Windows Server 2008與認證監測工具講解

管理憑證的主要目標之一是提高企業的安全層級，其中身分識別驗證和訪問權管理都應該加以重視。在本文中我們首先將簡要地概括CA的定義，然後將重點探討Windows Server 2008與專業認證監測工具(PKIView.msc和 certutil.exe等)結合應用的問題。對於企業而言，非常有必要弄清楚認證是如何影響企業安全狀態以及認證是否有效或者需要維護(如替換)等問題。因為到期的認證表明企業安全狀況很差，很容易招致攻擊，另外也表明企業沒有及時更新認證，沒有例行維護，沒有即時狀態警報或者郵件提示。本文將探討在Windows Server 2008中使用認證的重要性，以及如何監測認證情況。

認證和安全

安全不是一個小問題。事實上，基礎設施的方方面面都需要考慮安全問題，從最基本的LAN到Web伺服器如何通過SSL(Secure Sockets Layer，安全通訊端層)允許外部使用者訪問web網頁等都需要安全保護。並且，安全的各個方面都要加以重視，特別是當部署CA或者PKI(公開金鑰基礎設施)的時候。當然，安全帶來的好處也是不言而喻的，提升商業網路和系統的安全狀態能夠保護企業免受各種攻擊和安全威脅的困擾。Windows Server 2008的安全性可以通過很多不同的方式來實現，包括使用安全性憑證、不同形式加密以及Windows Server 2008中的工具包和各種功能等，你也可以使用Add Role Wizard在Windows Server 2008中配置CA。

安裝ADCS

使用者可以通過運行Add Roles Wizard來安裝和配置Certificate Services認證服務。通過刪除Server Roles列表的Active Directory Certificate Services (ADCS)，讓Windows Server 2008充當CA或者說Certificate Authority(認證授權中心)，ADCS是用來建立CA或者認證授權中心以為不同的應用程式發布和管理憑證。

圖1：配置Active Directory Certificate Services

你會發現很多基於Windows的安全服務都能與ADCS結合應用，要想監測認證，你必須弄清楚哪些需要監測。下面，我們將討論公開金鑰基礎設施。

什麼是PKI?

當企業開始使用智慧卡、Ipsec、SSL(Secure Sockets Layer，安全通訊端層)、數位簽章、加密檔案系統(EFS)或者其他依賴於專業加密層級的技術時，企業都需要建立一個加密和身分識別驗證的公用系統。PKI，或者也稱公用密鑰基礎設施，是用來確保所有使用同一系統的人能夠進行驗證來訪問系統。使用PKI可以讓驗證實體通過電子認證來完成身分識別驗證，電子認證其實就是電子版的證明檔案，它可以協助用戶端通過認證來驗證主機的身份。最常見的使用認證系統的技術是SSL，SSL通過驗證使用者身份來安全傳輸資料，而在PKI中使用認證是為了保護資料安全和管理企業內部及外部資源的訪問驗證機制。認證授權中心是公用密鑰基礎設施的一部分，CA負責驗證認證、發布認證以及憑證撤銷等。從最低限度來看，任何使用微軟Active Directory Certificate Services (ADCS)的企業至少擁有一個認證授權中心以進行認證發布和吊銷，有的企業也會部署一個以上的認證授權中心。另外，CA既可以部署在公司內部也可以部署在外部，並且可以設定不同的層級，root CA或者僅發布認證的CA。有很多種部署CA的方式，企業最好先瞭解自己的需求再開始部署。

使用認證監控工具

Windows Server 2008中有兩個重要的實用的認證監控工具，那就是PKIView.msc 和複雜的certutil.exe工具。

PKIView.msc

使用PKIView.msc工具的時候，使用者需要為PKI開啟MMC。這個命令將會啟動PKI Health工具以確保對所有與現有PKE相關的活動和狀況進行監控。PKIView 同樣還會監控Authority Information Access (AIA)以及CRL distribution (CDP) 擴充功能以保證監控服務順利進行不會出現中斷。PKIView.msc最開始出現在Windows Server 2003 Resource Kit中，你可以從微軟官網下載並安裝。PKIView可以協助使用者查看PKI的狀態，監測PKI的整個活動。還有多種視覺的指標協助使用者全方位地瞭解PKI的情況。例如，綠色標誌顯示PKI狀態良好，而黃色警告標誌則說明認證或者憑證撤銷清單(CRL)已經快到期，紅色錯誤標誌表明CRL或者Authority Information Access (AIA)位置不可用，同時還可以指示CA不可信賴。

注意：

PKIView最開始是Windows Server 2003 Resource Kit的一部分，也被稱為PKI Health工具，新版本(原本是MMC模組)已經是該作業系統的一部分，新版本同樣支援 Unicode。

certutil.exe

驗證工具(certutil.exe)命令可以通過兩個參數來判斷簽發的認證的有效性：

certutil-verify–urlfetch

使用–verify –urlfetch檔案名稱可以讓使用者看到每個認證URL的輸出，如果成功驗證，會顯示“verified”輸出，如果失敗，則會顯示“錯誤”輸出

certutil-viewstore

–viewstore輸出可以讓使用者查看特定Active Directory Domain Services 儲存或者對象的內容，這能讓使用者選擇查看所有儲存中的認證情況。

如果certutil命令不能正確執行，或者你沒有認證，都會獲得錯誤提示資訊。

CRL檢查是認證監測的重要功能，也是主要功能。顯然，你不希望在認證被替換或者升級前出現認證到期的情況。CRL，或者又稱為憑證撤銷清單，正如其名，指的是那些需要被撤銷憑證的列表。CRL檢查是為了查看認證是否有效，這個工具是確保認證有效性的重要工具。使用該工具有著重要的意義，因為certutil.exe將會檢查CA的CRL，而 Certificate MMC Snap-In 則不會檢查認證的CRL。

使用certreq

Certreq可以用於請求認證，你可以使用 certreq來查詢CA並為認證建立新的請求。

本文中我們討論了Windows Server 2008與專業認證監測工具(PKIView.msc和 certutil.exe等)結合應用的問題，以及監控工具的使用等。我們同時還討論了 PKIView.msc控制台和certutil.exe工具命令列的用法。希望可以對網友的企業IT管理有所協助。