到認證請求後執行的動作，你可以配置一個預設策略，讓每個請求處於掛起狀態直到管理員對這些請求進行批准或者拒絕。如果某個憑證範本的設定是允許原則模組頒發認證，那麼預設的原則模組就可以用來頒發認證。不過你也可以安裝一個自訂的原則模組，當CA收到認證請求時執行其他的任務。例如如果你在內部PKI中安裝了Microsoft Forefront Identity Manager 2010 Certificate Management（FIM CM 2010）,FIM CM 2010原則模組會將請求轉寄到FIM CM 2010，在經過FIM上的流程處理後，會執行認證的頒發或者將請求拒絕。FIM CM 2010原則模組還可以為通過了認證請求的用戶端指定一個簽署憑證thumbprint，每個被FIM CM 2010原則模組使用指定thumbprint簽名了的請求，在被頒發前都會被傳遞到FIM流程。這隻是自訂原則模組的一個例子，其他的第三方應用可能使用自己定義的原則模組。

什麼是結束模組？

與原則模組不同的是，結束模組使用在憑證發行之後，它決定憑證發行後所執行的動作。最常見的動作就是發送一個郵件或者發布一個認證給一個檔案系統，即使每台CA使用的是預設結束模組這些動作也是可以被執行的。

同樣你也可以自己定義一個結束模組，我們借用原則模組的例子，如果你在公司部署了FIM CM 2010，並在CA上部署一個自訂的結束模組，在這個結束模組中指定將每台正在運行SQL伺服器角色電腦的被頒發認證資料進行轉寄，如果你寫入關於此類認證的資訊，FIM CM可以在不直接幹涉到CA資料庫的情況下，查看和監視被頒發的認證。

一台CA可以同時使用多個結束模組，原則模組則不行，CA一次只能應用一個活動的原則模組。

如果你想每次在給一個特定地址發送郵件時都頒發一個認證，你必須通過certutil來配置這些設定，因為這些設定在CA管理主控台是無法配置的。首先，你必須指定用來發送郵件的SMTP伺服器，我們可以使用以下命令來實現：

certutil -setreg exit\smtp\<SMTP伺服器名稱>

SMTP伺服器名稱必須是FQDN。然後你必須指定事件和通知的郵件地址，我們可以通過以下命令實現：

certutil -setreg exit\smtp\CRLIssued\To<E-mailString>

注意：CA的結束模組配置的以事件形式發送郵件，這種郵件是無法進行SMTP驗證的，如果你的SMTP伺服器要求驗證，你必須在CA伺服器上執行以下命令：

Certutil -setreg exit\smtp\SMTPAuthenticate 1

Certutil -setsmtpinfo<使用者名稱>

這裡的使用者名稱是能夠在SMTP伺服器上通過驗證的使用者名稱，此命令會提示你輸入使用者密碼。

除了在憑證發行的時候發送通知訊息，你還可以設定一個結束模組在以下事件出現時發送通知：

認證請求處於掛起狀態

認證請求被拒絕

認證被吊銷

CRL被頒發

CA服務啟動

CA服務停止

如果你想配置一個結束模組用來發布認證給檔案系統，你可以使用CA管理主控台去開啟結束模組的屬性，然後啟用"允許將認證發布到檔案系統"的選項並重啟CA，如所示：

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/59/77/wKioL1TULLXBV9C4AAQif8byDcs133.jpg" title="QQ圖片20150206104836.jpg" alt="wKioL1TULLXBV9C4AAQif8byDcs133.jpg" />

從CA中頒發的認證會以.cer格式檔案複製到CA伺服器的c:\windows\system32\certenroll檔案夾中，但是實現這個需要滿足一個前提，就是認證的要求者必須在他們的請求中包含certfile:true的屬性。

CA的備份與還原

企業中的CA伺服器可能運行了很多年，某一天你也許想升級CA伺服器的硬體或者作業系統，但是因為CA在整個企業IT環境中非常重要，所以你必須定義一個備份與還原過程。在對CA角色進行遷移的時候，同樣也需要對CA進行一個最新的可用備份。

注意：CA和其他的服務不同，它不是簡單的在新電腦上安裝了就可以繼續正常使用的，當你將CA從一台伺服器轉移到另一台伺服器時，保留CA的標識是非常重要的，這樣你才可以在新的硬體或系統中使用相同的CA標識進行工作。

CA備份

即使你不打算對CA做遷移，你也應該對CA做一個備份，CA的備份與我們通常所進行的備份時不同的，CA的備份需要通過以下的步驟實現：

1. 如果你正準備備份一個企業CA，在CA控制台中點擊憑證範本，然後記錄下憑證範本中列出的名稱。這些模板都是儲存在AD域中的，所以你不需要對它們進行備份。你必須要清楚的知道進行遷移的模板有哪些是由CA發布的，因為你必須在遷移之後手動的添加這些模板。
   

2. 在CA控制台，右鍵點擊CA名稱，選擇"所有任務"，然後點擊"備份CA"開啟CA備份嚮導，在備份嚮導中，你需要選擇備份CA的私密金鑰，CA認證，認證資料庫以及認證資料庫日誌。你還可以指定一個合適的備份內容的存放位置，考慮到安全性因素，最好設定密碼對CA私密金鑰進行保護。

3. 在完成備份之後，你應該開啟登錄編輯程式，找到並匯出以下的註冊表的子鍵：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
   

   注意：我們推薦將該註冊表索引值的匯出檔案儲存到CA備份的檔案夾中。

4.  做完上面的操作後，一旦你想將CA遷移到其他的電腦，你需要將CA從舊的伺服器上卸載，然後將舊     伺服器重新命名或斷開它的網路連接。

CA還原

CA的還原通常是在必須修複當前CA或需要遷移到其他伺服器時進行的。

還原CA需按照以下步驟操作：

1. 在目標電腦上安裝AD CS角色。選擇安裝獨立CA或者企業CA，這取決於你需要遷移的CA的類型。當你見到"指定私密金鑰類型"頁面時，點擊"使用現有私密金鑰"，然後選中"選擇一個認證並使用其關聯私密金鑰"，這樣可以讓你在新的CA伺服器上繼續使用原來舊伺服器的認證。

2. 在"現有認證"頁面，點擊匯入，輸入備份CA時產生.p12檔案的儲存路徑，接著輸入備份時設定的密碼，然後點擊確認，當你被提示"公開金鑰和私密金鑰秘鑰對"時，確保選中了現有秘鑰，如果你想使用相同的根CA認證，這個步驟非常關鍵。

3. 當你進入到"認證資料庫"頁面，指定一個和舊伺服器相同的存放位置去存放認證資料庫和認證資料庫日誌，這些步驟都完成後，點擊"配置"，等待安裝嚮導的執行完畢。

4. 安裝完成後，開啟AD CS服務的服務外掛程式，還原舊伺服器的設定。

5. 找到備份時匯出的註冊表檔案，然後雙擊將它匯入到註冊表中。

6. 還原了註冊表設定後，開啟CA管理主控台，右鍵點擊CA名稱，點擊"所有任務"，接著點擊"還原CA"，這時會出現CA還原嚮導，在嚮導中你可以選擇"私密金鑰和CA認證"和"認證資料庫和認證資料庫日誌"，這裡是為了指定你想要還原的對象。下一步就輸入一個備份檔案夾位置並確認還原的設定沒有問題。還原設定中"頒發日誌"和"掛起申請"應該是"顯示"。

7. 當還原完成後，選擇重啟AD CS服務。

8. 如果你還原的是企業CA，你需要確認之前記錄的AD域中儲存的憑證範本在新的CA上能夠看到，並且是可用的。
   

本文出自 “乾涸的海綿” 部落格，請務必保留此出處http://thefallenheaven.blog.51cto.com/450907/1612368

Windows AD認證服務系列---部署CA(2)